Pagina 1 di 3 123 UltimoUltimo
Visualizzazione risultati 1 fino 30 di 89

Discussione: Attenzione: Strano codice presente nelle mie pagine!

  1. #1
    Guest

    Predefinito Attenzione: Strano codice presente nelle mie pagine!

    scusate ragazzi se ho sbagliato in qualcosa ma e il mio primo post qui e non ci capisco molto come funziona, sono un coadmin su pro editing soccer sheridansfaces.altervista.org oggi mi sono connesso ed ho trovato il forum in queste condizioni, basta cliccare il link per capire il problema.
    Premetto che il forum fino alle 15:48 era perfettamente funzionante poi quando ho ricaricato la pagina non e stato piu accessibile, non ho apportato nessuna modifica di nessun tipo al forum, ne io ne gl'altri admin, vorrei capire inanzitutto come rimediare o ripristinare visto che sono poco esperto in materia e se possibile cosa ha potuto causare questo problema, se e potuto essere un attacco esterno.

    Il forum oltre a non essere piu accessibile non fa effettuare login ne agli utenti ne a noi admin, quindi ingestibile in tutti i punti di vista ci si entra solo da ospiti e non possiamo accedere al pannello di amministrazione.

    e sopratutto vorrei capire se questo tipo di problema e stato causato direttamente dal forum o dall'FTP perche nel secondo caso sono l'unico a potervi accedere e quindi ci sarebbe certezza che nessuno ha messo le mani.

    al tentativo di login esce questo messaggio:
    (Warning: Cannot modify header information - headers already sent by (output started at /membri/sheridansfaces/ucp.php:1) in /membri/sheridansfaces/includes/functions.php on line 3777) esce scritto 3 o 4 volte variando slo la parte finale online 3776 on line 3778 ecc.

    mentre a semplice pagina aperta del forum, si vede tutto il testo enorme e tutto fuoriposto e in alto sopra lo sponsor ci sono queste scritte:
    [phpBB Debug] PHP Notice: in file /includes/session.php on line 990: Cannot modify header information - headers already sent by (output started at /portal.php:1)
    [phpBB Debug] PHP Notice: in file /includes/session.php on line 990: Cannot modify header information - headers already sent by (output started at /portal.php:1)
    [phpBB Debug] PHP Notice: in file /includes/session.php on line 990: Cannot modify header information - headers already sent by (output started at /portal.php:1)
    [phpBB Debug] PHP Notice: in file /includes/functions.php on line 3773: Cannot modify header information - headers already sent by (output started at /portal.php:1)
    [phpBB Debug] PHP Notice: in file /includes/functions.php on line 3775: Cannot modify header information - headers already sent by (output started at /portal.php:1)
    [phpBB Debug] PHP Notice: in file /includes/functions.php on line 3776: Cannot modify header information - headers already sent by (output started at /portal.php:1)
    [phpBB Debug] PHP Notice: in file /includes/functions.php on line 3777: Cannot modify header information - headers already sent by (output started at /portal.php:1)

    grazie anticipatamente per il supporto

    ---
    scusate e un ora ormai passata dalla richiesta di supporto possibile non ci sia alcuno intervento dello staff ??
    Ultima modifica di darkwolf : 08-10-2010 alle ore 18.41.58 Motivo: Link disabilitati per sicurezza.

  2. #2
    L'avatar di darkwolf
    darkwolf non è connesso Super Moderatore
    Data registrazione
    18-04-2007
    Residenza
    Reggiolo (RE)
    Messaggi
    6,552

    Predefinito

    A me risulta un board3 Portal con phpbb3 (GoogleCache, istantanea di stamattina: Vedi Qui) e quindi non credo si tratti di Alterforum.
    Inoltre eri in una sezione errata e un'ora non è un tempo talmente eccessivo da giustificare un doppio post.
    Quindi ho corretto il titolo e spostato di sezione (mettendolo in quella giusta) in modo che il tuo topic possa avere maggior risalto.
    -
    Detto ciò: Avete fatto qualche cambiamento nella board? Installato qualche mod o altro? È successo così, da un momento all'altro, senza apparente motivo?

