Autore Topic: Strano codice che compare in più parti del sito  (Letto 9062 volte)

Offline Angaelus

  • Esploratore
  • **
  • Post: 66
  • Sesso: Maschio
    • Mostra profilo
Strano codice che compare in più parti del sito
« il: 22 Ott 2012, 17:34:06 »
Buongiorno a tutti.
Il problema che ho riscontrato e con il quale sto lottando da diversi giorni è il seguente.
Sito: http://www.latorrenera.com
Joomla: 1.5.26
Componenti installati: Akeeba Backup, Kunena Forum, Jupgrade, Linkr, xmap


Ho resettato completamente il sito, sostanzialmente rifacendolo da capo in remoto per pulirlo di tutto ciò che era eliminabile. Rimesso online capita che dopo un paio di ore, compare un pezzo di codice in diverse parti del sito. Il codice in questione è: document.write('');" />. Come potete vedere, compare nella home del sito nell'intestazione e in alcuni moduli (Cerca nel sito, Sondaggi...). Pensavo fosse un problema di template, quindi l'ho rifatto da capo e reinstallato. Per le solite due ore tutto procede bene, poi improvvisamente torna quel codice.
Infine, oggi ho notato che non compare solo nel front-end, ma anche nella parte amministrativa. Vi allego l'immagine del login al pannello amministrativo. Questo mi fa intendere (se non erro) che non è un problema di template, ma c'è qualcos'altro che non va.
Ho provato a togliere e reinstallare tutti i componenti, ma non cambia nulla, mi da sempre lo stesso problema. Avete qualche suggerimento?

[allegato eliminato da un amministratore essendo vecchio più di un anno]
L'uomo in nero fuggì nel deserto e il pistolero lo seguì.

http://www.latorrenera.com

joomla_fan

  • Visitatore
Re:Strano codice che compare in più parti del sito
« Risposta #1 il: 22 Ott 2012, 17:44:05 »
Ciao.

Credo tu possa avere un problema simile a questo:

http://forum.joomla.it/index.php/topic,167641.msg754775.html#msg754775

« Ultima modifica: 22 Ott 2012, 17:56:17 da joomla_fan »

Offline maicolstaip

  • Global Moderator
  • Instancabile
  • ********
  • Post: 17623
  • Sesso: Maschio
    • Mostra profilo
Re:Strano codice che compare in più parti del sito
« Risposta #2 il: 22 Ott 2012, 17:59:04 »
Ciao Angaelus,
ti sono entrati di sicuro.


Non si risponde a PM tecnici. Postate sul forum. Grazie.

Offline Angaelus

  • Esploratore
  • **
  • Post: 66
  • Sesso: Maschio
    • Mostra profilo
Re:Strano codice che compare in più parti del sito
« Risposta #3 il: 22 Ott 2012, 18:09:58 »
Ciao maicolstaip :D Sempre un piacere ritrovarti!


Mh... pensavo anche io una cosa del genere... ma a questo punto cosa mi consigli di fare?
L'uomo in nero fuggì nel deserto e il pistolero lo seguì.

http://www.latorrenera.com

Offline maicolstaip

  • Global Moderator
  • Instancabile
  • ********
  • Post: 17623
  • Sesso: Maschio
    • Mostra profilo
Re:Strano codice che compare in più parti del sito
« Risposta #4 il: 22 Ott 2012, 20:31:48 »
Ciao,
segui questo post e con un po' di sbattimento risolverai:
http://forum.joomla.it/index.php/topic,117151.0.html
Non si risponde a PM tecnici. Postate sul forum. Grazie.

Offline Angaelus

  • Esploratore
  • **
  • Post: 66
  • Sesso: Maschio
    • Mostra profilo
Re:Strano codice che compare in più parti del sito
« Risposta #5 il: 23 Ott 2012, 19:53:26 »
Grazie mille per il suggerimento e per lo spostamento.


