+ Rispondi alla Discussione
Risultati da 1 a 22 di 22

[Risolto] Virus in joomla: si visualizza pagina hacker indiani

Ultimo Messaggio di Wolf Otakar il:
  1. #1
    Utente Premium L'avatar di delizard
    Data Registrazione
    Mar 2007
    Località
    Livorno
    Messaggi
    431
    Segui delizard su Twitter Aggiungi delizard su Google+ Aggiungi delizard su Facebook Aggiungi delizard su Linkedin Visita il canale Youtube di delizard

    [Risolto] Virus in joomla: si visualizza pagina hacker indiani

    Ciao,

    in un sito in joomla si visualizza sulla index e dentro l'area di amministrazione una pagina di hacker indiani invece che le normali pagine del sito. Ho fatto uno scan di tutto ils ito (e l'ho fatto pure fare all'hosting) ma non è stato trovato alcun codice malevole.
    Ho guardato anche nel file htaccess ma sembr atutto a posto.

    Coem può avvenire tale sostituzione di pagina? Come debellarla?

    Grazie per qualsiasi suggerimento,
    Un saluto!
    Siti Web e creazione contenuti ottimizzati SEO. Esperto in Web Marketing Turistico.

  2. #2
    Consiglio Direttivo L'avatar di Wolf Otakar
    Data Registrazione
    Apr 2006
    Località
    Calabria
    Messaggi
    7,473
    Segui Wolf Otakar su Twitter
    Ciao delizard,


    verifica il sito con questi tools:




    p.s.

    • plugin aggiornati ?
    • templates aggiornato ?
    • cms aggiornato ?
    • client ftp aggiornato?
    • hosting ?
    • modificata password sito + ftp?




  3. #3
    Utente Premium L'avatar di delizard
    Data Registrazione
    Mar 2007
    Località
    Livorno
    Messaggi
    431
    Segui delizard su Twitter Aggiungi delizard su Google+ Aggiungi delizard su Facebook Aggiungi delizard su Linkedin Visita il canale Youtube di delizard
    Ciao,

    intanto grazie!
    Li ho provati tutti e tutti segnalano che il sito è pulito... ma su questo esito non avevo quasi dubbi inq uanto sia con i miei antivirus che quelli dell'hosting mi avevano dato lo stesso risultato...

    Una pagina dove agisce il virus ad esempio è questa: http: // www . rondinellebedandbreakfast . com / gestione/

    (è anche un pò inquietante l'immagine...). Non riesco a capire come compaia questa invece del sito normale se non c'è nessun codice malevole.. sql injection?.. Vorrei intanto capire come fanno...

    Per il resto il cms (joomla) non è aggiornato e neanche i plugin... (comunque in base alle ultime esperienze penso che molta parte la giochino anche l'ftp e forse, soprattutto, la vulnerabilità dell'hosting... forse saranno solo sensazioni ma mi sembra così....)

    Grazie,
    ciao!
    Siti Web e creazione contenuti ottimizzati SEO. Esperto in Web Marketing Turistico.

  4. #4
    Consiglio Direttivo L'avatar di Wolf Otakar
    Data Registrazione
    Apr 2006
    Località
    Calabria
    Messaggi
    7,473
    Segui Wolf Otakar su Twitter
    Ciao delizard,


    Citazione Originariamente Scritto da delizard Visualizza Messaggio
    Per il resto il cms (joomla) non è aggiornato e neanche i plugin... (comunque in base alle ultime esperienze penso che molta parte la giochino anche l'ftp e forse, soprattutto, la vulnerabilità dell'hosting... forse saranno solo sensazioni ma mi sembra così....)


    aggiorna, aggiorna!


    Qualche link utile:
    http://www.joomla.it/notizie/6983-la...ggiamento.html
    http://forum.joomla.it/index.php?board=58.0


  5. #5
    Utente Premium L'avatar di delizard
    Data Registrazione
    Mar 2007
    Località
    Livorno
    Messaggi
    431
    Segui delizard su Twitter Aggiungi delizard su Google+ Aggiungi delizard su Facebook Aggiungi delizard su Linkedin Visita il canale Youtube di delizard
    ...eheh... si si lo sò che devo aggiornare... la mia osservazione non voleva escludere l'aggiornamento...
    Quindi comunque non c'è modo di individuare e debellare il virus?.. E aggiornando è probabile che il problema si risolva da sè?..
    Solo per capire...