    Edit: da una breve ricerca su google: http://www.phpbb.it/forum/viewtopic.php?f=48&t=19103
    Potrebbe trattarsi di un problema analogo > Vedi a fondo pagina che c'è una stringa anomala: </html><!-- C/C v0384 --><script>***
    Ultima modifica di darkwolf : 08-10-2010 alle ore 17.52.46
    » Salvatore Noschese - L'AltroWeb | Seguimi su: facebook | twitter | Google+
    # Che aspetti? Unisciti alla community! Tanti nuovi gruppi ti aspettano


  3. #3
    Guest

    Predefinito

    no nessuna modifica apportata almeno prima di un mese e piu fa, nessuno ci mette le mani oltre me riguardo l'aggiornamento o modifiche del forum, e successo tutto oggi all'improvviso fino alle 15 andava benissimo

  4. #4
    L'avatar di darkwolf
    darkwolf non è connesso Super Moderatore
    Data registrazione
    18-04-2007
    Residenza
    Reggiolo (RE)
    Messaggi
    6,552

    Predefinito

    Ho fatto degli edit (non avevo notato il nuovo post) leggi su, temo (direi che è proprio così) che il vostro forum sia stato compromesso.
    » Salvatore Noschese - L'AltroWeb | Seguimi su: facebook | twitter | Google+
    # Che aspetti? Unisciti alla community! Tanti nuovi gruppi ti aspettano


  5. #5
    Guest

    Predefinito

    compromesso da cosa scusa ?? nessuno ci ha messo le mani, nessuno ha modificato nulla, nessuna mod installata, niente di niente, ho fatto un post alle ore 15 tutto ok, mi so rimesso a rileggere e quando ho cercato di rispondere un altro utente mi so ritrovato il forum cosi :)

    ci dovra pur essere una spiegazione non e che dal nulla diventa cosi, io ti posso garantire al 100% che nessuno ha poteri di modifiche al di fuori di me

  6. #6
    L'avatar di darkwolf
    darkwolf non è connesso Super Moderatore
    Data registrazione
    18-04-2007
    Residenza
    Reggiolo (RE)
    Messaggi
    6,552

    Predefinito

    Suppongo un worm nel pc di un qualche admin che è andato a frugare l'ftp modificando tutti i file.
    » Salvatore Noschese - L'AltroWeb | Seguimi su: facebook | twitter | Google+
    # Che aspetti? Unisciti alla community! Tanti nuovi gruppi ti aspettano


  7. #7
    Guest

    Predefinito

    e non e possibile sistemare in qualche modo?? non credo che debba buttare via un forum cosi

    infatti io nella cartella principale del forum vedo dei file che non ci sono mai stati .ftpquota - .htaccess - index.wml e la prima volta che li vedo, ed inoltre non me li fa cancellare neanche (Errore critico nella cancellazione del file)
    Ultima modifica di kingbega : 08-10-2010 alle ore 18.05.49

  8. #8
    L'avatar di darkwolf
    darkwolf non è connesso Super Moderatore
    Data registrazione
    18-04-2007
    Residenza
    Reggiolo (RE)
    Messaggi
    6,552

    Predefinito

    Avete un backup? Se si siete a cavallo altrimenti potrebbe rivelarsi noioso > Scaricati l'intero sito in locale e cerca la stringa in tutti i file e quindi rimuovila.
    Controllate i vostri pc con antivirus/antispyware/antirootkit e cambiate la password di accesso all'ftp.
    » Salvatore Noschese - L'AltroWeb | Seguimi su: facebook | twitter | Google+
    # Che aspetti? Unisciti alla community! Tanti nuovi gruppi ti aspettano


  9. #9
    L'avatar di andreafallico
    andreafallico non è connesso Super Moderatore
    Data registrazione
    02-06-2009
    Messaggi
    1,981

    Predefinito

    Confermo che è stato compromesso, scan della tua pagina index.html

  10. #10
    L'avatar di darkwolf
    darkwolf non è connesso Super Moderatore
    Data registrazione
    18-04-2007
    Residenza
    Reggiolo (RE)
    Messaggi
    6,552

    Predefinito

    Io ho avira security suite + firefox + noscript.
    Nessuno ha rivelato niente di anomalo e la cosa mi preoccupa un po'
    Ti risultano possibilità di infezione per i visitatori (mi seccherebbe ritrovarmi il mio sito nelle medesime condizioni).
    » Salvatore Noschese - L'AltroWeb | Seguimi su: facebook | twitter | Google+
    # Che aspetti? Unisciti alla community! Tanti nuovi gruppi ti aspettano