Dunque, ho seguito la guida suggerita da maicolstaip. Rifatto tutto da capo, scansionato file di backup, rimesso nuovo Joomla, installato nuove estensioni aggiornate e rimesso tutto online.
Provato tutto in locale e tutto funzionante a dovere.
Eseguo installazione in remoto e tutto procede bene... ma ecco che dopo un istante ricompare quello stramaledetto codice. Non più nell'intestazione del sito, ma solo in un paio di moduli.


Non so se può essere di qualche rilevanza, ma ho aperto il sito con chrome e ho selezionato "visualizza sorgente pagina". Spulciando nella finestra che si è aperta ho trovato il codice che ho messo in allegato (non mi fidavo a copiarlo qui :p). Si ripete sei volte, in posizioni diverse.
E' normale?
Qualche idea in merito?

[allegato eliminato da un amministratore essendo vecchio più di un anno]
L'uomo in nero fuggì nel deserto e il pistolero lo seguì.

http://www.latorrenera.com

Offline maicolstaip

  • Global Moderator
  • Instancabile
  • ********
  • Post: 17623
  • Sesso: Maschio
    • Mostra profilo
Re:Strano codice che compare in più parti del sito
« Risposta #6 il: 24 Ott 2012, 12:38:22 »
Ciao Angaelus,
innanzitutto bravo, sia per il lavoro che hai fatto nel tuo sito, sia per la questione dell'allegato del precedente post.

A questo punto, ti suggerisco di chiedere all'hosting, se sei su server condiviso, può darsi che entrino attraverso altri sistemi che tu non puoi controllare.

Attendi anche qualche altro suggerimento di qualcuno che ne sappia più di me, che ovviamente non sono onniscente ;)

Ciao!
Non si risponde a PM tecnici. Postate sul forum. Grazie.

mau_develop

  • Visitatore
Re:Strano codice che compare in più parti del sito
« Risposta #7 il: 24 Ott 2012, 13:36:47 »
...ma non è qualcosa che installi con qualche estensione?
...qualche sviluppatore che impone quello per la versione free dell'estensione?
hai provato disabilitando tutto ciò che hai installato in + e rimettendo un template originale se quella scritta rimane?

M.

mmmhh no, purtroppo è codice iniettato, quello che c'è di buono è che sembra spam, nessun malware.
« Ultima modifica: 24 Ott 2012, 13:44:45 da mau_develop »

Offline Angaelus

  • Esploratore
  • **
  • Post: 66
  • Sesso: Maschio
    • Mostra profilo
Re:Strano codice che compare in più parti del sito
« Risposta #8 il: 24 Ott 2012, 15:21:59 »
Grazie mille per il complimento e per i suggerimenti.


Allora, oggi aprirò un ticket per richiedere al mio host qualche info in merito.


Per quanto riguarda mau_develop, ti dico che sul mio sito sono stato molto molto molto stretto come estensioni. Le uniche che ho installato sono:
xmap
Kunena
Akeeba Backup
Linkr


Nessuno di questi, a meno che non abbia letto bene, impone nulla. E se così fosse, domandina, non dovrebbe comparire il problema anche in locale? O sbaglio?


Ora sto facendo un'altra prova, rifacendo dal principio il tutto e provando ad impostare, appena uppato il sito, i permessi cartelle diversi da quelli che c'erano.
Più di così, non saprei davvero cosa fare :(
L'uomo in nero fuggì nel deserto e il pistolero lo seguì.

http://www.latorrenera.com

Offline nettuno75

  • Esploratore
  • **
  • Post: 108
  • Sesso: Maschio
  • PHPBB3 Oresterosso
    • Mostra profilo
Re:Strano codice che compare in più parti del sito
« Risposta #9 il: 05 Nov 2012, 22:07:13 »
un ulteriore prova la puoi fare..
prova ad individuare quello script nel file index.php del tuo template.
utilizza firebug con il tuo browser, la dove dove ti rilevera quel codice lo andrai ad eliminare.
sempre al file index.php dai i permessi 444 cosi se il malevolo entra da qualche estensione o plugin  buggato non avra modo di operare...

