Problema aggiornamento con compromissione sito virus

[CarmeloDev91]

Salve ragazzi! Ho un problema con un sito creato da un amica...

Non si riesce ad aggiornare dalla versione 3.6.4 alla 3.7.4, il processo di avanzamento non viene mostrato ma mostra semplicemente:

Percentuale di completamento   
Bytes letti   
Bytes estratti   
File estratti   

senza alcuna percentuale...

Se durante l'aggiornamento tento di spostarmi in qualche altra sezione del Backend mi reindirizza a siti di livecam...

All'interno della sezione "Articoli" ho notato 42 articoli pieni di link ed immagini non inseriti da nessuno quindi il sito è stato manomesso perchè la mia amica non ha effettuato alcuna modifica alla piattaforma...

Tra l'altro il provider ha mandato una mail dicendo che il sistema antivirus ha riscontrato la presenza di files potenzialmente dannosi all'interno dell'account cPanel con la scansione virus allegata che allego di seguito:


----------- SCAN REPORT -----------
TimeStamp: Fri, 4 Aug 2017 11:52:30 +0200
(/usr/sbin/cxs --nobayes --clamdsock /var/clamd --deep --defapache nobody --doptions Mv --exploitscan --nofallback --filemax 1000000 --noforce --html --ignore /etc/cxs/cxs.ignore --logfile /var/log/cxs.log --options mMOLfSGchexdnwZDRu --qoptions Mv --quarantine /quarantine --report /root/tmp/scancxs_bvuaouiy_04082017.txt --sizemax 2048000 --ssl --summary --sversionscan --timemax 30 --nounofficial --user bvuaouiy --virusscan --voptions mfheT --xtra /etc/cxs/cxs.xtra)


Scanning /home/bvuaouiy:

'/home/bvuaouiy/.cagefs/opt/alt/php44/link/conf'
# Symlink to [/opt/alt/php44/etc/php.d]

'/home/bvuaouiy/.cagefs/opt/alt/php51/link/conf'
# Symlink to [/opt/alt/php51/etc/php.d]

'/home/bvuaouiy/.cagefs/opt/alt/php52/link/conf'
# Symlink to [/opt/alt/php52/etc/php.d]

'/home/bvuaouiy/.cagefs/opt/alt/php53/link/conf'
# Symlink to [/opt/alt/php53/etc/php.d]

'/home/bvuaouiy/.cagefs/opt/alt/php54/link/conf'
# Symlink to [/opt/alt/php54/etc/php.d]

'/home/bvuaouiy/.cagefs/opt/alt/php55/link/conf'
# Symlink to [/opt/alt/php55/etc/php.d]

'/home/bvuaouiy/.cagefs/opt/alt/php56/link/conf'
# Symlink to [/opt/alt/php56/etc/php.d]

'/home/bvuaouiy/.cagefs/opt/alt/php70/link/conf'
# Symlink to [/opt/alt/php70/etc/php.d]

'/home/bvuaouiy/.cagefs/opt/alt/php71/link/conf'
# Symlink to [/opt/alt/php71/etc/php.d]

'/home/bvuaouiy/.cagefs/tmp/.s.PGSQL.5432'
# Symlink to [/var/run/postgres/.s.PGSQL.5432]

'/home/bvuaouiy/.cagefs/tmp/mysql.sock'
# Symlink to [/var/lib/mysql/mysql.sock]

'/home/bvuaouiy/.cagefs/var/php'
# World writeable directory

'/home/bvuaouiy/.cagefs/var/php/apm'
# World writeable directory

'/home/bvuaouiy/.cagefs/var/php/apm/db'
# World writeable directory

'/home/bvuaouiy/.cagefs/var/run'
# World writeable directory

'/home/bvuaouiy/.cagefs/var/run/screen'
# World writeable directory

'/home/bvuaouiy/public_ftp/incoming'
# World writeable directory

'/home/bvuaouiy/public_html/libraries/cms/version/version.php'
# Script version check [OLD] [Joomla v3.6.4 < v3.7.3]

