Autore Topic: Aiuto - Dominio sospeso per attività illecita  (Letto 2766 volte)

Offline Vincenxo

  • Esploratore
  • **
  • Post: 57
    • Mostra profilo
Aiuto - Dominio sospeso per attività illecita
« il: 28 Ago 2010, 10:44:52 »
Salve a tutti,
Ieri sera mi hanno sospeso il dominio, resettato il tutto e mandato il backup con file di log e di scansione, a causa della presenza di malware nel dominio.

Vi chiedo aiuto perchè non ho esperienza su questi problemi e vorrei una mano per capire cosa è successo analizzando i file di log che mi hanno inviato.

Ringrazio anticipatamente chiunque sia disposto ad aiutarmi.

Vi allego i file di log.

Vincenzo

[allegato vecchio più di un anno eliminato automaticamente]

Offline alexred

  • Fuori controllo
  • *
  • Post: 25672
  • Sesso: Maschio
  • Esperto in ozio relaxed
    • Mostra profilo
Re:Aiuto - Dominio sospeso per attività illecita
« Risposta #1 il: 28 Ago 2010, 11:12:57 »
ciao Vincenxo,
che versione di Joomla avevi?
Quali estensioni e quali versioni avevi installate?

Offline Vincenxo

  • Esploratore
  • **
  • Post: 57
    • Mostra profilo
Re:Aiuto - Dominio sospeso per attività illecita
« Risposta #2 il: 28 Ago 2010, 11:23:25 »
Avevo Joomla 1.5.20 le estensioni ho sempre cercato di tenerle aggiornate, ma ultimamente non ho controllato se fossero uscite versioni nuove.
Cmq i componenti sono molti:
Chronocomment
Docman
EasyTemplate
Eventlist
Flippingbook
GUARDXT
JCE Editor
Ninja Rsssyndicator
Phocamaps
Rssfactory
Sh404sef
Xmap

PLUGIN
AVreloaded
Xtypo
artsexylightbox
yvsmiley
...

Dal log della scansione che hanno fatto sono state segnalate queste cartelle:
World writeable directory:
plugins/system/jalib20/

Suspicious directory:
administrator/components/com_extcalendar/
administrator/components/com_chronocontact/

Symlink to [/usr/local/awstats/wwwroot/icon]:
'/home/accademi/domains/accademiascacchi.it/awstats/icon'
# Regular expression match = [^(?!\s*(\/\/|\#|\*)).*/etc/passwd]:
'/home/accademi/domains/accademiascacchi.it/awstats/.data/awstats042010.accademiascacchi.it.txt'


Offline Vincenxo

  • Esploratore
  • **
  • Post: 57
    • Mostra profilo
Re:Aiuto - Dominio sospeso per attività illecita
« Risposta #3 il: 28 Ago 2010, 11:30:43 »
Il provider mi consiglia di reinstallare tutto da capo.
Ovviamente è una cosa che vorrei assolutamente evitare, dato che ci vorrebbe una vita per riconfigurare tutto.
Pensavo di caricare un vecchio backup che ho l'abitudine di fare ed aggiornare tutti i componenti, plugin...
Prima però vorrei ben capire cosa è successo quale componente è vulnerabile.

Il provider ha scritto che se reinserisco il backup con i file infetti mi disattivano il dominio.
Per analizzare i file prima di ricaricarli sul server quale antimalware posso utilizzare? C'è qualcosa di specifico per i siti internet?

Grazie dell'aiuto :-)

Offline jeckodevelopment

  • Administrator
  • Instancabile
  • *****
  • Post: 5668
  • Sesso: Maschio
    • Mostra profilo
Re:Aiuto - Dominio sospeso per attività illecita
« Risposta #4 il: 28 Ago 2010, 11:34:57 »
dai log che riporti sembra che il problema siano due estensioni "ChronoContact" e "com_extcalendar", dovresti controllare se non sono interessate da qualche vulnerabilità e controllare se utilizzi l'ultima versione delle tue estensioni.

Poi sempre dal tuo log sembra ci sia anche un sospetto per "awstats", il servizio di statistiche, controlla anche quello.

Offline Vincenxo

  • Esploratore
  • **
  • Post: 57
    • Mostra profilo
Re:Aiuto - Dominio sospeso per attività illecita
« Risposta #5 il: 28 Ago 2010, 11:48:37 »
ChronoContact fa parte di ChronoComment che non aggiornano dal 2009 quindi lo posso benissimo sostituire. Avete consigli per una valida alternativa?

com_extcalendar non riesco a capire che componente sia. E' per caso un componente nativo di Joomla?

Awstas non credo di averlo mai installato, inoltre si trova nella root del server e non in public_html. E' forse un servizio del provider? In questo caso sarebbero cavoli loro giusto?


mau_develop

  • Visitatore
Re:Aiuto - Dominio sospeso per attività illecita
« Risposta #6 il: 28 Ago 2010, 15:32:06 »
...secondo me il problema è che sono passati da qualche tua estensione vulnerabile ma poi hanno sfruttato un problemino del server con i link simbolici per bypassare il safe_mode.

secondo me entrambi dovete fare qualcosa. se sei sicuro che il backup è pulito parti pure da quello, ma la prima cosa da fare è sicuramente aggiornare le estensioni, tutte.

M.

Offline Vincenxo

  • Esploratore
  • **
  • Post: 57
    • Mostra profilo
Re:Aiuto - Dominio sospeso per attività illecita
« Risposta #7 il: 28 Ago 2010, 15:47:14 »
Io quello che posso fare appunto è tenere tutto il più aggiornato possibile.
Ma il provider? Se gli vado a dire qualcosa quelli si incazzano e danno sempre tutta la colpa al cliente.

mau_develop

  • Visitatore
Re:Aiuto - Dominio sospeso per attività illecita
« Risposta #8 il: 28 Ago 2010, 17:25:21 »
...infatti, al provider è abbastanza inutile dire molte cose ... ma non temere che se hanno fatto ciò che penso non sei il solo e anche lui ormai si è accorto del problema... si spera.

M.

 

Host

Torna su