Vi spiego brevemente quanto mi sta succedendo.
Un conoscente mi contatta per promuovere il suo sito.
Se lo è fatto fare da un'azienda indiana in DRUPAL.
L'azienda gli ha personalizzato il tema garland secondo sue indicazioni e gli ha installato i moduli per le funzionalita' da lui richieste.
Pochi giorni prima che inizi a lavorarci sopra viene visualizzato un errore in home page (php). Scopriamo insieme a questi indiani che nello spazio web ci sono file che ne loro ne noi ci avevamo messo (.htaccess, file php ..)
Nel frattempo il fornitore di hosting (americana Gigapros) ci sposta il sito su un altro server per il server dove era prima ha avuto problemi di carico.
spostano server e pagine web (e DB) dandoci nuovi account con nuove password.
Io ho pensato che avessero violato il server e quindi Gigapros si sia trovata in difficolta' ed abbia spostato i file nell'hosting dal vecchio server al nuovo server per questo.
Nota: ho chiesto espressamente a Gigapros se avessero subito delle intrusioni ma non mi hanno mai risposto (hanno sempre parlato di carico in aumento sui loro server).
Siccome erano rimasti comunque file dovuti alla probabile intrusione, con gli indiani decidiamo di reinstallare il tutto sul nuovo spazio web. Io mi occupo dalla pulizia: cancello tutti i file (compresi quelli dovuti all'intrusione) e "droppo" il DB.
Gli indiani reinstallano tutto.
Dopo pochi giorni stessa cosa:
errore in home page
troviamo dei link nelle news pubblicate che puntano ad improbabili siti
troviamo dei file properties.php e system.php nella cartella
themes/garland/color/
nella cartella themes:
.htaccess
base.php
download.php
nella cartella includes:
.htaccess
finfo.php
nella cartella misc/farbtastic
.htaccess
guest.php
messages.php
Ho dato un'occhiata ai contenuti del file e ci sono effettivamente codici malevole eval con funzioni base_decode per offuscare disoffuscare. .
Ora pero' mi trovo in una situazione per cui non so come muovermi:
la nuova installazione fatta doveva essere pulita in teoria
con nuove password.
Gli unici ad avere le password eravamo noi e gli indiani (a cui le abbiamo girate via email)
L'unica cosa insicura poteva essere la password di admin di drupal che era stata lasciata uguale alla precedente (non e' molto sicura a dire il vero).
Questo potrebbe avere consentito di installare i file dall'esterno ?
Come potrebbero avere installato questi file ?
bug di drupal qualche modulo (gli indiani dicono che e' aggiornato) ?
entrati tramite password di admin ?
violato il server ?
Altro ?
come vi muovereste ?
Grazie in anticipo
"L'azienda" gli ha personalizzato il tema garland secondo sue indicazioni e gli ha installato i moduli per le funzionalita' da lui richieste."
"La azienda" vi ha personalizzato anche la reistalazione?...
Allora o sono bucati dappertutto or sono loro..... Boh!!!
----------------------------------------
bI’Iqchugh’ yIvang !
Se sei triste, agisci!
Proverbio Klingon
In teoria è un'azienda che lavora con tutto il mondo.
Sembrano abbastanza professionali.
Durante il primo defacciamento ho visto link a siti russi nei file.
Agli indiani ho anche chiesto se drupal fosse sicuro (inteso come con tutti i moduli aggiornati). Loro si sono anche un po' risentiti e mi hanno detto che e' un'installazione robusta e aggiornata.
Ho chiesto anche loro se avessero altre installazioni drupal su gigapros (per verificare se altri avessero avuto gli stessi problemi). Da una prima risposta sembra che abbiano diverse installazioni ma non con drupal.
Comunque mi devono confermare.
Penso anche che gli indiani da questa storia a fare casino non avrebbero molto da guadagnare (al momento stiamo perdendo tempo sia noi che loro).
Solo che non so bene come muovermi.
La reinstallazione previa pulizia l'abbiamo gia' fatta.
Se non capiamo da dove nasce il problema ...
Ci sono stati grossi bug in drupal ultimamente ? vedere se le versioni installate ne soffrono (anche se attualmente non riesco ad entrare neanche in admin - saranno le modifiche che hanno fatto ai file .htaccess ...)
Grazie
ciao
Che cosa intendi ?
Loro avevano la copia dei file relativi alla prima installazione sul loro server di sviluppo, per cui lo hanno ripristinato da quello (infatti sono andate perse le ultimissime modifiche fatte ai testi dal titolare del sito).
Nella reinstallazione io ho cancellato tutti i file e distrutto e ricreato il database in modo da ripartire da una situazione pulita
e loro previo accesso ssh ed ftp hanno rimesso su il file della prima installazione in aprile (i file hanno quella data ) e cui poi si sono aggiunti quelli "malefici" con data 21 luglio post reinstallazione.
Grazie
"Ci sono stati grossi bug in drupal ultimamente ?"
Se Drupal e moduli sono aggiornati in teoria no, ma in pratica e ovvio che sono ancora non scoperti soppratutto per moduli. (! ?)
"Durante il primo defacciamento ho visto link a siti russi nei file." ???
Gran parte dei moduli sono tradoti in russo quindi lo conoscono bene.
Guarda atentamente codici di ogni file malevole imposibile non trovare una traccia.
----------------------------------------
bI’Iqchugh’ yIvang !
Se sei triste, agisci!
Proverbio Klingon
Se i file originali sono di aprile, non può trattarsi di una installazione aggiornata di Drupal.
A inizio aprile c'era Drupal 6.10 e adesso siamo a 6.13.
Inoltre, reinstallare un CMS dopo un defacing lasciando inalterata la password di admin non è una gran mossa.
Io cambierei anche le password FTP, se non l'hai già fatto.