'/home/bvuaouiy/public_html/media/media/js/silverlightmediaelement.xap'
# (compressed file: SilverlightMediaElement.dll [depth: 1]) MS Windows Binary/Executable [application/x-winexec]

'/home/bvuaouiy/public_html/modules/mod-favicon-image/ index.php'
# Regular expression match = [\$GLOBALS\[\'_\d+_\'\]\=Array\(base64_decode\(]

'/home/bvuaouiy/public_html/modules/mod-favicon-image/4O4.php'
# Regular expression match = [\$GLOBALS\[\'_\d+_\'\]\=Array\(base64_decode\(]
# (quarantined to /quarantine/cxsuser/bvuaouiy/4O4.php.1501840523_1) (decoded file [advanced decoder: 14 (depth: 2)]) Known exploit = [Fingerprint Match] [PHP Shell Exploit [P0297]]

'/home/bvuaouiy/public_html/modules/mod-favicon-image/trash.php'
# Regular expression match = [\$GLOBALS\[\'_\d+_\'\]\=Array\(base64_decode\(]

'/home/bvuaouiy/public_html/modules/mod_widgetread_twitter/mod_widgetread_twitter.php'
# Regular expression match = [\$GLOBALS\[\'_\d+_\'\]\=Array\(base64_decode\(]

----------- SCAN SUMMARY -----------
Scanned directories: 2010
Scanned files: 7057
Ignored items: 55
Suspicious matches: 24
Viruses found: 0
Fingerprint matches: 1
Data scanned: 55.43 MB
Scan time/item: 0.023 sec
Scan time: 209.230 sec

Ho aggiornato tutti i temi, i plugin e ciò che viene usato ma senza successo...

Il sito è NapoColor.info

Non so come venirne a capo...

Grazie a chi saprà aiutarmi!

[CarmeloDev91]

AGGIORNAMENTO: Spulciando cPanel alla ricerca del problema, ho scoperto che il redirect verso siti di livecam era dato dall'attivazione in cPanel della Protezione Hotlink con link che puntavano ad altri siti, quindi presumo che siano entrati in cPanel...

Ho fatto cambiare le password, chiedendo di metterne una più sicura che includesse anche caratteri speciali...

Rimane il problema che non mi aggiorna...

[Alex21]

Ciao CarmeloDev91,
Una scansione periodica effettuata con un strumento tipo il  "drWeb" (anzi, sembra proprio lui) ha rilevato delle anomalie.
A me sembrano abbastanza gravi purtroppo: link simbolici a modificare il php, directory aperte, e iniezioni di codice probabilmente malevolo nei files php del sito. Anche il db è compromesso  probabilmente ma un controllo è inutile perché ce n'è già abbastanza dalla sola scansione dei files.


Il problema è salito oltre la directory radice del sito, direi, esempio :
 '/home/bvuaouiy/.cagefs/tmp/mysql.sock'
# Symlink to [/var/lib/mysql/mysql.sock]


Che fare?
Ripulire tutto mi sembra una impresa ardua e, visto il probabile livello dell' infezione, non basta sostituire il sito con una copia di backup sana.
Il cambio di password serve poco perché che ti ha fatto il buco si sarà premurato di lasciare una o più directory raggiungibili nelle quali ha inserito uno script che gli permette comunque di maneggiare il sito, anche senza password.
La cosa più sicura sarebbe sostituire tutto l'hosting con una copia sana, se l'hoster ha disponibile un periodico backup dell'hosting.
In mancanza è meglio ripartire da un hosting pulito, che può essere anche sullo stesso fornitore installando una copia pulita del sito.
Un grosso lavoro mi spiace. E' il motivo per cui gli hackers stanno così antipatici ...
Un saluto

[CarmeloDev91]

Sono riuscito ad aggiornare!

Per prima cosa ho eliminato tutti i file .htaccess che contenevano centinaia di righe di codice che terminavano con un redirect ad uno short link con il sito della livechat che su pc si presentava di continuo quando tentavo di aggiornare, mentre sui dispositivi mobili si presentava ogni volta che qualcuno effettuava un collegamento non prima di aver caricato una catena di redirect di pagine prima di farmi vedere quella della chat ma non il sito...