  11. #11
    Guest

    Predefinito

    si un backup ce l'ho ma e vecchiotto e inoltre prima della mezzanotte non me lo fa ripristinare :(

    comunque grazie mille ad entrambi per il supporto, ho il morale nei calzini

    anche io ho lo stesso avira ma non rileva nulla neanche a me e tantomeno i visitatori mi hanno detto nulla su infezioni o probabili, solo uno in questo momento mi dice che il browser lo avvisa che la pagina e dannosa e puo essere rischiosa entrarci o qualcosa di simile
    Ultima modifica di kingbega : 08-10-2010 alle ore 18.10.58

  12. #12
    L'avatar di andreafallico
    andreafallico non è connesso Super Moderatore
    Data registrazione
    02-06-2009
    Messaggi
    1,981

    Predefinito

    Citazione Originalmente inviato da darkwolf Visualizza messaggio
    Io ho avira security suite + firefox + noscript.
    Nessuno ha rivelato niente di anomalo e la cosa mi preoccupa un po'
    Ti risultano possibilità di infezione per i visitatori (mi seccherebbe ritrovarmi il mio sito nelle medesime condizioni).
    Però se hai noscript dovrebbe averlo bloccato.
    Io ho avast e non rileva nulla, infatti lo stavo segnalando.

  13. #13
    Guest

    Predefinito

    insomma raga datemi una soluzione please che sono a pezzi :(

  14. #14
    L'avatar di andreafallico
    andreafallico non è connesso Super Moderatore
    Data registrazione
    02-06-2009
    Messaggi
    1,981

    Predefinito

    Citazione Originalmente inviato da kingbega Visualizza messaggio
    insomma raga datemi una soluzione please che sono a pezzi :(
    Devi fare questo.

  15. #15
    L'avatar di darkwolf
    darkwolf non è connesso Super Moderatore
    Data registrazione
    18-04-2007
    Residenza
    Reggiolo (RE)
    Messaggi
    6,552

    Predefinito

    Non lo rileva come script esterno (a differenza di come accade nel caso di iframe a domini esterni) e quindi non so se lo ha bloccato o meno (non risultavano siti bloccati)
    -
    @kingbega: la soluzione è quella... caricare un backup valido e/o ripulire il tutto e mettere in sicurezza il sito (password e gli eventuali pc).
    » Salvatore Noschese - L'AltroWeb | Seguimi su: facebook | twitter | Google+
    # Che aspetti? Unisciti alla community! Tanti nuovi gruppi ti aspettano


  16. #16
    Guest

    Predefinito

    be non e che sia chiaro cosa ci sia da fare da quel post, il pc ho appena finito la scanzione e non ho virus, su quello siamo apposto, ho capito che devo cambiare i login ftp, ma riguardo al ripristino del forum non e che dica molto, anzi dice zero su cosa fare e come agire :)

    io non so neanche quali siano sti file infetti e cosa cercare, dove correggere, noto solo che mi trovo molti file che prima non ho mai visto nell'ftp, tipo i file indicati sopra prima e in piu vedo che in ogni cartella c'e un file chiamato cosi: file.php a voi risulta ci debba essere ??


    EDIT: agli utenti per ora esce questo messaggio: Questo sito Web è stato segnalato come non sicuro
    sheridansfaces.altervista.org


    riguardo il ripristino backup cosa perderei nel forum nel senso il backup e di qualche mese fa, io in questi mesi ho creato un putiferio di cose le perdo??
    Ultima modifica di kingbega : 08-10-2010 alle ore 18.30.20

  17. #17
    Guest

    Predefinito

    si perdi tutto quello che hai creato dopo il backup... purtroppo anche sul mio sito esce l'avviso di sito malevolo, ma sono con internet explorer, mentre con firefox non da questo problema..

  18. #18
    Guest

    Predefinito

    il problema e che per ripristinare un backup devo aspettare dopo la mezzanotte, io vorrei risolvere il prima possibile

  19. #19
    Guest

    Predefinito

    si ma comunque con il backup non risolvi.. ho il tuo stesso problema da oggi alle 15.. e ho ripristinato il backup senza successo.. anche se il mio è un blog, e la home si vede senza problemi, io ho problemi sul login, ma a quanto pare abbiamo lo stesso intoppo... non ci resta che aspettare e vedere cosa ci consigliano...

