Infezione sito

**blackwolf76** · 08-12-2012, 23:39

In effetti sto rimuovendo tutti i plugin che ho in comune sui due forum, e d ali cercare di isolare il problema.

Ma un plugin che non necessita di file caricati sulo server, ma che va ad integrarsi solo tramite file xml nel pannello, potrebbe creare questo tipo di problema??

In questo caso restringerei di molto il campo.

**y2ksw** · 08-12-2012, 23:47

disattiva tutti i plugin
cambia password all'ftp
controlla che sul tuo pc non vi siano worm o trojan
scarica tutti gli script in locale (*.php, *.js, *.htm, *.html)
scannerizza tutti questi file contro worm e virus
vai in diagnostica e rivela tutti i file che non appartengono a vbulletin
scarica questi file (mantenere la struttura) ed eliminali dal server
reinvia, sostituendo, tutti i file *.php e file *.js che fanno parte di vbulletin, ma che sono alterate
esegui il forum un paio di giorni senza aggiunte, per vedere se si ripete il problema
se non si ripete, attiva i plugin uno per uno per un periodo prolungato quando sei certo che vanno. nota che c'è un problema con vbseo che causa defacing e iniezioni di codice arbitrario e non so se è stato risolto
se il problema si ripete, c'è una falla nel sistema, del hosting, di ftp o dell'account hosting

**blackwolf76** · 09-12-2012, 00:22

Grazie anche a te per avermi risposto.

Riassumo tutto quello che ho fatto, magari sfoltiamo le ipotesi e le prove da fare.

Ho lo stesso problema su due forum hostati su due diversi server e con differenti credenziali. Sul primo ho avuto il problema da un po' di giorni e quindi ho fatto molti accessi via ftp, sul secondo invece non accedevo da mesi e mi son ritrovato nelle stesse condizioni, quindi escluderei problemi al mio pc e alle credenziali di accesso al sito. Ho già rimosso tutti i file di script dal server che non sono basilari del vbulletin, individuandoli con la data di ultima modifica, dopo aver riuppato tutti i file puliti del vbulletin che sostituiscono i precedenti infetti. A tal proposito ho notato che tutto il casino parte dai file contenuti nella cartella clientscript, che è quella che risulta infettata per prima. Inoltre ho notato che si generano dei file con nomi simili al VB ma che secondo me non sono suoi. Qualcuno lo potete trovare qui:

http://www.sendspace.com/file/0z8yhf

Riguardo a vbseo non lo ho utilizzato, o meglio lo tenevo sul forum uno ma senza usarlo, mentre sul forum due non ci stava e comunque è risultato infetto

Una sola cosa, ma i plugin che non hanno file uppati nel server possono creare questo problema??

PS: ma i file che permessi devono avere?? E se li metto in sola lettura 444, magari risolvo qualcosa??

**y2ksw** · 09-12-2012, 15:01

salvo per hacking diretto dell'account o per malconfigurazione del sistema su piano hosting, gli unici accessi per defacing/malware sono ftp e plugin, qualsiasi plugin. per cui inutile cercare oltre

quindi anche se sei convintissimo di non avere problemi su pc, è comunque un potenziale ingresso ai siti tramite ftp. non importa quanto lo utilizzi tu, ma quanto lo utilizza il worm

**blackwolf76** · 10-12-2012, 01:39

Vi aggiorno,
ho controllato il mio pc, come immaginavo era tutto ok, quindi ho sostituito e ripulito il server di tutti i file .js che ho trovato spulciando tutte le cartelle del server, ho cancellato un forum test che avevo, quindi ho rimosso un paio di plugin sospetti del forum e tutti i plugin del blog WP. Il tutto su entrambi i server su cui sono hostati i due siti. Per il momento pare che regge, su entrambi i fronti, speriamo bene.

**colin** · 11-12-2012, 21:04

No blackwolf76 il problema resta ancora mi son collegato poco fa'......quel godaddy non lo vedo bene ma proprio per nulla

In ogni caso se non vado errato dopo che fai la pulizia e' tutto il resto ,il sito per funzionare senza l'avviso devi aspettare che google sblocchi il sito e lo cancelli dalla blacklist! almeno per quando riguarda firefox/crome i.e. non ne ha bisogno

**blackwolf76** · 12-12-2012, 00:10

Originariamente Scritto da colin

No blackwolf76 il problema resta ancora mi son collegato poco fa'......quel godaddy non lo vedo bene ma proprio per nulla

In ogni caso se non vado errato dopo che fai la pulizia e' tutto il resto ,il sito per funzionare senza l'avviso devi aspettare che google sblocchi il sito e lo cancelli dalla blacklist! almeno per quando riguarda firefox/crome i.e. non ne ha bisogno

Ciao colin, è sempre un piacere.

Purtroppo il problema, come avrai letto, ci sta sia su godaddy che sull'altro che è su aruba. Cmq mi son documentato in giro e a quanto pare è una cosa abbastanza comune che sta colpendo diverse piattaforme, tipo wordpress e joomla.

Per ora pare che non ci siano problemi, pare... dopo aver completamente cancellato il server stamattina e rimesso tutto daccapo e ho rimosso wordpress dalla sottocartella. Incrocio le dita... e spero.

**Fabioo** · 12-12-2012, 10:15

Accipicchia, quindi le mie perplessità sull'utilizzare un sottodominio invece di una sottodirectory per il forum non erano infondate! peccato che abbia optato per una sottodirectory /forum ....

Dopo quello che ho letto qui, devo trovare il modo di spostare joomla su un altro server, lontano da vBulletin

**y2ksw** · 12-12-2012, 13:56

Originariamente Scritto da Fabioo

Accipicchia, quindi le mie perplessità sull'utilizzare un sottodominio invece di una sottodirectory per il forum non erano infondate! peccato che abbia optato per una sottodirectory /forum ....

Dopo quello che ho letto qui, devo trovare il modo di spostare joomla su un altro server, lontano da vBulletin

il problema non è joomla, ma come sono collegati. se non c'è un bridge, allora non ci sono problemi. cose che si sanno e che mi sono stancato di ripetere

**Fabioo** · 12-12-2012, 17:39

Originariamente Scritto da y2ksw

il problema non è joomla, ma come sono collegati. se non c'è un bridge, allora non ci sono problemi. cose che si sanno e che mi sono stancato di ripetere

no non ce nessun bridge e l'installazione di joomla è abbastanza pulita da plugin e schifezze varie, però se dovessero trovare una falla, girando sia joomla che vbulletin nella stessa document root con gli stessi permessi e soprattutto con lo stesso utente unix, se riescono a caricare uno script, non possono andare a modificare i file di vbulletin?