Autore Topic: The requested URL was not found on this server.  (Letto 20939 volte)

Offline arcano22

  • Nuovo arrivato
  • *
  • Post: 42
    • Mostra profilo
The requested URL was not found on this server.
« il: 11 Feb 2013, 10:26:36 »

Salve a tutti.


Da più di una settimana ho problemi sul mio sito www.tyou.it ed a fasi alterne questo è il risultato alla sua apertura:



"Not Found - The requested URL was not found on this server."

La cosa strana è che non tutti gli utenti vedono o non vedono il sito, quando va ad alcuni, non va ad altri e così via.


Ho contattato l'hosting XXXXXXXX per capire se potessero esservi problemi di server, mi hanno risposto così:


Citazione
Gentile Cliente,in merito alla Sua segnalazione, La informiamo che abbiamo effettuato le opportune verifiche, individuando alcuni file nei quali è stato inserito un Javascript malevolo.Abbiamo effettuato dei controlli approfonditi presso il Server dove è ospitato il Suo sito, senza rilevare la presenza di eventuali problemi o accessi non autorizzati e, pertanto, La invitiamo a verificare di non avere script non aggiornati all'interno del Suo dominio, assicurandosi di avere sempre installate le ultime versioni degli script usati, in modo che terze persone non possano usare eventuali buchi di sicurezza delle applicazioni per accedere al Suo spazio web.



Hanno anche creato un file log:


Citazione

./portal/default.php:<?php eval(gzinflate

Eliminato  codice malevolo



A questo punto ho provveduto all'eliminazione di tutti i file default.php presenti nelle cartelle, ma il problema continua a persistere.


So che per inciso la cosa migliore è aggiornare, visto che sempre installato joomla 1.5.8.
Il problema è la difficoltà di migrazione, dovendo mantenere il template JATube ed avendo installato il componente HWDVideoShare con più di 300 video inseriti non so quanto una migrazione sia possibile senza lasciare per strada componenti.


Qualcuno potrebbe aiutarmi ad individuare le stringhe di codice malevolo per procedere alla rimozione?


Grazie mille.
« Ultima modifica: 11 Feb 2013, 10:36:16 da maicolstaip »

Offline arcano22

  • Nuovo arrivato
  • *
  • Post: 42
    • Mostra profilo
Re:The requested URL was not found on this server.
« Risposta #1 il: 11 Feb 2013, 11:36:07 »
Ho creato un semplice file html nella root del sito raggiungibile all'indirizzo


http://www.tyou.it/test.html


La cosa strana è che anch'esso (nel momento in cui il sito risulta down) non funziona.

Offline biv2533

  • Esploratore
  • **
  • Post: 66
    • Mostra profilo
Re:The requested URL was not found on this server.
« Risposta #2 il: 11 Feb 2013, 15:03:26 »
Ciao
non e' cosi' strano se per caso ti hanno inserito anche un file .htaccess con redirect
Verifica che sia quello corretto di Joomla (se lo usi) o sovrascrivilo con un corretto .htaccess, se invece non lo usi semplicemente cancellalo.

Puoi provare questo script, lo invia a mezzo FTP sul server e lo lanci digitando sul browser ilnomedeltuosito/virus-find.php

Codice: [Seleziona]
<?php
/* 
Semplice analisi recursiva di file con stringhe per il redirect o php codificate
ICV 20130201
da usare prima o dopo il file per rimuovere la lista dei files infetti su configurazioni joomla
*/


ini_set('max_execution_time''0');
ini_set('set_time_limit''0');


echo 
"<h1>Solo analisi recursiva di tutti i files per stringhe di </h1><p><b>document rewrite , encode64 , document.write</b> del sito:</p>";

$nomesito=$_SERVER['SERVER_NAME'];
echo 
"<h2><a href=http://".$nomesito.">".$nomesito."</a></h2><br>";

echo
'<a target=\"_new\" href=virus-find.php>Scansione dei files probabilmente infettati</a><br>';
echo
'<a target=\"_new\" href=virus-remove.php>Eseguire la rimozione dei files malevoli solo in specifiche directory</a><br>';
echo
'<a target=\"_new\" href=virus-htaccess.php>Eseguire la rimozione di tutti i files htaccess infettati</a><br>'
 
