Emergenza virus !!! (in cartelle html non joomla)

[Celebrindal]

Salute comunità, un amico mi ha segnalato che aprendo il mio sito www.legagstlbis.netsons.org riceve questo msg:

nome del file :http://www.legagstlbis.netsons.org/\{gzip}

nome malware : HTML:Script-inf

tipo malware :  Virus/Worm


versione VPS : 100311-0, 11/03/2010

rilevato con l'antivirus AVAST (quello che ha installato. Però sul mio pc non rilevo nulla, ho Avira Antivir e apre tranquillamente il sito. L'ho provato anche su un altro pc che ha NOD32 e pure si apre tranquillamente. Qualcuno può dirmi come controllare meglio?

Grazie.

[sudoku]

nessun problema. E' un falso positivo.

[Celebrindal]

che significa?

E cmq chi si collega ed ha questo msg non riesce ad entrare.

[vamba]

Hai seri problemi con un componente installato

[56francesco]

misteri di winsozz e dei suoi antivirus
con linux entro normalmente...
il sito è pure vuoto mi par di capire, prova con un template di joomla se poi va bene cambia template..

[vamba]

Niente misteri .... il componente per il fantacalcio sta sparando una serie infinita di trojan .... probabilmente contenuti nei file javascript ...
non è che per caso è un'estensione scaricata da vie traverse? 

[56francesco]

fantacalcio sta sparando una serie infinita di trojan

chi ci ricorda?
 

[vamba]

La cartella FCM sta sparando ......... cavalli di troia a RANDA 

[allegato vecchio più di un anno eliminato automaticamente]

[Celebrindal]

in tutto questo che deve fare? Il template è sempre lo stesso che prima non dava problemi.

Vi prego datemi consigli, e scusate se non rispondo subito ma sto per uscire per un impegno a cui non posso rinunciare. Ma almeno al rientro ho le risposte. Con Avira Antivir non ho segnalazioni di virus con cosa avete testato?

P.S.: se scarico tutto inlocale sul pc e scannerizzo?

MODIFICA: quale componente crea problemi. Le estensioni sono prese dal sito http://extensions.joomla.org/

[vamba]

ma sto per uscire per un impegno a cui non posso rinunciare. Ma almeno al rientro ho le risposte.

............... 
...e nel frattempo rimettiamo anche a posto la stanza? 

MODIFICA: quale componente crea problemi. Le estensioni sono prese dal sito http://extensions.joomla.org/

MODIFICA: dove si scarica la componente che crea la cartella fcm? ... non mi pare di averlo visto su quel sito li !

[Celebrindal]

nessuna componente è solo una cartella con dei file html che vengono richiamati.

Non c'è modo di scannerizzare il sito ed eliminare il virus?
Ma poi si tratta di un virus o cosa?

[56francesco]

solo una cartella con dei file html che vengono richiamati.

se non sono estensioni non commerciali di joomla non sono argomenti it in questo forum
chiedi a chi ti ha fornito quei files.
grazieeeee

[Celebrindal]

ma sono dei semplici codici html inseriti in unmodulo html che si crea con joomla. Fino a qualche giorno fa era tutto ok non è nulla di nuovo .......... 

[mau_develop]

qs mi fa diventare matto ffox

17:10:13.765[0ms][totale 0ms] Stato: pending[]
GET h t t p: // w w w.usfl ash map.com/comp onent/cdt_new/cdt2_1.swf Azione[LOAD_REPLACE  ] Dimensioni del contenuto[unknown] Mime Type[unknown]
   Richiesta dell'intestazione:
      Host[www.usflashmap.com]
      User-Agent[MIO]
      Accept-Language[it-it,it;q=0.8,en-us;q=0.5,en;q=0.3]
      Accept-Encoding[gzip,deflate]
      Accept-Charset[ISO-8859-1,utf-8;q=0.7,*;q=0.7]
      Keep-Alive[300]
      Connection[keep-alive]
      Referer[http://www.legagstlbis.netsons.org/]