    Grazie di tutto!
    ciao!
    Siti Web e creazione contenuti ottimizzati SEO. Esperto in Web Marketing Turistico.

  6. #6
    Consiglio Direttivo L'avatar di Wolf Otakar
    Data Registrazione
    Apr 2006
    Località
    Calabria
    Messaggi
    7,473
    Segui Wolf Otakar su Twitter
    Ciao delizard,



    versione di Joomla?




  7. #7
    Utente Premium L'avatar di delizard
    Data Registrazione
    Mar 2007
    Località
    Livorno
    Messaggi
    431
    Segui delizard su Twitter Aggiungi delizard su Google+ Aggiungi delizard su Facebook Aggiungi delizard su Linkedin Visita il canale Youtube di delizard
    Ciao,

    anziana... 1.7.3!

    ciauz
    Siti Web e creazione contenuti ottimizzati SEO. Esperto in Web Marketing Turistico.

  8. #8
    Consiglio Direttivo L'avatar di Wolf Otakar
    Data Registrazione
    Apr 2006
    Località
    Calabria
    Messaggi
    7,473
    Segui Wolf Otakar su Twitter
    Ciao delizard,



    risolto poi?

  9. #9
    Utente Premium L'avatar di delizard
    Data Registrazione
    Mar 2007
    Località
    Livorno
    Messaggi
    431
    Segui delizard su Twitter Aggiungi delizard su Google+ Aggiungi delizard su Facebook Aggiungi delizard su Linkedin Visita il canale Youtube di delizard
    Ciao,

    purtroppo no...
    Ho sostituito completamente tutti i file joomla e la sostituzione di pagina avviene lo stesso.. Quindi come può accadere? Deve esserci qualcosa nel database mysql giusto?
    Altrimenti in quali altri modi può avvenire tale sostituzione?...
    Puoi darmi qualche suggerimento su che cosa controllare?

    Grazie, ciao!
    Siti Web e creazione contenuti ottimizzati SEO. Esperto in Web Marketing Turistico.

  10. #10
    Utente Premium L'avatar di delizard
    Data Registrazione
    Mar 2007
    Località
    Livorno
    Messaggi
    431
    Segui delizard su Twitter Aggiungi delizard su Google+ Aggiungi delizard su Facebook Aggiungi delizard su Linkedin Visita il canale Youtube di delizard
    Ciao,

    non sono un esperto ma leggendo varie risorse ho trovato che potrebbe essere responsabile di ciò anche una falla su Apache... è possibile?

    Con fiddler aperto ottengo questo messaggio di Warning "on HTTP Protocol Violation".

    "[HTTPLint] with rare exceptions, server MUST include a DATE response header. RFC2616 Section 14.18"

    Può essere dovuto all'attacco hacker?

    Grazie, ciao!
    Siti Web e creazione contenuti ottimizzati SEO. Esperto in Web Marketing Turistico.

  11. #11
    Utente Premium L'avatar di delizard
    Data Registrazione
    Mar 2007
    Località
    Livorno
    Messaggi
    431
    Segui delizard su Twitter Aggiungi delizard su Google+ Aggiungi delizard su Facebook Aggiungi delizard su Linkedin Visita il canale Youtube di delizard
    ...mi ci sto avvicinando mi sà...
    Ho due siti colpiti dallo stesso hacker e ho controllato ora che risiedono sullo stesso esatto server (aruba)...

    ...mi sà che Apache ci cova...
    Siti Web e creazione contenuti ottimizzati SEO. Esperto in Web Marketing Turistico.

  12. #12
    Utente Premium L'avatar di delizard
    Data Registrazione
    Mar 2007
    Località
    Livorno
    Messaggi
    431
    Segui delizard su Twitter Aggiungi delizard su Google+ Aggiungi delizard su Facebook Aggiungi delizard su Linkedin Visita il canale Youtube di delizard
    Trovato questo:

    "
    The server could well be vulnerable.
    Once a 'script kiddy' gets in to one account on a server unless there are appropriate security measures in place then the attacker may be able to traverse in to other accounts using symlinks if permissions allow them to do so.
    This is a common thing I've seen trending lately especially on cPanel servers whereas once an attacker has 'broken' in to their first account due to web application vulnerabilities and will use scripts to then obtain the contents of the /etc/passwd file, then systematically attempt to make symbolic links to /home/accountname/public_html/ and or files within that which would be potentially accessible if the permissions are not set correctly (e.g. wp-config.php, configuration.php, etc, etc).
    If the server is set to allow symlinks through apache and the permissions on the files are not 'tight' then presto, the potential attacker has access to multiple accounts on the one server."

