[URGENTE]Aiuto! Mi hanno sospeso il servizio su www.netsons.com

[cicciosakura]

Ciao a tutti...
ieri mattina mi collego al sito www.balenati.it che gestisco e lo trovo sospeso perchè, a sentire Netsons, è stato effettuato spam dal portale.
Mi hanno scritto questo:

Salve, e' stato effettuato spam dal suo sito e pertanto il servizio e' stato sospeso come da contratto:
[ SpamCop V4.6.0.031 ]
This message is brief for your comfort. Please use links below for details.
Spamvertised web site: http://balenati.it/2.html
http://www.spamcop.net/w3m?i=z4787114646z411a692083b7744a4ace6ba1f00ccbb5z
http://balenati.it/2.html is 94.141.22.26; Wed, 03 Feb 2010 00:32:54 GMT

[ Offending message ]
Return-Path: <scaglione@yahoo.com>
Received: from wp4.serieone.com (wp4.serieone.com [94.23.104.116])
by mail11.syd.optusnet.com.au (8.13.1/8.13.1) with SMTP id o12N3bqo028599
for <jefflar@optusnet.com.au>; Wed, 3 Feb 2010 10:03:40 +1100
Received: from tlkrfht (127.243.166.3)
by wp4.serieone.com; Wed, 3 Feb 2010 00:13:27 +0100
Date: Wed, 3 Feb 2010 00:13:27 +0100
From: <scaglione@yahoo.com>
X-Mailer: The Bat! (v2.01)
Reply-To: <scaglione@yahoo.com>
X-Priority: 3 (Normal)
Message-ID: <72508739.20091031005252@yahoo.com>
To: <jefflar@optusnet.com.au>
Subject: #_MEGA SEX PRICES!_#
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----------EFB078BD80"

------------EFB078BD80
Content-Type: text/html; charset=random
Content-Transfer-Encoding: 8bit

<font color="#8B0A50" size="4">#_MEGA SEX PRICES!_#</font>

------------EFB078BD80--"


Cordiali Saluti

Non so proprio cosa fare... mi aiutate, per piacere??

[mau_develop]

che versione di Joomla hai?

M.

[cicciosakura]

1.5

[mau_develop]

1.5
1.5.1
1.5.2
1.5.3
1.5.4
1.5.5
1.5.6
1.5.7
1.5.8
1.5.9
1.5.10
1.5.11
1.5.12
1.5.13
1.5.14
1.5.15

Quale tra queste 1.5?

M.

[cicciosakura]

Salve,
il suo sito e' stato probabilmente hackerato poiche' i componenti in esso presenti NON sono stati aggiornati e quindi vulnerabili.

Posso riattivarle il servizio se lei mi garanstisce che in poche ore provvederà a rimuovere il contenuto malevolo ed a mettere il suo sito in sicurezza.

In alternativa posso resettarle il servizio di Hosting allo stato di default, cancellando tutti i dati presenti e consegnandole il servizio come quando lei lo ha acquistato.

che dici?

[mau_develop]

io?

che dici tu, ti ho chiesto che versione hai e non mi hai risposto...

loro dicono che ne hai una vulnerabile, ma sicuramente non ti stanno a dire se è il core o un componente...

Se ti do la risposta più comoda per me è: cancella tutto, se cerchi invece di farmi capire qualcosa ti dico cosa si può fare; così non riesco, mi spiace.

M.

[cicciosakura]

scusa, manu, è che sono un pò in confusione... purtroppo non so che versione è, anche perchè non mi fanno accedere al sito dal lato di amministratore. certamente, però, non è una versione aggiornatissima... l'ho installata circa sei mesi fa e non l'ho più aggiornata...

[mau_develop]

hai dei backup di tutto?
c'erano molti contenuti?
C'erano componenti aggiuntivi? ...immagini?

Siccome tra le righe ti dicono che non hanno cancellato nulla potresti accedere in ftp e scaricare tutto in locale.

Stessa cosa con il database.

Poi chiedi a loro se ti ranzano via tutto, ti cambiano i dati di accesso e te li fanno riavere.

