Scoperto malware su installazione fornita da cliente

[marco.mesgutti]

Ciao, un paio di settimane fa ho installato su server locale un pacchetto Joomla di ****** (metto gli asterischi perché non so se posso citare le Aziende).


Il pacchetto mi è stato inviato dal cliente per iniziare a prendere dimestichezza con questo template e il mi ocompenso non riguarda l’installazione ma tutto il lavoro successivo di caricamento articoli, immagini eccetera.


Ieri sera ho provato ad abilitare la funzione Minify e guardando il sorgente dal browser ho scoperto un link (eivto di riportare) con il tag “*** ***”.


Dal pannello di controllo del template avevo già notato che un paio di file venivano segnalati come modificati, il file custom.css e il file theme.php che si trova nella cartella layouts del template.
Non gli ho dato peso perche’ in effetti il file custom.css conteneva delle piccole modifiche, la dimensione di alcuni font, un paio di colori e poco altro.

Aprendo ieri sera invece il file theme.php ho trovato il seguente codice racchiuso tra i tag PHP:

Codice: [Seleziona]

*******
Così cercando un po’ in rete ho scoperto che si tratta di un malware. Rimuovendo infatti questo codice non appare più il link sospetto e anche dal Pannello del tema è scomparso l’avviso di modifica di questo file. Tranne l’avviso del file custom.css.


Ora mi sembra evidente che il mio cliente ha scaricato il pacchetto da qualche sito pirata.
Come devo comportarmi secondo voi?
Il mio cliente ha l’arrabbiaturia molto facile e non saprei proprio se farli notare il problema o evitare in quanto credo che la rimozione del codice malevolo il sito sia a posto.


Voi cosa fareste al mio posto?
Grazie per qualsiasi suggerimento o consiglio


Edit: il tag che ho inserito sopra è stato asteriscato, le due parole sono "p.o.r.n." senza i punti

edit by mod, I riferimenti vietati vanno asteriscati al completo altrimenti se si intuisce diventa inutile.
 
 
 

[mmleoni]

gli fai presente il problema, per iscritto, e se vuole che tu prosegua con il template da lui inviato te lo mette per iscritto.
ma stiamo scherzando? si può incavolare quanto vuole, ma se poi quel sito viene bannato dai motori di ricerca o bucato la colpa è tua che non hai fatto presente il problema.

(e taccio su altri aspetti limitandomi al codice civile)

ciao,
marco

[mau_develop]

Io un occhiatina al server la darei e pure cercherei di capire l'esatto funzionamento di quel malware, in alternativa piallerei la macchina... dopodiché mi sarebbe già salito un giramento che ti assicuro che il cliente strillerebbe la metà di me....

...poi da quando i clienti si scaricano roba per il mio lavoro?

[mmleoni]

...poi da quando i clienti si scaricano roba per il mio lavoro?

da quando hanno scoperto che se la scarichi tu gli tocca pagare i costi di licenza.

@marco
comunque dai un occhiata al pacchetto originale e vedi se il problema era lì piuttosto che sul tuo server.

ciao

[mau_develop]

da quando hanno scoperto che se la scarichi tu gli tocca pagare i costi di licenza.
....................

Avrei da sindacare sul termine ”cliente".  Sono cose alla Totò e peppino che poco hanno a che fare con la professionalità

..per il resto concordo..

[tomtomeight]

Una volta, tempo fa un cliente mi voleva fornire lui un apparecchio da installare, gli feci presente che mi faceva un piacere perché mi liberava da problemi di malfunzionamento, che mi risparmiavo il tempo per acquistarlo, mi risparmiavo l'anticipo di denaro per acquistarlo e mi liberava da futuri malfunzionamenti in quanto, gli spiegai che toccava a lui riportarlo al negoziante o rispedirlo al centro di asssistenza per usufruire della garanzia, insomma a me pagava l'installazione e poi arrivederci. Io gli proponevo invece un servizio completo di fornitura installazione con annessi e connessi, il cliente capì la differenza e mi affidò fornitura ed installazione. Bisogna parlare chiaro all'inizio senza gridare poi.