    Cosa sono questi symlinks? ... A questo punto dovrei contattare Aruba secondo te?
    Fammi sapere per favore che ne pensi di queste mie ricerche!

    Grazie, ciao!
    Siti Web e creazione contenuti ottimizzati SEO. Esperto in Web Marketing Turistico.

  13. #13
    Consiglio Direttivo L'avatar di Wolf Otakar
    Data Registrazione
    Apr 2006
    Località
    Calabria
    Messaggi
    7,473
    Segui Wolf Otakar su Twitter
    Ciao delizard,


    Citazione Originariamente Scritto da delizard Visualizza Messaggio
    Ho sostituito completamente tutti i file joomla e la sostituzione di pagina avviene lo stesso..

    sostituito i file ok, ma NON hai aggiornato........ (Joomla) esatto? ? ?

  14. #14
    Utente Premium L'avatar di delizard
    Data Registrazione
    Mar 2007
    Località
    Livorno
    Messaggi
    431
    Segui delizard su Twitter Aggiungi delizard su Google+ Aggiungi delizard su Facebook Aggiungi delizard su Linkedin Visita il canale Youtube di delizard
    Ciao,
    no, non ancora... lo farò, ma forse mi toccherà rifarlo perchè passare dalla 1.7 a quella attuale lo vedo un triplo salto mortale...

    Per le altre cose scritte dopo? Che ne pensi?...

    Grazie, ciao!
    Siti Web e creazione contenuti ottimizzati SEO. Esperto in Web Marketing Turistico.

  15. #15
    User L'avatar di capn3m0
    Data Registrazione
    Sep 2008
    Località
    Bologna
    Messaggi
    79
    Segui capn3m0 su Twitter Aggiungi capn3m0 su Google+ Aggiungi capn3m0 su Facebook Aggiungi capn3m0 su Linkedin
    Prova a cercare tutti i file .htaccess nel tuo spazio e a vedere se ci sono "strane" regole di redirect, magari con un conditional se provieni da motore di ricerca..

    Solitamente da lì riesci a trovare quale file viene richiamato e dove.. e estirpandolo dovresti risolvere il problema.

    Poi tutto il discorso aggiornamento etc.. vale lo stesso ovviamente

  16. #16
    Utente Premium L'avatar di delizard
    Data Registrazione
    Mar 2007
    Località
    Livorno
    Messaggi
    431
    Segui delizard su Twitter Aggiungi delizard su Google+ Aggiungi delizard su Facebook Aggiungi delizard su Linkedin Visita il canale Youtube di delizard
    Ciao,

    no, i file .htaccess vanno bene ... Come ho scritto credo possa dipendere da qualche falla sul server Apache... Sapete nulla su questa possibilità?

    Grazie,
    ciao!
    Siti Web e creazione contenuti ottimizzati SEO. Esperto in Web Marketing Turistico.

  17. #17
    Utente Premium L'avatar di delizard
    Data Registrazione
    Mar 2007
    Località
    Livorno
    Messaggi
    431
    Segui delizard su Twitter Aggiungi delizard su Google+ Aggiungi delizard su Facebook Aggiungi delizard su Linkedin Visita il canale Youtube di delizard
    ...io ho scritto adesso ad Aruba ricapitolando loro tutte le mie ricerche e pseudo-conclusioni... vediamo che mi rispondono!
    Vi tengo aggiornati!
    ciauz
    Siti Web e creazione contenuti ottimizzati SEO. Esperto in Web Marketing Turistico.

  18. #18
    User L'avatar di capn3m0
    Data Registrazione
    Sep 2008
    Località
    Bologna
    Messaggi
    79
    Segui capn3m0 su Twitter Aggiungi capn3m0 su Google+ Aggiungi capn3m0 su Facebook Aggiungi capn3m0 su Linkedin
    provo ad indovinare... ti risponderanno così!

    Gentile Cliente,

    in merito alla sua segnalazione abbiamo effettuato le opportune verifiche individuando alcuni file nei quali è stato inserito il codice malevolo da lei indicato.


    Abbiamo effettuato dei controlli approfonditi presso il Server dove è ospitato il suo sito senza rilevare la presenza di eventuali problemi o accessi non autorizzati e pertanto la invitiamo a verificare di non avere script non aggiornati all'interno del suo dominio assicurandosi di avere sempre installate le ultime versioni degli script usati in modo che terze persone non possano usare eventuali buchi di sicurezza delle applicazioni per accedere al suo spazio web.