a me e successa la stessa cosa,il BAST..DO a sfruttato una falla che era presente nel plugin jce mediabox.
Fama di loro il mondo esser non lassa;
misericordia e giustizia li sdegna;
non RAGIONIAM di lor, ma guarda e passa

Offline subcarlos

  • Nuovo arrivato
  • *
  • Post: 15
    • Mostra profilo
Re:Strano codice che compare in più parti del sito
« Risposta #10 il: 10 Nov 2012, 11:59:40 »
Ciao Angaelus,
innanzitutto bravo, sia per il lavoro che hai fatto nel tuo sito, sia per la questione dell'allegato del precedente post.

A questo punto, ti suggerisco di chiedere all'hosting, se sei su server condiviso, può darsi che entrino attraverso altri sistemi che tu non puoi controllare.

Attendi anche qualche altro suggerimento di qualcuno che ne sappia più di me, che ovviamente non sono onniscente ;)

Ciao!

Domanda: se questi file strani sono comparsi anche su un'altra cartella dell'hosting condiviso, è probabile che sia per via ftp?

Offline Sansoweb

  • Nuovo arrivato
  • *
  • Post: 45
    • Mostra profilo
Re:Strano codice che compare in più parti del sito
« Risposta #11 il: 12 Nov 2012, 16:35:36 »
Ciao potresti avere lo script su tutte le pagine index.php e index.html
Ci sono stati molti problemi in queste settimane per colpa di un brutto virus che gira....
se guardi gli altri post siete tutti più o meno nella stessa situazione...
cioè virus sul pc che si connette sul ftp tramite magari filezilla ed infetta tutto...
se non pulisci il pc ogni volta che carichi qualcosa lo infetti nuovamente....
ciao ;)

Offline subcarlos

  • Nuovo arrivato
  • *
  • Post: 15
    • Mostra profilo
Re:Strano codice che compare in più parti del sito
« Risposta #12 il: 12 Nov 2012, 16:42:20 »
Ah ok, grazie della dritta, stavo cominciando a pensare che il problema provenisse da problema che hai spiegato tu, perchè ho controllato tutti gli aspetti che sono spiegati nella guida sulla sicurezza, e dato che il pc su cui mi trovo è pulito e di recente installazione, penso che il problema provenga da qualcuno dei pc degli altri amministratori. Grazie mille!


Offline Sansoweb

  • Nuovo arrivato
  • *
  • Post: 45
    • Mostra profilo
Re:Strano codice che compare in più parti del sito
« Risposta #13 il: 12 Nov 2012, 16:48:09 »
figurati ti consiglio di fargli usare combofix e di non fargli salvare le credenziali di accesso ai server... ;)

Offline subcarlos

  • Nuovo arrivato
  • *
  • Post: 15
    • Mostra profilo
Re:Strano codice che compare in più parti del sito
« Risposta #14 il: 12 Nov 2012, 17:04:36 »
Io avevo usa Mbam, non va bene? Ah dici addirittura di non salvare la pass su filezilla? Bella storia, chi se la ricorda a memoria  ;D

Offline Sansoweb

  • Nuovo arrivato
  • *
  • Post: 45
    • Mostra profilo
Re:Strano codice che compare in più parti del sito
« Risposta #15 il: 12 Nov 2012, 17:05:52 »
 ;D ;D ;D  ti capisco però per sicurezza.......

Offline Angaelus

  • Esploratore
  • **
  • Post: 66
  • Sesso: Maschio
    • Mostra profilo
Re:Strano codice che compare in più parti del sito
« Risposta #16 il: 13 Dic 2012, 14:33:46 »
Allora ragazzi... la disperazione è arrivata ad un punto critico.


Ho fatto tutto, ma davvero tutto quello che mi avete detto. Non riesco in nessun modo a mantenere il mio sito libero da codice strano e dall'avviso di malewere. Non so più davvero dove sbattere la testa.


Il backup che ho è pulito (almeno da quello che posso capirci io), il sito rimane perfetto e funzionante per cinque/sei giorni, dopodichè ci risiamo... Non posso cancellare e reistallare tutto il sito una volta a settimana.