Anche eliminandoli però non aggiornava...

Scansionando il sito tramite http://scanner.pcrisk.com

Successivamente mi sono reso conto che all'interno dell'FTP (non in public_html ma nella main principale dove vi è tra cui la cartella public html) un ulteriore file .htaccess

Solo una volta rimosso il sito si è aggiornato correttamente senza alcun problema e i redirect sembrano come scomparsi.

Non so se può essere utile postare il codice del file .htaccess se a qualcuno può essere utile per fare chiarezza anche se sul sito http://scanner.pcrisk.com continua a darmi queste scansioni.

Suspicious File

Codice: [Seleziona]

index   
Severity: Suspicious
Reason: Detected suspicious redirection to external web resources at HTTP level. [What's this?]
Details: Detected HTTP redirection to http://xxxxxxxxxxxxx.
File size[byte]: 0
File type: Unknown
MD5: 00000000000000000000000000000000
Scan duration[sec]: 0.001000
Clean Files

Codice: [Seleziona]

  /p/mgya/direct?prc_c=1502662449&prc_r=Z29vZ2xlLmNvbQ%3D%3D&prc_i=5441&prc_ib=0.0022509999107569&prc_h=99b18ba27b386fe800f025235c37cd5c58bbd5418ce79a8c4087554a56a2e7be&jnjs=1   

Severity: Clean
Reason: No significant issues detected. Details: Detected potentially malicious execution behaviour.
File size[byte]: 2884
File type: HTML MD5: 8C5C734F5C4CA48994960633A121FCEB
Scan duration[sec]: 0.494000     

/index.html   

Severity: Clean
Reason: No significant issues detected.
Details: File is clean
File size[byte]: 2017
File type: HTML
MD5: 11BA9D59579A4F6F2A8C8C8B92CCFBDD
Scan duration[sec]: 0.084000   

 /_Incapsula_Resource?SWJIYLWA=2977d8d74f63d7f8fedbea018b7a1d05

Severity: Clean
Reason: No significant issues detected.
Details: Detected potentially malicious execution behaviour.
File size[byte]: 2888
File type: HTML
MD5: CFC8D86BD73A9DADCB1F9171A553B851
Scan duration[sec]: 0.487000
Additional Information

Codice: [Seleziona]

List of external links: 1

napocolor.info//_incapsula_resource?swjiylwa%3D2977d8d74f63d7f8fedbea018b7a1d05


List of iframes: 2

<iframe style="display:none%3Bvisibility:hidden%3B" src="//content.incapsula.com/jstest.html" id="gaiframe">
<iframe style="display:none%3Bvisibility:hidden%3B" src="//content.incapsula.com/jsTest.html" id="gaIframe">

   
Su sucuri.net, altro sito dove inserendo il link al sito mi fa una scansione, dice che il sito è affetto dal Malware: MW:HTA:7

Malware che appunto colpisce i file .htaccess

Ora il problema è capire se hanno annidato codice da qualche altra parte nel sito e se almeno in parte la cosa si è attenuata, in quanto il mio intervento era volto oltre che ad arginare il problema a rendere nuovamente fruibile da dispositivi mobili il sito, in attesa di rifare il sito, che molto probabilmente verrà affidato a me il rifacimento in toto, in occasione del rinnovo dominio visto che la mia amica non ha provveduto per tempo a fare copie di backup e non può seguirlo e queste sono le conseguenze...

[Ahmed Salvini]

guarda che ti hanno compromesso il server oltre Joomla.

[CarmeloDev91]

Si quello lo so... La soluzione quale sarebbe a questo punto?

[Ahmed Salvini]

Rivolgersi a chi mantiene quella macchina spiegandogli l'accaduto

[CarmeloDev91]

Quindi devo contattare l'hosting spiegando cosa è accaduto?