    Al fine di evitare il ripresentarsi di tali situazioni ...
    fammi sapere come va.

    Ciao

  19. #19
    Utente Premium L'avatar di delizard
    Data Registrazione
    Mar 2007
    Località
    Livorno
    Messaggi
    431
    Segui delizard su Twitter Aggiungi delizard su Google+ Aggiungi delizard su Facebook Aggiungi delizard su Linkedin Visita il canale Youtube di delizard
    ahahah... è probabile.. ma tentar non nuoce!
    Siti Web e creazione contenuti ottimizzati SEO. Esperto in Web Marketing Turistico.

  20. #20
    User L'avatar di capn3m0
    Data Registrazione
    Sep 2008
    Località
    Bologna
    Messaggi
    79
    Segui capn3m0 su Twitter Aggiungi capn3m0 su Google+ Aggiungi capn3m0 su Facebook Aggiungi capn3m0 su Linkedin
    Comunque.. un modo lungo ma affidabile che puoi attuare è quello di scaricare tutti i file sul pc e tramite un sw di ricerca tipo il grep di linux (powergrep x windows x esempio) ricerchi delle stringhe note per offuscare i codici malevoli
    base64_decode
    eval
    etc.. in questo modo riesci ad identificare (presumibilmente) i file che creano il problema.
    Ultima modifica di Wolf Otakar; 12-10-13 alle 15:30 Motivo: No sms style!

  21. #21
    Utente Premium L'avatar di delizard
    Data Registrazione
    Mar 2007
    Località
    Livorno
    Messaggi
    431
    Segui delizard su Twitter Aggiungi delizard su Google+ Aggiungi delizard su Facebook Aggiungi delizard su Linkedin Visita il canale Youtube di delizard
    Ciao,
    quello lo avevo fatto... ma mentre in altri casi aveva funzionato bene, in questo no!

    Comunque sono riuscito a risolvere grazie anche al suggerimento di Aruba
    Io avevo sovrascritto tutti i file d aun backup precedente pensando che il codice malevole fosse stato inserito dentro a qualche file esistente... e forse in aprte era così ma non si risolveva perchè l'hacker aveva inserito anche file aggiuntivi (cartella "images" e temi) che evidentemente continuavano ad operare.
    Cancellando tutti i file e ricaricandoli ha funzionato. L'intrusione sembra dovuta ad una falla dell'editor JCE (che ho disinstallato), e ho cambiato username e password.
    Adesso rimane da aggiornare.

    Un salutone e grazie del vostro appoggio!
    Ciao!
    Ultima modifica di Wolf Otakar; 12-10-13 alle 15:30 Motivo: No sms style!
    Siti Web e creazione contenuti ottimizzati SEO. Esperto in Web Marketing Turistico.

  22. #22
    Consiglio Direttivo L'avatar di Wolf Otakar
    Data Registrazione
    Apr 2006
    Località
    Calabria
    Messaggi
    7,473
    Segui Wolf Otakar su Twitter
    Citazione Originariamente Scritto da delizard Visualizza Messaggio
    Comunque sono riuscito a risolvere grazie anche al suggerimento di Aruba
    Io avevo sovrascritto tutti i file d aun backup precedente pensando che il codice malevole fosse stato inserito dentro a qualche file esistente... e forse in aprte era così ma non si risolveva perchè l'hacker aveva inserito anche file aggiuntivi (cartella "images" e temi) che evidentemente continuavano ad operare.
    Cancellando tutti i file e ricaricandoli ha funzionato. L'intrusione sembra dovuta ad una falla dell'editor JCE (che ho disinstallato), e ho cambiato username e password.

    ... bene!


    Citazione Originariamente Scritto da delizard Visualizza Messaggio
    Adesso rimane da aggiornare.


+ Rispondi alla Discussione

Tag per Questa Discussione

^ Permessi di Scrittura

  • Tu non puoi inviare nuove discussioni
  • Tu non puoi inviare risposte
  • Tu non puoi inviare allegati
  • Tu non puoi modificare i tuoi messaggi
  •  
  • Il codice BB è Attivato
  • Le faccine sono Attivato
  • Il codice [IMG] è Attivato
  • Il codice [VIDEO] è Attivato
  • Il codice HTML è Disattivato
  • Trackbacks Attivato
  • Pingback Attivato
  • Refback Attivato

SEO by vBSEO 3.6.0 PL2 ©2011, Crawlability, Inc.