M.

mi ha grabbato la sessione

questo forum.joomla:

Si è verificato un errore!
Sessione di verifica fallita. Prova a scollegarti, tornare indietro e tentare di nuovo.
Indietro

Vamba hai un pvt

si comprende qualcosa cercando con google la strana header lanciata

header LOAD_REPLACE

[Celebrindal]

scusa mau_develop ma non ci ho capito nulla .......... nn sono molto tecnico. Inoltre vorrei aggiungere qualcosa in merito a quanto scritto da 56francesco: oltre che nella cartella FCM anche alcune cartelle contenenti i componenti segnalano virus, inoltre le stesse cartelle FCM sono caricate su un altro mio sito e non c'è nessuna segnalazione di trojan o virus su questo sito.

Grazie.

[mau_develop]

in parole povere, qs che cos'è? perchè ti serve?

h t t p: // w w w.usfl ash map.com/comp onent/cdt_new/cdt2_1.swf

...ho messo gli spazi per non indicizzarlo.

M.

[Celebrindal]

non lo uso, è questo che mi provoca il virus?

[andrea]

Ragazzi, è passato un pò di tempo dalla mia prima segnalazione, fatta in altri post del forum ma non mi è stato dato aiuto.Da allora ho aggiornato il template e cambiato hosting e per 3 mesi non ho subito questi attacchi. Pochi giorni fà, segnalatomi dal redattore del sito in questione, hanno fatto un attacco dello stesso tipo di quello in questo post (almeno io penso) che è stato notificato da Avast come HTML:iframe-KT [trj]

il sito web è http:// w w w . rom pentru rom . eu

Dall'attacco ho notato la modifica con js e un div nascosto del file index.php (che allego).Nel frattempo sto aggiornando Joomla dalla .14 alla .15, ho eliminato il codice maligno dall'index.php e mi sono preoccupato di essere all'ultima versione di JOOMLAFAP.

Io sono orientato a dire che la vulnerabilità sta nel template, ma non sapendo sto facendo questi aggiornamenti che di certo servono.

Idee? Ho necessita di evitare questo tipo di attacco una volta per tutte.

PS: ho allegato la versione infetta dell'index.

[allegato vecchio più di un anno eliminato automaticamente]

[mau_develop]

ma gli altri post li leggi?

M.

[andrea]

si e vedo che consigli ovunque di aggiornare moduli/componenti/joomla etc. Ma speravo in risposte più mirate, visto che ho dato più informazioni a riguardo.

[mau_develop]

mmhhh no, hai letto qualcosa che non centra, guarda quello sulle iniezioni di codice.

M.

[andrea]

Ho letto anche quel topic aperto da te. Nella nottata hanno ripetuto l'attacco. Sto andato step by step, ora mi trovo sotto attacco con Jomfish,Joomla,JoomlaFap alle ultime versioni. Ogni volta dopo l'attacco ripulisco il file index.php ma non ho chiaro se ci possa essere altro di infetto nel joomla. Ho controllato tutti gli index.htm,index.php mi sembrano apposto, del resto sono quelli per evitare che inserita una path venga listato il contenuto, e la loro dimensione è circa 40B e dentro nulla di pericoloso.

Ora ho provato modificato parte del Js presente nel template JoomlaFAP, eliminandolo proprio e attendo la nottata. Penso che l'attacco avvenga ad orari fissi, circa mezza notte ora IT. Index.php del template ha diritti 555 eppure viene scritto....

L' hoster mi ha detto che non sembra mysqlinjection e che con i loro controlli non hanno rilevato accessi indesiderati, la cosa avviene sicuramente per XSS in un qualche modo, ripeto almeno nel mio caso.

[mmleoni]

ciao a tutti!

..Ho controllato tutti gli index.htm,index.php mi sembrano apposto

non basta, devi verificare anche:
1.
che non siano stati modificati altri files
2.
che non vi siano file estranei alla installazione di joomla e delle estensioni che possano agire da cavalli di troia

btw: difficilmente potranno fare danni con i files html

... Index.php del template ha diritti 555 eppure viene scritto....