 
 
 
// ini_set('max_execution_time', '0');
// ini_set('set_time_limit', '0');
find_files('.');
function 
find_files($seed) {
  if(! 
is_dir($seed)) return false;
  
$files = array();
  
$dirs = array($seed);
  while(
NULL !== ($dir array_pop($dirs)))
    {
      if(
$dh opendir($dir))
        {
          while( 
false !== ($file readdir($dh)))
            {
              if(
$file == '.' || $file == '..') continue;
              
$path $dir '/' $file;
              if(
is_dir($path)) {    $dirs[] = $path; }
             else { if(
preg_match('/^.*\.(php[\d]?|txt|js|htaccess)$/i'$path)) { check_files($path); }}
            }
          
closedir($dh);
        }
    }
}
function 
check_files($this_file)
{
    
    
$str_to_find[]='eval(gzinflate(base64_decode';
    
$str_to_find[]='RewriteRule'// tipicamente in dentro .htaccess
    
$str_to_find[]='document.write'// dentro a file javascript
    
$str_to_find[]='document.write(\'<iframe'// specifico per virus
    

   
    
    
if(!($content file_get_contents($this_file)))
       { echo(
"<p><b>Non posso leggere:</b> $this_file Verificare manualmente il contenuto!</p>\n"); }
    else
        {
           while(list(,
$value)=each($str_to_find))
               {
                  if (
stripos($content$value) !== false)
                     {
                         echo(
"<p>$this_file -> contiene <b>$value</b></p>\n");
                      }
                 }
            }
    unset(
$content);
}
?>

Una volta mostrati a video i potenziali files infetti non li devi cancellare tutti, ma devi sapere esattamente quali si possono cancellare e quali no.
i vari files nelle sottodir TMPL ad esempio non vanno cancellati, ma esaminati a manoni.
Esempio: /tmpl/default.php

Stessa cosa per i Javascript, molti hanno al loro interno la regola di Document Write non necessariamente malevola.
I file con codice php offuscato tipo  eval(gzinflate(base64 salvo particolari casi invece sono tutti malevoli.
Puoi copia e incollare il codice usare uno dei tanti servii online che decodificano lo script oppure farti un PHP che utilizzando la funzione inversa te lo decodifichi in automatico.

Gli .htaccess invece, salvo protezione di qualche directory particolare in linea di massima si possono eliminare, comunque usa il tools solo per una ricerca poi lavora via FTP.

Ho contattato diversi hoster per il mio problema e naturalmente hanno negato ogni possibile infrazione, ma dopo la segnalazione i casi si sono molto ridotti, forse sara' stata solo fortuna. :)

« Ultima modifica: 11 Feb 2013, 15:06:36 da biv2533 »
A presto, Stefano

Offline arcano22

  • Nuovo arrivato
  • *
  • Post: 42
    • Mostra profilo
Re:The requested URL was not found on this server.
« Risposta #3 il: 11 Feb 2013, 16:06:00 »
Grazie per la risposta.


Ho eseguito il file virus-find ecco il messaggio:


Codice: [Seleziona]
Scansione dei files probabilmente infettati
Eseguire la rimozione dei files malevoli solo in specifiche directory
Eseguire la rimozione di tutti i files htaccess infettati


./virus.php -> contiene eval(gzinflate(base64_decode


./virus.php -> contiene RewriteRule


./virus.php -> contiene document.write


evidentemente avevo già tolto i file malevoli a mano.


Il problema continua a persistere però! Non so più dove sbattere la testa.

Offline biv2533

  • Esploratore
  • **
  • Post: 66
    • Mostra profilo
Re:The requested URL was not found on this server.
« Risposta #4 il: 11 Feb 2013, 16:39:32 »
Ammesso che non ci siano malconfigurazioni nel server e questo lo puo' sapere solo il tuo hoster, se chi cerca di raggiungere il tuo sito viene rediretto altrove c'e' per forza una htaccess da qualche parte o uno javascript che reindirizza.
Come dicevo lo script che ti ho inviato non rileva o meglio rileva, ma con molti falsi positivi la regola document.write
Importantissimo che tu abbia gia' pulito da tutti i default.php con codice offuscato.
Riesci a mettere online il sito, giusto per vedere cosa succede?