[marco.mesgutti]

Grazie a tutti per i pareri.
Ora devo solo decidere cosa fare, come dicevo il problema del malware credo l'ho risolto quindi il template è pulito. Non ho la certezza al 100% ma mi baso sugli avvisi nel pannello di controllo di Warp Framework che segnala qualsiasi modifica anche uno spazio aggiuntivo di tutti i file del template, il raffronto lo fa con il file checksum, e su una ricerca approfondita nei file.


Non ho ancora caricato il template sul server remoto, per adesso solo in locale, e devo decidermi cosa dirgli prima di partire in modo definitivo. Non credo ma se per qualsiasi motivo nel template dovesse esserci qualcos'altro sarebbe un bel problema in seguito da risolvere.


Per farvi capire, fino a l'anno scorso ero un cliente su ****** se lo ero ancora avrei scaricato quel template risparmiandomi una situazione che già immagino.


La situazione è che questo tizio va molto al risparmio ma quando deve pagarmi mi paga fino all'ultimo euro senza mai un problema, tranne appunto quando si verificano situazione come questa. Già vissuto un paio di problemi simili ed è stato un bagno di sangue 


 

[tomtomeight]

Per cortesia se una cosa non è consentita farla non aggiriamola a che serve asteriscare parzialmente? Poi se vogliamo prenderci in giro sulle regole ......

[mau_develop]

il problema è se il malware sta altrove o si è propagato, in questo caso il template è il problema minore.

Ricordati che violando una licenza ti metti in guai finanziari molto grossi soprattutto se la controparte è una solida società... voglio vedere dimostrare che non ne sapevi nulla... il sito glielo hai fatto tu e qs sarà la sua versione nonostante ti paghi bene o male.

Quello che può essere successo è qs o qualcosa di molto simile...
http://blog.sucuri.net/2013/02/website-malware-fixing-joomla-spam-hacks-conditional-payloads.html

Non è detto che il malware non sia direttamente inserito da chi distribuisce qualcosa, così chi scarica senza pagare ...paga doppio

[marco.mesgutti]

Per cortesia se una cosa non è consentita farla non aggiriamola a che serve asteriscare parzialmente? Poi se vogliamo prenderci in giro sulle regole ......

Stia calmo, nessuno prende in giro nessuno, prima cosa non comprendo come posso parlare di almeno 5 Framework gratuiti e open source senza che mi scappi chi è il produttore. Mi pare che non ha molto senso ed è piuttosto castrante per chi scrive e non conosce bene questo forum.
Difatti inizialmente ho precisato e nel dubbio ho asteriscato ma l'unica cosa che so di certo è che non si puà parlare di aziende che si occupano di Hosting.


Mi sarebbe comunque bastato un link a un regolamento, così lo leggo e probema risolto. Almeno questo.
 
 
 
 

[tomtomeight]

http://www.joomla.it/mediawiki/index.php?title=Come_si_utilizza_il_forum

Ecco il regolamento.

Io sto calmissimo ma se asterischi e poi fai capire cosa è mi spieghi a cosa serve?

[mau_develop]

come posso parlare di almeno 5 Framework gratuiti e open source senza che mi scappi chi è il produttore
------------------------------------
ummhh in che senso? se è gratuito e open perchè asteriscare?

[giusebos]

...la cosa più bella è che quando si indispettiscono ti danno del lei per prendere le distanze, a riprova che non sanno assolutamente usare lo strumento forum.

In effetti la frase "lei tomtom non sa chi sono io" fà tanto comedia all'italiana!

Totò e Peppino? Qualcuno aveva ragione

[marco.mesgutti]

Alcuni di voi credo abbiano seri problemi, non si spiega altrimenti perché ve la prendete con gente che sta dall'altra parte del monitor, che non vi ha fatto nulla e che ha solo chiesto aiuto o dei chiarimenti. Ma vi piace stuzzicare e provocare.
Complimenti vivissimi e in bocca al lupo a tutti voi.


 
 
 
 
 

[tomtomeight]

Se chiedere in modo cortese come ho fatto di far rispettare un regolamento che non hai letto ed ho dovuto farlo 2 volte, lo ritieni prendersela o stuzzicare qualcuno sbagli di grosso ho cose molto più importanti da fare. Qualcuno crede che esistino solo i loro problemi e tutto il resto deve passare in secondo piano. In bocca al lupo per la risoluzione.

[giusebos]

Stuzzicare e provocare...dai non esageriamo.