555 non vuol dire dire niente se non conosci le ownerships ed i ruoli dei diversi programmi: non farci affidamento

L' hoster mi ha detto che non sembra mysqlinjection

ad ogni buon conto non lasciare il prefisso delle tabelle a jos_ (sempre un pessima scelta...)

... la cosa avviene sicuramente per XSS in un qualche modo, ripeto almeno nel mio caso.

xss fa danni ai navigatori, non al sito.


ciao,
marco

[andrea]

Ho trovato un file che da antivir viene rilevato infetto durante il backup dell FTP del sito in questione, si chiama phpmailer.php è un falso positivo o potrebbe essere veramente uno script estraneo?

Per quanto riguarda l XSS esistono anche attacchi volti a modificare pagine del sito in modo definitivo: http://it.wikipedia.org/wiki/Cross-site_scripting

Ora ho provato ad eliminare parte del template JoomlaFAP in js che permetteva lo zoom dei caratteri della pagina. Questa notte non è stato fatto l'attacco, quindi tutto mi farebbe pensare che fosse partito proprio da li l'attacco. Prima di cantare vittoria vi tengo aggiornati se l'evento si ripete anche dopo la modifica.

[mmleoni]

ciao,

...si chiama phpmailer.php è un falso positivo...

esiste un file di tale nome nella installazione di joomla in /libraries/phpmailer/phpmailer.php, ma non posso dirti se sia stato modificato. tieni presente che molto difficilmente (ie: praticamente mai) un antivirus potrebbe rilevare un virus diretto o proveniente da xss in un sorgente php. devi comparare contenuto e date con gli originali: non puoi fare affidamento su un antivirus.

Per quanto riguarda l XSS esistono anche attacchi volti a modificare pagine del sito in modo definitivo: http://it.wikipedia.org/wiki/Cross-site_scripting

temo tu non abbia capito l'articolo: si fa riferimento all'output prodotto a causa di inserimenti malevoli nel contenuto (dbase) della pagina generata. non viene modificato il codice di generazione, ma solo l'output generato a causa dei contenuti inclusi.(capisco sia difficile comprendere la differenza se non sei un programmatore od un sistemista: nel dubbio continua a chiedere)

... Ora ho provato ad eliminare parte del template JoomlaFAP ...

non penso sia questo il problema. comunque ti auguro di aver risolto (buona parte di questi attaccanti desistono presto: paradossalmente è una questione di affari, non di principio)

ciao,
marco

[mau_develop]

le index le modificano con permessi di root, gli stessi che hai tu quando li setti a 555.

L'attacco xss è sempre rivolto al visitatore, e viene considerato visitatore anche l'admin che accede.
Non è nulla di strano, due tag script e un alert con document.cookies e hai il tuo grabbatore... joomla è andata un po' più avanti, serve un token da abbinare ai cookie.

Un'xss di per se è solo un indice di un input non controllato ma non è nulla, la vedi tu che la lanci e basta però può diventare 2 cose:
un xss permanente, ovvero tu riesci a scrivere l'xss in un articolo, in un commento, in un qualunque campo di input non controllato conduca ad una scrittura all'interno del sito.
A questo punto chiunque visiterà la pagina eseguirà lo script che opportunamente modificato invierà dei dati appartenenti al client del visitatore all'attaccante.

Oppure, la seconda via è che possa diventare una sqlinj, ovvero ciò che tu inserisci, oltre a non essere filtrato viene infilato diretto in una query.

M.

[andrea]

Quotando la risposta di mau, guardando l'index che ho allegato in un precedente post, secondo me è XSS permanente. La differenza penso di capirla anche se sono al secondo anno di informatica e le esperienze relativamente ristrette. Secondo me hanno utilizzato un document.write o qualcosa del genere nel JS del template o di qualche modulo che lo genera (BriasKISS, ma punterei più sul FAP), in questo modo hanno gli stessi permessi dell'eseguibile sul file.