Adesso mi dice che: No configuration file found and no installation code available. Exiting...
Controllo e verifica che il configuration.php ci sia, sia pulito e corretto.
Sempre nelal root del sito verifica di non avere altri file .php strani, ad eccezione degli index.php e configuration.php

Verifica di non avere altri file .htm o .html, ma a giudicare dall'errore di prima direi di no
« Ultima modifica: 11 Feb 2013, 16:41:14 da biv2533 »
A presto, Stefano

Offline arcano22

  • Nuovo arrivato
  • *
  • Post: 42
    • Mostra profilo
Re:The requested URL was not found on this server.
« Risposta #5 il: 11 Feb 2013, 17:11:40 »
Avevo erroneamente toccato il file configuration.php adesso è ok.


Nella root ho un solo file .htaccess che reindirizza nella cartella portal (dove è installato joomla)


Codice: [Seleziona]
Redirect 301 /index.php http://www.tyou.it/portal

all'interno della cartella portal c'è un file htaccess.txt ma direi che è quello default di joomla



Codice: [Seleziona]
##
# @version $Id: htaccess.txt 10492 2008-07-02 06:38:28Z ircmaxell $
# @package Joomla
# @copyright Copyright (C) 2005 - 2008 Open Source Matters. All rights reserved.
# @license http://www.gnu.org/copyleft/gpl.html GNU/GPL
# Joomla! is Free Software
##




#####################################################
#  READ THIS COMPLETELY IF YOU CHOOSE TO USE THIS FILE
#
# The line just below this section: 'Options +FollowSymLinks' may cause problems
# with some server configurations.  It is required for use of mod_rewrite, but may already
# be set by your server administrator in a way that dissallows changing it in
# your .htaccess file.  If using it causes your server to error out, comment it out (add # to
# beginning of line), reload your site in your browser and test your sef url's.  If they work,
# it has been set by your server administrator and you do not need it set here.
#
#####################################################


##  Can be commented out if causes errors, see notes above.
Options +FollowSymLinks


#
#  mod_rewrite in use


RewriteEngine On


########## Begin - Rewrite rules to block out some common exploits
## If you experience problems on your site block out the operations listed below
## This attempts to block the most common type of exploit `attempts` to Joomla!
#
# Block out any script trying to set a mosConfig value through the URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
# Block out any script trying to base64_encode crap to send via URL
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]
# Block out any script that includes a <script> tag in URL
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Send all blocked request to homepage with 403 Forbidden error!
RewriteRule ^(.*)$ index.php [F,L]
#
########## End - Rewrite rules to block out some common exploits


#  Uncomment following line if your webserver's URL
#  is not directly related to physical file paths.
#  Update Your Joomla! Directory (just / for root)


# RewriteBase /




########## Begin - Joomla! core SEF Section
#
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_URI} !^/index.php
RewriteCond %{REQUEST_URI} (/|\.php|\.html|\.htm|\.feed|\.pdf|\.raw|/[^.]*)$  [NC]
RewriteRule (.*) index.php
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization},L]
#
########## End - Joomla! core SEF Section


Ho controllato i file php oltre ad index.php e configuration.php sembrerebbero normali.


Ti posto uno screen.

[allegato eliminato da un amministratore essendo vecchio più di un anno]

Offline biv2533

  • Esploratore
  • **
  • Post: 66
    • Mostra profilo
Re:The requested URL was not found on this server.
« Risposta #6 il: 11 Feb 2013, 17:44:15 »
Non avevo capito o forse non lo avevi detto che avevi un redirect.
Ora il sito non funziona, via Filezilla verifica il file .htaccess nell root del sito e al limite scaricalo e poi cancellalo e rilancia  quello script che ti ho passato.
Non e' possibile che restituisca solo quella schermata che hai mostrato.