  20. #20
    angolodicielo non è connesso AlterVistiano
    Data registrazione
    03-10-2008
    Messaggi
    760

    Predefinito

    Se non hai backup completi (ftp+database) recenti, fatti con i settaggi corretti, dovresti avere comunque il backup automatico del database, offerto da AV, che verrà sovrascritto o domani mattina, o domenica mattina (a seconda del server).

    Nell'attesa che si faccia l'orario corretto, cerca di recuperare (in binario e senza interpretazioni ASCII), i contenuti della cartelle files, images e relative sottocartelle.

    Scansisci per bene con antivirus serio.


    Quindi, dopo aver ripristinato il database, effettua un corretto ripristino integrale ftp, con i settaggi corretti.


    Ovviamente, dopo aver preparato il nuovo pacchetto, elimina tutto l'attuale contenuto ftp, e ricarica il nuovo. Occhio ai parametri.



    P.S.
    Il mio KIS non segnala nulla...
    Nell'attesa, prova semplicemente a ripristinare i file relativi all'errore, dal pacchetto originale. Tenendo presenti le MOD....
    Ultima modifica di angolodicielo : 08-10-2010 alle ore 18.47.13

  21. #21
    Guest

    Predefinito

    allora scusa se hai lo stesso problema mio tu sei il 3 gia, quindi e impossibile che tutti gl'admin siamo infetti da virus, a sto punto la causa e altervista, non vedo altre spiegazioni


    Citazione Originalmente inviato da angolodicielo Visualizza messaggio
    Se non hai backup completi (ftp+database) recenti, fatti con i settaggi corretti, dovresti avere comunque il backup automatico del database, offerto da AV, che verrà sovrascritto o domani mattina, o domenica mattina (a seconda del server).

    Nell'attesa che si faccia l'orario corretto, cerca di recuperare (in binario e senza interpretazioni ASCII), i contenuti della cartelle files, images e relative sottocartelle.

    Scansisci per bene con antivirus serio.


    Quindi, dopo aver ripristinato il database, effettua un corretto ripristino integrale ftp, con i settaggi corretti.


    Ovviamente, dopo aver preparato il nuovo pacchetto, elimina tutto l'attuale contenuto ftp, e ricarica il nuovo. Occhio ai parametri.
    grazie per il supporto ma io sono profano, per me e arabo cio che dici :(
    Ultima modifica di kingbega : 08-10-2010 alle ore 18.45.46

  22. #22
    Guest

    Predefinito

    e non siamo gli unici.. no, la causa non è altervista ma wordpress.. l'ho letto su un forum russo che anche loro stanno avendo questi problemi oggi...

  23. #23
    Guest

    Predefinito

    ma io non ho wordpress

  24. #24
    angolodicielo non è connesso AlterVistiano
    Data registrazione
    03-10-2008
    Messaggi
    760

    Predefinito

    Per il ripristino del database con AV, cerca qui su AV.

    E anche cercando ripristino integrale ftp, trovi...

    Ma per agevolarti...:

    Ripristino integrale ftp


    Il resto dipende solo dalla tua precisione e concentrazione.
    Ultima modifica di angolodicielo : 08-10-2010 alle ore 18.52.17

  25. #25
    L'avatar di darkwolf
    darkwolf non è connesso Super Moderatore
    Data registrazione
    18-04-2007
    Residenza
    Reggiolo (RE)
    Messaggi
    6,552

    Predefinito

    La causa sembrerebbe essere un worm che infettando i pc acquisisce i dati di login ftp (se presenti) e quindi inietta il suo codice nei file del sito (a prescindere dall'applicativo usato).
    -
    Se i dati di login sono in possesso di più admin bisogna capire chi di loro ha il pc infetto.
    Ultima modifica di darkwolf : 08-10-2010 alle ore 18.52.21
    » Salvatore Noschese - L'AltroWeb | Seguimi su: facebook | twitter | Google+
    # Che aspetti? Unisciti alla community! Tanti nuovi gruppi ti aspettano


  26. #26
    angolodicielo non è connesso AlterVistiano
    Data registrazione
    03-10-2008
    Messaggi
    760

    Predefinito

    Sì ovviamente, chiunque abbia permessi amministrativi, dovrebbe controllare per bene il suo PC.