Fatto questo scrivono sul template il pezzo di js (e link spam) volto ad attaccare chiunque visiti il sito web, e torna pure l'intento del XSS.

Fila?

[mau_develop]

e no, è js, quindi con document.write non fai altro che stampare a video qualcosa. Javascript esiste solo lato client, per far comunicare il client con il server ha bisogno del php o cmq di ajax.

Per iniettare del codice in mezzo ad altro codice che non fa parte di un contenuto l'unico modo è farti capitare su un link che sfrutta una richiesta forgiata ad una vulnerabilità sul tuo sito, in pratica farlo fare a te oppure avere accesso ftp.

M.

[andrea]

Ma hai presente lo script per cambiare la grandezza del font dei siti accessibili? Quello và a scrivere in un qualche modo nel DOM del documento, ma a questo punto mi fai venire davvero il dubbio che non abbia modulo ajax allegato, devo controllare.

[mmleoni]

stai confondendo l'effetto (il js e xss) con la causa (il modo in cui sono entrati).

consiglio: concentrati su quest'ultimo aspetto e lascia stare js/dom/xss che non c'entrano niente...

ciao,
marco

[mau_develop]

Quello và a scrivere in un qualche modo nel DOM del documento.
--------------------------------------------------------------
infatti, è corretto.

La request che effettuo al server mi ritorna dei valori che verranno rappresentati graficamente dal browser, come oggetti.
Essendo oggetti e dovendo modellarli runtime per adattarli al mio browser ricorrerò al js ad ajax e ai css... ma sono tutte cose mie, del mio browser, non del sito.

Infatti, se apri firebug, hai una rappresentazione grafica della modellazione. Il tuo sito potrei vederlo completamente diverso da come tu lo hai fatto agendo sul mio dom; posso eliminare contenuti, cambiare colori etc.. nn sono bug, sono funzionalità.

Il bug sopraggiunge quando il mio browser non riesce a rimanere nella "sandbox" dove gira e inizia a restituire cose non previste e volute.

Le cose si sono complicate col cosiddetto web 2.0, che non vuol dire nulla, se non un ulteriore livello di request: Ajax, richieste asincrone e silenzione che possono avvenire a livello di dom intriducendo ulteriori punti di vulnerabilità.

Quello che potrebbe essere successo a te è che sei capitato in una csrf. Ti faccio un esempio grossolano:

- sei loggato e stai scrivendo un'articolo ( scrivere un articolo significa mettere del testo in un form e spedirlo )

- il form che spedirà il tuo articolo controllerà che tu abbia l'autorizzazione per farlo prima di eseguire la richiesta controllando i tuoi cookies (browser), ma non controlla da dove gli viene la richiesta.

- Io so il tuo nick e alcuni tuoi dati, guardo su facebook il nome e il nick di una tua amica e ti mando una fake mail con un link ad una finta pagina di Picasa: Ciao Andrea, ero indecisa se farti vedere questa foto...

- Clicchi e finisci in una pagina che spedisce un form replicato da quello joomla che spedisce l'articolo e con dentro il contenuto che voglio io, ovviamente con tutte le path per il tuo sito.

- Dopo la spedizione del form lo script finisce in un'altra finta pagina con scritto: L'utente ha rimosso l'immagine.

Il gioco è fatto.

Joomla è sempre stato abbastanza sicuro da qs punto di vista, ha dei csrf ma sono su form mail, puoi fare spam ma non buchi nulla.

Il problema sono sempre gli sviluppatori. Per sviluppare basta conoscere php ma a volte non basta ormai... perchè rinunciare ad Ajax, alle jquery a tutto quel mondo invisibile che crea effetti particolari semplicemente copiando il codice e inserendolo nel sito?

Non consideri però che quello non è un'effetto a se stante, è una parte molto attiva del tuo sito e bastarda, perchè invisibile.

M.