Cosa posso fare? Che qualcuno mi aiuti, per favore... altrimenti mi vedrò costretto a cancellare tutto e via.


Grazie a tutti per l'attenzione e per l'aiuto.
L'uomo in nero fuggì nel deserto e il pistolero lo seguì.

http://www.latorrenera.com

Offline maicolstaip

  • Global Moderator
  • Instancabile
  • ********
  • Post: 17623
  • Sesso: Maschio
    • Mostra profilo
Re:Strano codice che compare in più parti del sito
« Risposta #17 il: 13 Dic 2012, 18:22:00 »
Ciao Angaelus,
l'infezione riguarda i file .js

Da qui risultano infetti

plugins/system/mtupgrade/mootools.js
media/system/js/caption.js
templates/torrenera/script.js
templates/torrenera/jquery.js
media/com_acymailing/js/acymailing_module.js
modules/mod_homepageslideshow/swfobject.js

Verifica i files,
verifica se le estensioni sono aggiornate, mi pare che tempo fa fu scoperta una vulnerabilità in vecchie versioni di acymailing,
verifica di non avere nel sito un file .pl, magari nell'eventuale cartella backup o nella cartella cgi-bin.
In caso, cancellalo senza pietà che è lui che fa partire l'infezione. Se non lo elimini, ti troverai sempre nella stessa situazione.

Altro non saprei suggerirti...

Ciao!
Non si risponde a PM tecnici. Postate sul forum. Grazie.

Offline Angaelus

  • Esploratore
  • **
  • Post: 66
  • Sesso: Maschio
    • Mostra profilo
Re:Strano codice che compare in più parti del sito
« Risposta #18 il: 13 Dic 2012, 18:57:32 »
Grazie maicol :D


Allora, ho scartabellato ogni cartella del sito, comprese quelle dell'hosting e non ho trovato nulla, nessun file .pl.


Per quanto riguarda i file che risultano infetti, hai modo di consigliarmi un metodo di verifica? Li ho scaricati e aperti, ma sono millemila righe di codice...


Per le versioni, tolto akeeba backup (che sul sito c'è scritto chiaramente di prendere la versione che ho io per joomla 1.5), tutte le estensioni sono aggiornate all'ultima versione.


Edit: una domanda da perfetto ateo. Ma com'è possibile che un backup pulito, si infetti nel giro di 5/6 giorni, nonostante tutte le contromisure prese?
« Ultima modifica: 13 Dic 2012, 19:05:17 da Angaelus »
L'uomo in nero fuggì nel deserto e il pistolero lo seguì.

http://www.latorrenera.com

Offline maicolstaip

  • Global Moderator
  • Instancabile
  • ********
  • Post: 17623
  • Sesso: Maschio
    • Mostra profilo
Re:Strano codice che compare in più parti del sito
« Risposta #19 il: 13 Dic 2012, 19:05:19 »
Ciao Angaelus,
per i files .js vedrai che il codice l'hanno appeso alla fine, dovrebbe essere facile individuarlo.

Per tutti gli altri files, in generale, puoi usare un programma che ti permette di cercare una data stringa di caratteri su tutti i files di una cartella.
Notepad++ ti permette di farlo.
https://www.google.it/search?q=notepad%2B%2B+find+in+files

Ciao!
Non si risponde a PM tecnici. Postate sul forum. Grazie.

Offline Angaelus

  • Esploratore
  • **
  • Post: 66
  • Sesso: Maschio
    • Mostra profilo
Re:Strano codice che compare in più parti del sito
« Risposta #20 il: 13 Dic 2012, 20:10:37 »

Ho provato a fare un secondo backup del sito "infetto". Scompattandolo, lo stesso antivirus mi individuava i vari problemi, cancellandoli.


Ora ho il backup pulito, scansionato, controllato il codice dei vari .js senza trovare nulla. Ricercato in tutte le cartelle file .pl, senza trovarlo.
Ho installato il sito in locale ed è tutto perfetto.


