Malware - non funziona piu il forum

[mariocz]

Salve ho bisogno di voi da qualche giorno il forum superminicross.com/forumpitbike da seri problemi...molte volte gli antivirus degli utenti danno minaccia all'apertura del forum...abbiamo provato a caricare un backup ma dopo qualche ora torna punto e a capo...oggi invece la novità google "sospende" il nostro forum...come possiamo risolvere il problema...help..

[Micogian]

E' molto probabile che sia stato inserito un codice malevolo in alcuni file di sistema (a volte in molti).
Solitamente sono oggetto di questo tipo di attacco tutti i file index che si trovano nelle varie cartelle, ma non solo, recentemente gli attacchi hanno riguardato anche i file html del template.
Bisognerebbe avere un backup completo (file e database) e sostituire tutto.
L'alternativa è quella di controllare tutti i file modificati in quella data, aprirli con notepad++ e togliere la riga incriminata che dovrebbe essere una strana riga di codice "javascript" molto lunga, con numeri e codici strani.
I file intaccati possono essere centinaia, quindi ci vuole un esame approfondito di tutti i file in tutte le cartelle.
La data di modifica del file è significativa dell'intrusione.
Solo dopo aver eliminato tutti i codici malevoli si può chiedere a Google il riesame del Sito, altrimenti Google lo considera infetto e non lo fa aprire.
Questo però non risolve il problema, il sito o qualche PC degli amministratori ha qualche falla che viene utilizzata per ottenere permessi di Admin e rendere vulnerabile il sito.
Si possono cambiare i dati di accesso FTP ma credo che serva a poco.

[mariocz]

Si ho notato questo codice che hai menzionato tu all'interno di qualche file e sono riuscito ad eliminarlo...ma dopo qualche ora come già scritto nel primo topic i problemi si ripresentano...abbiamo un backup del forum solo dei file ma non del DB ma se lo inserisco mi da questo errore http://www.superminicross.com/2forumpitbike/
Immagino quindi che la soluzione migliore sia quella di ricominciare da un foglio bianco!!!???

[Micogian]

Anche se viene ripristinato il backup ormai il sito è compromesso.
Se siete sicori che non sia più presente il codice malevolo dovete chiedere il riesame a Google, ma attenzione, dovete essere sicuri.
Ripartire da zero vuol dire perdere tutte le discussioni attuali, se questo non è un problema si può fare.
Se la versione di phpbb fosse l'ultima potreste provare a sostituire tutti i file FTP con un pacchetto nuovo ma se come è indicato nel profilo avete una 3.0.8 le cose si complicano.
Gli aggiornamenti alle nuove versioni vanno fatti, in genere sono modifiche legate ai bugs del sistema, non farle vuol dire essere in balia di facili attacchi.
Il blocco al sito resterà fino a quando non ripulite il sistema e chiedete a Google di riesaminarlo.
Dovete togliere il codice malevolo in tutti i file dove è presente, saranno molti i file da controllare, altrimenti partire da zero con una versiona aggiornata e un nuovo database. Questo vuol dire perdere tutti i dati precedenti, compreso gli utenti.
Va fatta anche una seria scansione dei vostri PC.

[mariocz]

Perdere tutto per noi è un problema i nostri dati sono questi :

Totale messaggi: 285535 | Totale argomenti: 20966 | Totale iscritti: 4213

Non sarà una community enorme ma ci è voluto tempo per tirarla su...questa notte abbiamo dato un'occhiata e cercato di risolvere il problema dopo qualche ora e l'eliminazione di parecchio codice abbiamo richiesto a google di verificare il nostro sito... questa mattina google ci ha dato l'OK...sappiamo che all'interno ce ancora qualcosa che non va...a questo punto approfitto della tua gentilezza per chiederti, "Con l'installazione di una nuova board (eliminando tutto il contenuto del ftp cambiando psw ecc)c'è la possibilità di importare messaggi e utenti dalla vecchia?? " Grazie ancora

[Angolo]

Micogian, scusa se mi intrometto.