Sistemi tutto in locale e riuppi la nuova versione.

...io farei così.

M.

[cicciosakura]

questa è un'ottima idea... ho provato a collegarmi via ftp ma non mi fà accedere... ora chiedo se mi hanno cambiato i codici...
in ogni caso, una volta che ho fatto il download in locale, posso verificare se c'è qualche componente che rompe i cocones?

[mau_develop]

beh, io spulcerei un po' il codice alla ricerca di script strani prima...si sa mai che ti parta qualche esploit da locale...

Se sai la versione e i componenti aggiuntivi installati possiamo vedere di dedurre cosa sia successo.

attenzione che se questa cosa è stata fatta dal modulo contatti (perchè di spam si tratta) anche installando la 1.5.15 non ti salvi, c'è lo stesso problema.
Ci sarebbe da mettere mano al codice.

M.

[cicciosakura]

manu, ti chiedo scusa per la domanda sciocca... ma, praticamente,non ne capisco un granchè... quando parli di codice, cosa intendi in particolare?

[mau_develop]

intendo dire che potrebbe essere stato iniettato del codice nei files o dei files interi nelle cartelle, usando vulnerabilità della versione o del componente che permettono di farlo.
Il codice può essere stato usato per l'invio di quello spam.

Oppure potrebbe essere stato usato il componente per i contatti che prevede l'uso di un form un po' "allegro"

Mettere mano al codice vuol dire che bisogna riscrivere quel componente curandosi di chiudere le falle, visto che il JED non ci sente...

M.

[cicciosakura]

ammazza... quindi è una cosa molto complessa...
tu pensi sia il caso di cancellare tutto?
considera che il sito ha una marea di contenuti, file da scaricare, etc... inoltre vede iscritti circa 70 persone che, ogni giorno, visitano il sito....
tu che ne dici?

[mau_develop]

tu pensi sia il caso di cancellare tutto?
------------------------------------------
non ho detto esattamente così....

prima tutti i backup e i trasferimenti in locale (assicurandosi non manchi nulla) poi, solo poi cancellare il remoto.

altrimenti stessa cosa senza cancellare il remoto, prima risolvi in locale e poi quando sai cos'è replichi la soluzione in remoto.... ma è un po' più complesso.

Aggiornare prima non costava nulla, rimediare ai guai spesso costa molto di più (da tenere a mente x le prox volte).

Poi dipende sempre dal sito, se è professionale, se ci guadagni, quanto te ne importa... difficile prendere decisioni per gli altri.

Restano valide anche collaborazioni a pagamento, fai un'annuncio nell'apposita sezione e trovi sicuramente chi lo fa...

M.

[cicciosakura]

non ci guadagno niente. è un portale dedicato ad un gruppo di giovani che condividono alcune idee e progetti.
Se fosse possibile, preferirei non cancellare niente ma, appunto, avrei bisogno di qualche anima pia che mi aiuti a capire cosa è che sta facendo spam...

[mau_develop]

...ascolta, prova a chiedere al provider se è in grado di localizzare il componente o lo script che genera il problema, dai log del server si dovrebbe vedere.

Se è solo qualche form di joomla si può vedere di disabilitarlo e stare a vedere cosa succede, intanto fai l'avanzamento all'ultima versione.

anche lui va un po' per campi, parla di spam e di script malevolo ... non sono proprio la stessa cosa, una form mail anche se iniettata non è uno script malevolo.

Se è uno script io aspetterei di capire dove prima di chiedere di riattivarlo, ma se sono passati da un form non c'è nessun problema.
Quando poi è online che si può vedere, anche altri possono partecipare con suggerimenti.

M.

[cicciosakura]

ho appena scritto una mail chiedendo questa cosa...
ti scrivo appena mi rispondono!
Ma, nel frattempo, vorrei ringraziarTi per il tempo che stai dedicando a questa cosa...

[mau_develop]

Ho capito

sono andato a vedermi come era fatto il sito e cosa c'era installato...

prova a mettere com_mailto (che usi) nella ricerca di google....