Ora come ora, mi sembra di avere un backup totalmente privo di infezioni.


Oltre a quello che ho già fatto, ovvero:
- Modificato credenziali di accesso a spazio web, ftp e a joomla stesso
- Fatto scansione del pc con: AVG, AD-AWARE, SPYBOT, COMBOFIX
- Permessi cartelle 0755, file 0644
- Cancellato Super Admin con id 62
- Aggiornato tutte le estensioni


Prima di rimettere tutto online, cos'altro posso fare per evitare che, per l'ennesima volta, questa "copia pulita", venga infettata?


Grazie ancora a tutte, specie a maicol che mi sopporta da troppo :p
L'uomo in nero fuggì nel deserto e il pistolero lo seguì.

http://www.latorrenera.com

Offline nettuno75

  • Esploratore
  • **
  • Post: 108
  • Sesso: Maschio
  • PHPBB3 Oresterosso
    • Mostra profilo
Re:Strano codice che compare in più parti del sito
« Risposta #21 il: 13 Dic 2012, 20:55:12 »
Pei i file php del template usa i permessi 444.. :)

Fama di loro il mondo esser non lassa;
misericordia e giustizia li sdegna;
non RAGIONIAM di lor, ma guarda e passa

Offline Angaelus

  • Esploratore
  • **
  • Post: 66
  • Sesso: Maschio
    • Mostra profilo
Re:Strano codice che compare in più parti del sito
« Risposta #22 il: 14 Dic 2012, 14:51:58 »

Sito nuovamente online, pulito. Eseguito le seguenti scansioni:
- Tool Webmaster di Google
- AVG Threat Labs
- URLVoid
- HackerTarget
- Sucuri


Tutti hanno dato risultato "Clean".


Permessi cartelle a 0755, permessi file a 0644 e permessi .php template e config a 0444.


Posso sperare di vedere il mio sito pulito per più di 5 giorni?
L'uomo in nero fuggì nel deserto e il pistolero lo seguì.

http://www.latorrenera.com

mau_develop

  • Visitatore
Re:Strano codice che compare in più parti del sito
« Risposta #23 il: 14 Dic 2012, 15:18:08 »
se non hai vulnerabilità nelle estensioni, nei template o nelle cose che hai aggiunto direi di si
se non passano dal server direi di si

cambiare i permessi non serve a quasi nulla, nelle normali configurazioni hosting se li puoi cambiare tu li possono cambiare anche loro una volta sul server, e scrivere le modifiche

Offline Angaelus

  • Esploratore
  • **
  • Post: 66
  • Sesso: Maschio
    • Mostra profilo
Re:Strano codice che compare in più parti del sito
« Risposta #24 il: 14 Dic 2012, 15:23:34 »
E ovviamente, lato server io non posso fare assolutamente nulla, giusto?
L'uomo in nero fuggì nel deserto e il pistolero lo seguì.

http://www.latorrenera.com

mau_develop

  • Visitatore
Re:Strano codice che compare in più parti del sito
« Risposta #25 il: 14 Dic 2012, 23:11:30 »
no, se non scegliere servizi seri e configurazioni ottimizzate per l'applicazione.

M.

Offline Angaelus

  • Esploratore
  • **
  • Post: 66
  • Sesso: Maschio
    • Mostra profilo
Re:Strano codice che compare in più parti del sito
« Risposta #26 il: 15 Dic 2012, 09:24:05 »
Incredibile, il sito pulito è durato circa 12 ore!!! Mi stanno girando in modo incredibile!!


Non so davvero che fare, se non buttare via due anni lavoro...
L'uomo in nero fuggì nel deserto e il pistolero lo seguì.

http://www.latorrenera.com

Offline Angaelus

  • Esploratore
  • **
  • Post: 66
  • Sesso: Maschio
    • Mostra profilo
Re:Strano codice che compare in più parti del sito
« Risposta #27 il: 17 Dic 2012, 13:11:03 »
Nuovo aggiornamento.


