Sito bucato

[ChrisSoft]

Come da oggetto, ho sperimentato questa spiacevole esperienza...
Mi sono accorto 2 giorni fa di avere il sito bucato, precisamente si apriva una popunder che rimandava al sito babybabybabyoooh.net/security/, da dove si vedeva solo una pagina vuota ma con dietro un javascript malevolo che utilizzava il pc dell'utente per fare mining di una qualche criptovaluta....


Ho trovato a questo punto i file infetti sul mio sito, e si trattava dell'index.php di quasi tutti i template installati, compresi quindi anche quelli non attivi e non solo il tema che sto utilizzando (si tratta di un template free molto datato che ho modificato pesantemente nel corso degli anni).


Ai file veniva aggiunto uno script che lanciava la pagina di cui sopra, la cosa però strana è che controllando con FTP le date dei file non presentavano anomalie, non erano stati modificati di recente..... eppure nei backup il codice non c'è, mentre in qualche modo è stato cambiato anche se pare che al server non risulti....

La mia domanda è: come possono aver fatto a bucarmi il sito? Devo ammettere che non avevo l'ultima versione installata quando è successo, ero fermo alla 3.6.5, ora ho aggiornato.
Qualche idea? Il problema per ora è risolto, ma ho sempre il timore che possa succedere di nuovo....


Grazie

[tomtomeight]

Non avevi l'ultima versione, questo il motivo principale.

[alexred]

possono bucare il sito dalla vecchia versione di Joomla che avevi, oppure da qualche vecchia versione di estensioni ecc..
Questo sono solo alcune delle possibilità, ma poi ne esistono molte altre che riguardano il server che ospita il sito o il computer che utilizzi per aggiornare il sito ecc..

[ChrisSoft]

possono bucare il sito dalla vecchia versione di Joomla che avevi, oppure da qualche vecchia versione di estensioni ecc..
Questo sono solo alcune delle possibilità, ma poi ne esistono molte altre che riguardano il server che ospita il sito o il computer che utilizzi per aggiornare il sito ecc..

Il mio problema ora è... come capire se ho ancora un qualche malware all'interno del sito?
Ho rimosso il problema, lo script, ma non posso sapere se.... c'è qualcosa d'altro di compromesso che in questo momento non si manifesta....
Ci sono strumenti per analizzare un sito e capire se è compromesso?


p.s. se serve posso allegare il codice incriminato, ma non penso sia utile....

[danielecr]

Comparazione dei file sul server con i file dei pacchetti originale di joomla, delle estensioni, dei template etc, scansioni antimalware, antivirus, controllo manuale dei files estranei, controllo manuale sul database, analisi dei log del server o del firewall (se presente): questi i principali passi.

Per quanto riguarda la data è una sciocchezza modificare un file il giorno x alle ore xx:xx:xx e farlo risultare modificato il giorno y alle ore yy:yy:yy! Quindi non fidarti troppo della data di modifica.