M.

[cicciosakura]

Ho ricevuto la loro mail di risposta:

Salve, in realtà come può vedere nell'header del messaggio lo spam è partito da: "http://balenati.it/2.html"

Quindi ritengo che i suoi dati di accesso siano stati in tal senso compromessi.

Lei dovra' prendersi cura del suo sito aggiornando ogni qualvolta siano presenti nuove versioni, sia gli applicativi web da lei in uso sia i relativi componenti o plugins.

Una volta confermato quanto richiesto provvederemo alla riattivazione del suo servizio di Hosting.

Prima di procedere deve NECESSARIAMENTE effettuare le seguenti operazioni nel seguente ordine(poichè riteniamo che il suo account sia stato compromesso) altrimenti ci vedremo costretti a non riabilitare il servizio:

- utilizzare un antivirus aggiornato sul suo pc in caso di sistema operativo Microsoft;
- cambiare l'e-mail di accesso login della nostra area clienti su www.netsons.com > dati personali;
- cambiare la password di accesso login della nostra area clienti su www.netsons.com > dati personali;

Solo una volta effettuate queste operazioni sarà possibile procedere con l'azione richiesta.

Successivamente, una volta riattivato il servizio, dovrà effettuare le seguenti operazioni nel seguente ordine:

- cambiare la password di accesso cPanel su www.netsons.com > pacchetti Hosting > visualizza dettagli;
- controllare ed AGGIORNARE tutti i componenti da lei in uso nonche' i relativi account di amministrazione dei suoi applicativi web sul suo sito;

In attesa di un suo riscontro in merito.

Cosa ne pensi?

Posso chiederti come hai fatto a vedere il sito com'era? Io non riesco proprio ad accedervi... cmq, da quello che ho capito, è com_mailto che crea casini!!! Con un aggiornamento alla nuova versione di joomla dovrei risolvere, vero?

[mau_develop]

la procedura che ti hanno descritto direi che è corretta per salvaguardare te, loro e gli altri utenti ospiti del server; conoscendoli direi che sono stati anche troppo gentili.

Posso chiederti come hai fatto a vedere il sito com'era?
--------------------------------------------------------
ci ho creduto fortemente e ho pregato, fratello!
No, tu non riesci ad accedere perchè probabilmente hanno ragione:

-------------------------
Quindi ritengo che i suoi dati di accesso siano stati in tal senso compromessi.
--------------------------

Non ho capito cos'è quel 2.html .... magari qualcosa che hanno iniettato... allora procediamo così .. copio la loro risposta:

Prima di procedere deve NECESSARIAMENTE effettuare le seguenti operazioni nel seguente ordine(poichè riteniamo che il suo account sia stato compromesso) altrimenti ci vedremo costretti a non riabilitare il servizio:

- utilizzare un antivirus aggiornato sul suo pc in caso di sistema operativo Microsoft;
- cambiare l'e-mail di accesso login della nostra area clienti su www.netsons.com > dati personali;
- cambiare la password di accesso login della nostra area clienti su www.netsons.com > dati personali;

direi di fare come dicono nello stesso ordine, in più cambierei anche le pw del database.

Quando hai fatto tutto che riesci ad accedere ai vari pannelli senza problemi, a gestire il db etc. , fai i backup di tutto senza installarlo in locale poichè contiene i fantomatici script. E' importante questa cosa perchè se dovesse andar male qualcosa nell'aggiornamento almeno non perdi nulla.

Dopodichè prima di metterlo online torna a postare che ti "guido" all'interno del db per le disabilitazioni dei componenti e dei moduli aggiunti e per la ricerca sommaria di evidenti manomissioni.

Fatto questo si può mettere online e da lì fare l'upgrade.
Tienti in contatto con il forum e fatti aiutare piuttosto di fare cavolate, vedrai che con un po' di pazienza tutto torna a posto.

Se anche ti consulti con altri, l'importante è che si segua una strada precisa e non si facciano tentativi a cappella...che finiscono sempre male.
Tieni questo post come traccia.

M.