Intervengo per segnalare che il sito dell'utente, è affetto ancora da virus. E non poco.
Mariocz, dovresti seguire meglio le indicazioni di Micogian.
Intanto, la segnalazione a Google, è meglio che tu non la faccia, prima di Luglio.
Perché la fretta, come i fatti dimostrano è cattiva consigliera.

Dopodiché segui le indicazioni date.

Oppure... nell'ordine (sono simili a quelle date, ma ognuno ha il suo approccio):

- Seria e approfondita scansione antivirus e antipyware. Con picchiatori, non con "signorine delicate". Niente roba free. Notare la congiunzione e.
- Ripristino integrale ftp. Fatto come si deve. Quindi, rigorosamente dai pacchetti originali e rigorosamente senza sovrascrittura.
- Cambio di tutte le password amministrative. Notare il tutte. Senza eccezioni. Quindi anche quella dell'email. Notare l'anche.

Se sei fortunato, così risolvi.

Se sei sfortunato, il database è stato alterato. E lì, salvo tentare una pulizia del database col l'STK (in aggiunta a tutto il resto), c'è poco da fare. A meno che tu non abbia il backup di un database, risalente a quando il forum era perfettamente pulito, integro e funzionante.

Se hai un backup completo, che ha quei requisiti di integrità assoluta, posto tutto il resto (scansioni ecc.), puoi fare un ripristino totale.. ftp+database. Purché, in nessun caso, si ricorra alla sovrascrittura: ftp e database mysql, devono essere vuoti. Completamente.

L'ipotesi da te accennata, è fallimentare (ricostruzione manuale). Essendo fallimentare, la si fa come ultima spiaggia.
Del resto, ti lamenteresti, se dicendo al medico: "Dottore, mi fa male il mignolo", il medico ti rispondesse subito: "Amputiamo il braccio", senza prima tentare altre vie. No?
Tu hai chiesto sull'amputazione, di fatto.

Ovviamente, se il tuo PC è pulito (rispetto ai virus), o viene pulito, e altro amministratore si logga col pc infetto... è tutto inutile.
Stesso dicasi nel caso tu vada a reinserire script di dubbia sicurezza. O MOD non validate... o allegati infetti.
Si deve fare attenzione a chi si frequenta. Sempre. Anche sul web.

[Micogian]

Le strade sono due: o c'è un backup completo e si sostituisce tutto il contenuto FTP (escluso gli allegati che difficilmente sono compromessi) oppure si controllano tutti i file che portano la data dell'intrusione.
Tutti, e in tutte le cartelle e sottocartelle.
E' un lavoro minuzioso che va fatto con cura e precisione, va tolto solo il codice malevolo, attenzione a non togliere parti del codice corretto.
Non è semplice controllare tutto il contenuto del Server.

[mariocz]

Un amministratore del forum mi ha detto che ha un backup di febbraio...potrei provare a inserire quello...ma qui mi sorge un dubbio...questa prova lo già fatta e se provate ad andare sul link www.superminicross.com/2forumpitbike mi da errore generale...sto uscendo scemo!

[Angolo]

Manca uno stile.

Il che lascia ipotizzare, che stai facendo il ripristino del solo database.
Se è così, non ci siamo spiegati:


- Database: vuoto... zero tabelle
- ftp: vuoto... zero file e zero cartelle


Su queste basi, effettui un ripristino totale, basato su backup integro, composto da ftp e database. Fatti lo stesso giorno.


Se stai facendo tutto questo, e nonostante questo hai quell'errore, si deve iniziare a dubitare dell'integrità di quel backup.

[mariocz]

Ho compreso perfettamente quello che mi è stato detto fin'ora purtroppo abbiamo solo il backup del ftp...
Provando a inserire appunto questo backup mi da quell'errore...ho controllato e lo stile che noi utilizziamo è presente...