    Altrimenti il ripristino, rischia di diventare inutile....

  27. #27
    Guest

    Predefinito

    Citazione Originalmente inviato da angolodicielo Visualizza messaggio
    Per il ripristino del database con AV, cerca qui su AV.

    E anche cercando ripristino integrale ftp, trovi...

    Ma per agevolarti...:

    Ripristino integrale ftp


    Il resto dipende solo dalla tua precisione e concentrazione.

    allora io ho un backup creato da me su av il 17 luglio e quindi posso utilizzare quello da come ho capito, ma solo stanotte e chissa quando lo caricano poi, riguardo l'ftp sto salvando tutto in locale, ma a cartelle devo eseguire un sistema diverso o va bene ugualmente ??

  28. #28
    Guest

    Predefinito

    se accedo al mio sito con internet explorer oltre a dichiararlo come sito malevolo, nod32 mi trova un trojan, precisamente:

    nome: h**p:// krokodilov555.us/exploits/des.jar <--- ATTENZIONE TROJAN. x mod.. eliminate il link.. solo a scopo informativo
    (ho messo uno spazio per protezione)

    descrizione: Java/TrojanDownloader.Agent.HJ trojan horse

    se il nome indica il sito dove è hostato, MAI visto prima... non so come ci sia finito l'ì.. e poi il fatto è che non accedo all'ftp da qualche settimana... :S

    EDIT: QUI hanno il nostro stesso problema
    Ultima modifica di andreafallico : 08-10-2010 alle ore 19.02.04

  29. #29
    Guest

    Predefinito

    anche io e una vita ch non accedo all'ftp e calcola che sono l'unico che ha i dati di accesso, quindi non capisco come ci sia finito li il virus, se non lo si utilizza e gia poco chiara sta cosa.
    il virus che hai tu e il solito che ho io, continuo ad essere convinto che la causa sia il server che e infetto e non i nostri siti, ne sono sempre piu convinto, all'inizio ero solo io con il problema, ora stiamo diventando troppi ed e impossibile sta cosa, se l'origine non abbia a che fare con AV

  30. #30
    L'avatar di Gianluca
    Gianluca non è connesso Amministratore
    Data registrazione
    15-02-2001
    Messaggi
    18,035

    Predefinito

    Sulla base delle constatazioni fatte e dei log visti relativi agli account interessati la causa non è wordpress, bensì un worm che nelle dinamiche opera analogamente a koobface (e varianti).

    Qui c'è una documentazione sulle dinamiche:

    http://blog.unmaskparasites.com/2010...b-of-koobface/
    http://us.trendmicro.com/imperia/md/...ce_jul2009.pdf

    Per riassumere in parole povere il worm, compromesso il pc del webmaster (vedi sezione "To webmasters" del primo documento, ricerca in esso (nelle mail, nei client ftp, nei browser...) le credenziali di autenticazione al sito per poi accedere via ftp (come riscontrato dai log) scaricare vari files che comunemente fungono da pagina index, inserire dentro quel codice javascript e ricaricarle.

    Quello che è consigliabile fare:

    1) Procedere con una scansione accurata del proprio pc con un buon antivirus (non tutti gli antivirus rilevano questo tipo di infezione, quindi potrebbe essere necessario usare tools ad hoc)
    2) Modificare le credenziali di accesso al sito
    3) Ripristinare un backup dei files (il ripristino del database non serve). Dove non possibile si può procedere al ripristino dei files che contengono quel codice, tipicamente index.php o volendo procedere alla rimozione a mano del codice stesso (dopo 1 e 2, altrimenti potrebbe ancora essere riaricato)

    È bene evitare di postare link al proprio sito fino alla bonifica del medesimo, in quanto chi lo visita potrebbe, a sua volta, venire infettato contribuendo alla diffusione dell'infezione
    Ultima modifica di Gianluca : 08-10-2010 alle ore 19.07.49
    Gianluca

Pagina 1 di 3 123 UltimoUltimo

Regole di scrittura

  • Non puoi creare nuove discussioni
  • Non puoi rispondere ai messaggi
  • Non puoi inserire allegati.
  • Non puoi modificare i tuoi messaggi
  •