Errori 503, probabile attacco: Server Zombie?

[cronopio]

Ciao,
premetto che non sono particolarmente esperto di problematiche di sicurezza server, quindi chiedo scusa in anticipo se ci saranno approssimazioni in quel che scrivo.


Da qualche tempo, sul server PaaS dove risiedono alcuni miei siti Joomla (alcuni versione 1.5, altri 3), hanno cominciato a verificarsi frequentemente degli errori 503 (server unavailable), che mi costringono ogni volta a riavviare il server.


Analizzando il log, si evince che probabilmente qualche script malizioso effettua dei tentativi di connessione multipli a siti esterni, raggiungendo così il massimo di connessioni consentite e provocando l'errore. Log si trovano righe tipo queste, su molti indirizzi diversi:




[15-Dec-2014 13:18:34] WARNING: [pool www] child 20967 said into stderr: "* About to connect() to intele.com port 80 (#0)"
[15-Dec-2014 13:18:34] WARNING: [pool www] child 20967 said into stderr: "*   Trying 109.200.12.123..."
[15-Dec-2014 13:19:34] WARNING: [pool www] server reached max_children setting (4), consider raising it
[15-Dec-2014 13:19:40] WARNING: [pool www] child 20964 said into stderr: "* About to connect() to dc-d73822b7.snowstresser.com port 80 (#0)"


(i tentativi di connessione proeseguono fino a che nonha luogo l'errore)


[15-Dec-2014 13:57:55] WARNING: [pool www] child 20979 said into stderr: "* additional stuff not fine transfer.c:1037: 0 0"
[15-Dec-2014 13:57:56] WARNING: [pool www] child 20979 said into stderr: "* additional stuff not fine transfer.c:1037: 0 0"
[15-Dec-2014 13:57:57] WARNING: [pool www] child 20979 said into stderr: "* additional stuff not fine transfer.c:1037: 0 0"
[15-Dec-2014 13:57:57] WARNING: [pool www] child 20983 said into stderr: "* About to connect() to blockchain.info port 80 (#0)"
[15-Dec-2014 13:57:57] WARNING: [pool www] child 20983 said into stderr: "*   Trying 190.93.243.195..."
[15-Dec-2014 13:57:57] WARNING: [pool www] child 20983 said into stderr: "* connected"
[15-Dec-2014 13:57:57] WARNING: [pool www] child 20983 said into stderr: "* Connected to blockchain.info (190.93.243.195) port 80 (#0)"
[15-Dec-2014 13:57:57] WARNING: [pool www] child 20983 said into stderr: "> GET / HTTP/1.1"
[15-Dec-2014 13:57:57] WARNING: [pool www] child 20983 said into stderr: "* additional stuff not fine transfer.c:1037: 0 0"
[15-Dec-2014 13:57:57] WARNING: [pool www] child 20983 said into stderr: "* HTTP 1.1 or later with persistent connection, pipelining supported"
[15-Dec-2014 13:57:57] WARNING: [pool www] child 20983 said into stderr: "< HTTP/1.1 503 Service Unavailable"


 Temo quindi che i miei siti siano diventati zombie di un DDoS.
 
 Ho a questo punto:


 - Scaricato in locale tutti i siti ed effettuato un scansione con vari tool;
 - Ho individuato alcuni file infetti e li ho rimossi tanto in locale quanto sul server;
 - Ho modificato e "fortificato" le password FTP e del pannello di controllo del server;
 
 Ma, a quanto pare, tutto questo non ha sortito granché. Gli errori 503 continuano a presentarsi, con molta frequenza, e i log riportano lo stesso tipo di fenomeni (connessioni+ errori).
 
Non so più cosa fare, a parte continuare a scansionare in locale i siti con tutti software antimalware che trovo...


Potete aiutarmi?
Grazie, ciao
Marco

[steganoga]

hai qualche estensione "social" ?

sicuro che sia relativo a joomla e non a script direttamente nel server?

[cronopio]

No, nessuna estensione social.

Rispetto alla seconda domanda ti chiedo: dove dovrebbero essere collocati questi script? Comunque nelle cartelle htdocs di ogni host? O altrove?

Nel primo caso, avendo scaricato in locale il backup completo dei folder pubblici, vale il discorso che ti dicevo: gli script malevoli che ho individuato li ho cancellati dal server, ma non è servito. Nel secondo, dove eventualmete potrei vedere?

[steganoga]

dove dovrebbero essere collocati questi script?

Potrebbero essere ovunque.
Visti i vettori possibili offerti dalle numerose applicazioni vulnerabili potrebbero aver fatto qualsiasi cosa.

Lo "script malevolo" non è semplice da individuare in quanto sarebbe più corretto chiamarlo "normalissimo codice che fa cose malevoli" ... devi quindi conoscere il codice e analizzare file per file.

Ottimi suggerimenti li trovi nei post in evidenza.

[cronopio]

Grazie, ma ti ripeto la domanda: per ovunque intendi anche in altre cartelle che non siano quelle pubbliche htdocs?

[steganoga]

certamente, dipende poi dalle capacità di chi ha configurato quel server poter capire con che probabiità questo è successo.
Solitamente, essendo un po' più complicato, se non ci sono particolari motivi (usare il server come pare a loro) ti piazzano una shell o cmq uno script da qualche parte tra i files o nei files.