Ieri sera ho di nuovo messo online il backup pulito, stavolta però ho direttamente disinstallato le estensioni in locale prima (acymailing).
Rimesso tutto online, tutto pulito e scansionato.


Questa mattina è di nuovo infetto... Quando cerco di aprirlo dal browser, l'antivirus blocca dicendo che c'è pericolo trojan.


Boh.. sono senza parole...
L'uomo in nero fuggì nel deserto e il pistolero lo seguì.

http://www.latorrenera.com

Offline maicolstaip

  • Global Moderator
  • Instancabile
  • ********
  • Post: 17623
  • Sesso: Maschio
    • Mostra profilo
Re:Strano codice che compare in più parti del sito
« Risposta #28 il: 17 Dic 2012, 19:29:28 »
Ciao Angaelus,
hai chiesto all'hosting?
Che dicono?
Non si risponde a PM tecnici. Postate sul forum. Grazie.

Offline Angaelus

  • Esploratore
  • **
  • Post: 66
  • Sesso: Maschio
    • Mostra profilo
Re:Strano codice che compare in più parti del sito
« Risposta #29 il: 17 Dic 2012, 19:57:51 »
Gli ho esposto tutto il problema, e l'unica cosa che mi hanno detto è stata "Vuole che le resettiamo lo spazio?".


Ora sto cercando di andare per vie alternative... Ho disinstallato tutto, acymailing, kunena, il modulo per il log in, gli utenti... tutto in pratica. Ora vediamo quanto dura.
L'uomo in nero fuggì nel deserto e il pistolero lo seguì.

http://www.latorrenera.com

Offline Angaelus

  • Esploratore
  • **
  • Post: 66
  • Sesso: Maschio
    • Mostra profilo
Re:Strano codice che compare in più parti del sito
« Risposta #30 il: 18 Dic 2012, 13:40:27 »
E' di nuovo durato poco più di 12 ore. Nuovamente avviso dell'antivirus che visitando la pagina si rischia di essere infettati da un trojan... E ora di estensioni proprio non ne ho, se escludiamo xmap...
L'uomo in nero fuggì nel deserto e il pistolero lo seguì.

http://www.latorrenera.com

Offline Angaelus

  • Esploratore
  • **
  • Post: 66
  • Sesso: Maschio
    • Mostra profilo
Re:Strano codice che compare in più parti del sito
« Risposta #31 il: 20 Dic 2012, 19:33:50 »
Nuovo aggiornamento. Ho voluto fare una pazzia e ho rifatto il sito da zero, questa volta però utilizzando Joomla 2.5. Template anche rifatto da zero. Sito online da circa due giorni e, per ora, nessun problema di infezioni strane (ma non voglio dirlo troppo forte :p).


Che il problema fosse la versione 1.5?
L'uomo in nero fuggì nel deserto e il pistolero lo seguì.

http://www.latorrenera.com

Offline Angaelus

  • Esploratore
  • **
  • Post: 66
  • Sesso: Maschio
    • Mostra profilo
Re:Strano codice che compare in più parti del sito
« Risposta #32 il: 30 Dic 2012, 22:33:34 »
Mi dichiaro ufficialmente sconfitto... Nonostante abbia rifatto il sito con la versione 2.5 (l'ultima rilasciata), rifatto il template da zero e lasciato il tutto senza mettere alcun componente, se non Akeeba Backup, il sito risulta nuovamente infetto...


Se vado sulla home appare l'avviso del browser che avverte che è stato bloccato l'accesso al sito "thegodperspective.tv "


Non capisco davvero come sia possibile una cosa del genere... se qualcuno ha qualche idea, sono disposto a tutto!!
« Ultima modifica: 30 Dic 2012, 22:38:18 da Angaelus »
L'uomo in nero fuggì nel deserto e il pistolero lo seguì.

http://www.latorrenera.com

mau_develop

  • Visitatore
Re:Strano codice che compare in più parti del sito
« Risposta #33 il: 31 Dic 2012, 16:53:38 »
io cambierei hosting

 

Host

Torna su