A presto, Stefano

Offline arcano22

  • Nuovo arrivato
  • *
  • Post: 42
    • Mostra profilo
Re:The requested URL was not found on this server.
« Risposta #7 il: 11 Feb 2013, 18:01:24 »
Hai ragione:


Codice: [Seleziona]
./virus-find.php -> contiene eval(gzinflate(base64_decode
./virus-find.php -> contiene RewriteRule
./virus-find.php -> contiene document.write
./portal/htaccess.txt -> contiene RewriteRule
./portal/tmp/install_4c65d99fa3820/media/system/js/mootools-1.2.3.1-more.js -> contiene document.write
./portal/templates/ja_teline_ii/index.php -> contiene document.write
./portal/templates/ja_teline_ii/highslide/highslide-full.js -> contiene document.write
Non posso leggere: ./portal/templates/ja_sulfur/css/colors/default-ie.php Verificare manualmente il contenuto!
./portal/templates/ja_senecio/scripts/mootools.v1.1.js -> contiene document.write
./portal/templates/ja_senecio/scripts/opacity.js -> contiene document.write
./portal/templates/ja_senecio/ja_menus/ja_transmenu/ja.transmenu.js -> contiene document.write
./portal/templates/ja_norite/libs/cufon/js/cufon-yui.js -> contiene document.write
./portal/templates/ja_norite/libs/cufon/js/cufon.js -> contiene document.write
Non posso leggere: ./portal/templates/ja_norite/layouts/blocks/usertools/tools-mega.php Verificare manualmente il contenuto!
./portal/templates/ja_norite/js/ja.ddmod.js -> contiene document.write
./portal/templates/ja_lime/libs/cufon/js/cufon-yui.js -> contiene document.write
./portal/templates/ja_lime/libs/cufon/js/cufon.js -> contiene document.write
Non posso leggere: ./portal/templates/ja_lime/layouts/blocks/usertools/tools-mega.php Verificare manualmente il contenuto!
./portal/templates/ja_lime/js/ja.ddmod.js -> contiene document.write
./portal/templates/ja_kyanite_ii/libs/cufon/js/cufon-yui.js -> contiene document.write
./portal/templates/ja_kyanite_ii/libs/cufon/js/cufon.js -> contiene document.write
./portal/templates/ja_kyanite_ii/layouts/blocks/head.php -> contiene document.write
Non posso leggere: ./portal/templates/ja_kyanite_ii/layouts/blocks/usertools/tools-mega.php Verificare manualmente il contenuto!
./portal/templates/ja_kyanite_ii/js/ja.ddmod.js -> contiene document.write
./portal/templates/beez/index.php -> contiene document.write
./portal/plugins/system/piwik.php -> contiene document.write
./portal/plugins/system/legacy/html.php -> contiene document.write
./portal/plugins/hwdvs-videoplayer/jwflv.view.php -> contiene document.write
./portal/plugins/hwdvs-videoplayer/jwflv_v5.view.php -> contiene document.write
Non posso leggere: ./portal/plugins/hwdvs-thirdparty/rtmp.php Verificare manualmente il contenuto!
./portal/plugins/editors/tinymce/jscripts/tiny_mce/tiny_mce_gzip.js -> contiene document.write
./portal/plugins/editors/tinymce/jscripts/tiny_mce/tiny_mce.js -> contiene document.write
./portal/plugins/editors/tinymce/jscripts/tiny_mce/tiny_mce_popup.js -> contiene document.write
./portal/plugins/editors/tinymce/jscripts/tiny_mce/tiny_mce_src.js -> contiene document.write
./portal/plugins/editors/tinymce/jscripts/tiny_mce/themes/advanced/jscripts/charmap.js -> contiene document.write
./portal/plugins/editors/tinymce/jscripts/tiny_mce/themes/advanced/jscripts/image.js -> contiene document.write
./portal/plugins/editors/tinymce/jscripts/tiny_mce/themes/advanced/jscripts/link.js -> contiene document.write

[/size]
[/size]Adesso come procedo?

Offline arcano22

  • Nuovo arrivato
  • *
  • Post: 42
    • Mostra profilo
Re:The requested URL was not found on this server.
« Risposta #8 il: 12 Feb 2013, 17:12:51 »
ancora sito offline... >:( >:( >:(

 

Host

Torna su