[Ahmed Salvini]

ma hai un server dedicato o semi? ..o qualcosa di diverso dal comune hosting condiviso?

non è banale scalare i privilegi partendo da Joomla... deve essere un server messo proprio male o mantenuto male se è avvenuto cio che dice Alex21. O non è passato da Joomla ma dal cpanel del server

[CarmeloDev91]

Hosting condiviso...

Ho trovato modificato in cPanel Protezione da Hotlink con redirect a siti hot...

Probabile sia entrato da lì...

La ragazza che aveva in gestione il dominio ed il sito ha ricevuto comunicazione dal provider di file compromessi ma ha cestinato tutto, anche mail di possibili intrusioni e/o violazioni del sistema...

Comunque ho rieseguito nuovamente una scansione tramite il sito http://scanner.pcrisk.com e mi segnala che non ci sono infezioni...

Avviserò comunque il provider per mettere a conoscenza di ciò che è successo....

[Ahmed Salvini]

se hanno bucato il server io cambierei hosting, anche se la colpa fosse di Joomla. se non è un server che gestisci direttamente tu e che quindi si può ammettere qualche errore, vuol dire che era configurato e/o mantenuto alla caxo

[CarmeloDev91]

No, non lo gestisco io, difatti l'ho detto prima che non era gestito ne mantenuto da me ma da una mia amica...

E' successo tutto a causa della negligenza della manutenzione (aggiornamento dei plugin e del CMS stesso) difatti adesso dovrei rifare il sito...

[Ahmed Salvini]

E' successo tutto a causa della negligenza della manutenzione (aggiornamento dei plugin e del CMS stesso)

ni, se hanno attaccato il cpanel del tuo server non è colpa di joomla http://thehackernews.com/2017/08/netsarang-server-management.html

[CarmeloDev91]

Ho finito di parlare adesso con il servizio di hosting.

Mi ha spiegato che sostanzialmente hanno attaccato Joomla visto che non era aggiornato e da li hanno modificato tutto.

Le mail che sono state inviate di compromissione del sito vengono inviate solo come avviso, visto che i sistemi di monitoraggio/antivirus rimuovono la minaccia ed una volta rimossa provvede a mandare all'utente una mail di avviso con i log della scansione.

Non c'è stato alcun attacco al server, hanno detto, in quanto se ci fosse stato un probabile attacco al server verrebbero compromessi centinaia di migliaia di siti web, ma loro hanno delle protezioni avanzate e sofisticate che non permettono che ciò accada.

Sostanzialmente il perchè del parametro della "protezione Hotlink" era settato su siti di livechat è attribuibile alla modifica effettuata ai file htaccess che automaticamente vanno a cambiare quel parametro.

Hanno consigliato di cambiare password a cPanel ed al backend di Joomla e di aggiornare sempre tutto alle ultime versioni disponibili.

In sostanza hanno dato la colpa alla cattiva manutenzione di Joomla e dal mancato aggiornamento del CMS e dei relativi plugin.

[Ahmed Salvini]

se dicono che il server non ha avuto problemi allora basta metterci una versione di J aggiornata.
Non contare troppo sulla pulizia del sito attaccato

[CarmeloDev91]

Lo so infatti provvederò io questa volta a rifarlo ex novo....

[mancar]

AGGIORNAMENTO: Spulciando cPanel alla ricerca del problema, ho scoperto che il redirect verso siti di livecam era dato dall'attivazione in cPanel della Protezione Hotlink con link che puntavano ad altri siti, quindi presumo che siano entrati in cPanel...

Ho fatto cambiare le password, chiedendo di metterne una più sicura che includesse anche caratteri speciali...

Rimane il problema che non mi aggiorna...

ciao,
anch'io sto avendo un problema analogo.
Sono andato a controllare nel CPanel nella Protezione Hotlink ed ho trovato nella parte: Configura protezione hotlink ->  URL per cui autorizzare l’accesso:

([a-z0-9]{2000,})
(semalt.com|todaperfeita)

Cosa devo fare ? Devo cancellare le due righe di sopra ?
 

[CarmeloDev91]

Elimina i link e fai un controllo del file .htaccess