Anche reistallado tutto URL riscritte che mandano a pagine con crack

[ZioPal]

Ciao tutti, hanno bucato il mio sito  .

Da giovedì sto' tentando di rimetterlo in sesto, con l'aiuto di un amico sitemista.

Alla fine mi sono convinto a postare anche per fare cultura perché la cosa mi sembra molto singolare.

Ho una directory realizzata joomla! 1.0.15 con sobi2 2.8.6 e opensef (ormai non più supportato). Non mi dilungo sul perché non l'abbia aggiornata, ma questo era lo stato delle cose.

Giovedì scorso mi fanno notare che alla fine della pagina ci sono una cinquantina di link che rimandano a siti con crack.

Verifico il codice mi accorgo che sono scritti nel footer.php del template lo pulisco, verifico, tutto apposto, mi rilasso.

Manco per niente se faccio la query "site:www.miosito.ex crack" le pagine indicizzate aumentano a vista d'occhio (adesso sono 585), solo che il problema non sono le pagine del sistema con i link nascosti (che sono state eliminate subito), ma una serie di pagine con URL riscritte tipo "crack-CardRecovery-5.20.html".

Le cerco per tutto il sito, le cerco nel codice, niente. Intanto continuano ad aumentare.

Prendo il coraggio a due mani e mi decido a migrare, faccio una copia del sito su un'altro dominio, duplico il DB e migro da 1.0 a 1.5. Tutto bene. Logicamente per Sobi2 rifaccio l'istallazione e porto i dati via MySQL, installo SH404 per le URL friendly. Tutto bene.

Dopo queste operazioni il sito è su un terzo dominio su base joomla!1.5 con il componente Sobi2 aggiornato e SH404. Testo in vari modi le pagine crack sono scomparse.

Cancello tutto il contenuto del sito originale, elimino il DB e copio DB e sito migrato "pulito". Faccio le verifiche "site:www.miosito.ex crack" risultano molte pagine indicizzate ma ora ai link risponde un 404, è lunedì sera e ho ripulito anche le pagine crack, mi rilasso.

Martedì mattina fino alle 11 tutto sembrava risolto, per puro caso un collaboratore fa un'altra verifica e ci accorgiamo che le pagine con le URL riscritte sono tornate in piena efficienza.

Non sappiamo più dove cercare, il problema sembra essere legato al mod rewrite, se si rimuove il file htaccess logicamente non si vedono neanche le pagine incriminate.

Ho provato a rimettere al copia buona migrata e inizialmente funziona sempre. Non riesco capire se c'è "buco" da cui rientrano, non riesco a capire se mi sto portando dietro una "bomba a tempo", magari nel DB.

Tenete presente che il server è mio e il problema è localizzato al sito in questione, se avessero bucato più a fondo avrebbero fatto una strage .

Se avete suggerimenti o idee, meglio ancora soluzioni sono ben accette, io vi tengo informati.

Maurizio
PS il post è lungo perdonatemi ma dove spiegarmi    
   

[gippy88]

vai per esclusione.
sicuramente ti stai portando dietro qualcosa che contiene il problema.
questo qualcosa può essere o un file .php o nel database.

quindi fai un'installazione di joomla nuova senza metterci nulla di tuo, dopo di che importa il tuo database e vedi cosa succede, se non succede nulla e tutto funziona bene il problema e in qualche file che carichi del sito vecchio.

ricordati sempre di seguire tutti i passi per rendere sicuro joomla.

[ZioPal]

L'installazione è fatta ex novo, tranne le immagini, non c'è un file del vecchio sito.

L'unica cosa che ho spostato da una parte all'altra sono i dati, in parte con la procedura di migrazione e in parte con il dump dal DB.

Attualmente tutto a ripreso a funzionare spostando il sito su una cartella del server diversa dall'originale.

Ma di come vengano generate le URL delle pagine crack ancora non abbiamo idea.

Maurizio

[gippy88]

non voglio insistere, ma siccome è capitato anche a me, potresti avere file o script malevoli che poi vanno ad "infettare"  anche altri files sul dominio

[ZioPal]

non voglio insistere, ma siccome è capitato anche a me, potresti avere file o script malevoli che poi vanno ad "infettare"  anche altri files sul dominio

Non era per snobbare al tua risposta, è che di fatto i file della nuova installazione sono tutti nuovi, ho persino tolto le pagine di verifica di google.

Quello che mi porto dietro sono i dati del DB, che non vorrei eliminare .

Tieni presente però che oltre ad averli "scandagliati" in 2, ho fatto una prova senza Sobi2, senza le sue tabelle e i miei dati, ho eliminato completamente openSEF, il risultato è sempre lo stesso.

é molto probabile che mi stia portando dietro qualcosa, ma mi domando se invece il problema non sia da un'altra parte visto che oggi mi sento di dire che il problema è tra la riscrittura delle URL e il nome della cartella in cui era poggiato il sito.

Adesso il sito sta girando senza problemi, così come era ieri con problemi, l'unica differenza è che sta lavorando dentro una cartella differente.

Maurizio 

[gippy88]

se ti sei portato dietro la cartella images controlla che all'interno non ci sia un maledettissimo file chiamato gifjpg.php, fonte delle infezioni dei siti

per quanto riguarda il database mi è capito solo una volta di trovarmelo compromesso.

nella tabella utenti di ccneswletter mi sono ritrovato strani iscritti, anche se si potrebbe trattare semplicemente di spam.

tutta via ho notato che se usi un antivirus tipo avira (opensource, libero, e gratis per uso domestico) riesce a trovarti anche gli script malevoli nelle pagine. dopo la scansione leggendo il log ho trovato cose tipo.

trovato script malevolo in images/banner/index.html
cose del genere quindi molto utile.

cmq per tutti questi lavori consiglio linux, spesso e propio win ad infognarti i siti.

buon lavoro

[ZioPal]

se ti sei portato dietro la cartella images ................
.................. spesso e propio win ad infognarti i siti.

buon lavoro

Grazie, perché di fatto non abbiamo ancora risolto.

Abbiamo cambiato cartella ma abbiamo solo rinviato l'uscita delle URL con i crack. Per adesso ci abbiamo messo il tappeto sopra , le pagine non sono visibili perché abbiamo inibito la parola crack.

A questo punto credo che il "malevolo" sia nel DB, i file come ti dicevo sono per lo più nuovi, e dopo questa tua ho riverificato tutte le cartelle del vecchio sito con un paio di AV ma niente.

Il server è linux e le verifiche vengono fatte li .

Ciao Maurizio