Cavallo di troia sulla home

Salve,

Un amico mi ha segnalato che gli antivirus danno un problema di protezione sulla home del mio spazio web.
Avast dice che trova un cavallo dit roia, mentre avg mi dà per spammer conosciuto.

Considerato che uso solo wordpress e non ho inserito file o modificato nulla sulla home, cosa può essere successo?

Angela

bhe benvenuta nel mondo del deface in breve ti vogliono attaccare il sito con virus ecc la prima cosa e cancella tutte le cartelle poi installa joomla che e piu prottetto poi su joomla addon anno degli antivirus ed firewall che prottegono bene ma che dico bene in modo ultra stellare il sito spero che nn sia caduta nel hacking=far incavolare 1 amico ho un tizzio hacker

[dreadnaut]

La risposta sopra, a parte la scelta naif di punteggiatura e doppie, è in parte fuori contesto.

Il tuo sito non sembra contenere nulla di strano, quindi c'è semplicemente la possibilità che l'anti-virus del tuo amico stia segnalando, come spesso capita, un falso positivo. Se vuoi sentirti più sicura puoi chiedere ad altre persone con diversi anti-virus di controllare a loro volta, ma non mi sembra ci sia di che preoccuparti.

[SolitaryExplorer]

Confermo l'allarme da parte di Avast ma non sono riuscito nemmeno io a trovare la natura del problema.
E' probabile si tratti di falso positivo.

Io ho Kaspersky, anche a me dice che c'è un trojan

[LastWings]

Segnalo che Kaspersky indica "Trojan.JS.Iframe.mv", però come già detto dagli altri, non sembra esserci nulla di strano; al massimo proverei a disattivare uno ad uno i plugin e vedere se cambia qualcosa.

[dreadnaut]

Possibile che questi antivirus non diano informazioni più precise? Nella home decisamente non c'è nulla di anomalo, e gli script inclusi sono puliti.

L'unico plugin che potrebbe creare problemi è magari quello degli smilies, si può provare a disattivarlo e vedere che succede.

[SolitaryExplorer]

Anche a me Avast parla di redirect via javascript.
Ho fatto analizzare gli header inviati ad alcuni software e non segnalano anomalie.

Ho appena fatto un piccolo ulteriore test comunque.

Accedendo all'indirizzo principale si viene rediretti alla cartella "blog", accedendo direttamente ad essa non vengono segnalati problemi.
L'antivirus interviene solo quando il dominio principale effettua l'istruzione di redirect.

Ora o ci sono falsi positivi circa le nuove funzionalità di Wordpress (se si tratta dell'ultima versione) o c'è qualcosa nel file .htaccess che non quadra.

@anzeledda
Potresti postare il contenuto del file .htaccess?

[andreafallico]

Lo script malevolo si trova nella pagina index.php, potete vederlo qui http://andreafallico.altervista.org/1.txt e relativo scan online: http://online.us.drweb.com/cache/?i=...a22ed8204219ad

-

Se l'antivirus blocca l'apertura del file 1.txt ho fatto un altro file 2.txt così:

Codice PHP:

<?php
$file = file_get_contents('1.txt');
$file = str_ireplace(array("<script type='text/javascript'>",'a','eval','p'), array(' rimosso-scrit ',' rimosso-a ',' rimosso-eval ',' rimosso-p '), $file);
file_put_contents("2.txt", $file);
?>

Anche a me Avast parla di redirect via javascript.
Ho fatto analizzare gli header inviati ad alcuni software e non segnalano anomalie.

Ho appena fatto un piccolo ulteriore test comunque.

Accedendo all'indirizzo principale si viene rediretti alla cartella "blog", accedendo direttamente ad essa non vengono segnalati problemi.
L'antivirus interviene solo quando il dominio principale effettua l'istruzione di redirect.

Ora o ci sono falsi positivi circa le nuove funzionalità di Wordpress (se si tratta dell'ultima versione) o c'è qualcosa nel file .htaccess che non quadra.

@anzeledda
Potresti postare il contenuto del file .htaccess?

Innanzitutto, grazie a tutti.
Esatto, il trojan viene rilevato fuori da wordpress, nel redirect della home.
L'abbiamo verificato sia con avg, sia con avast.
Non ho usato codice mio, ma ho impostato il redirect di altervista.

Ora sono al lavoro e non posso accedere al sito, appena torno a casa posto l'htaccess, se mi è accessibile.

Grazie
Angela

---------------------

Lo script malevolo si trova nella pagina index.php, potete vederlo qui http://andreafallico.altervista.org/1.txt e relativo scan online: http://online.us.drweb.com/cache/?i=...a22ed8204219ad

-

Se l'antivirus blocca l'apertura del file 1.txt ho fatto un altro file 2.txt così:

Codice PHP:

<?php
$file = file_get_contents('1.txt');
$file = str_ireplace(array("<script type='text/javascript'>",'a','eval','p'), array(' rimosso-scrit ',' rimosso-a ',' rimosso-eval ',' rimosso-p '), $file);
file_put_contents("2.txt", $file);
?>

Appena posso verifico anche questo file e vi faccio sapere se "torno pulita".
;-)
Angela

[andreafallico]

@anzeledda:
Devi fare questo.

Allora... anche io ho lo stesso p0roblema e anche io, nel pannello di controllo, ho questo file chiamato .htaccess.. una mia amica mi ha detto che serve a controllare non ricordo cosa... pare che sia un file necessario ma io non l'ho mai visto in 4 anni che gestisco questo host.
Molte persone hanno rilevato questo trojan, tuttavia io sto usando come antivirus NOD Eset32, suppongo sia ottimo, l'ho acquistato e non per poco, non credo che sia un antivirus pacco, mi segnala tutti i virus e faccio lo scan del pc regolarmente, come anche l'aggiornamento dell'antivirus stesso.
Allora... ho fatto il procedimento che il moderatore andreafallico ha linkato, appunto, ma il problema non si è risolto. Il pc non rivela malware, spyware o altro. Non è che il problema sia proprio quel file ftaccess? A quanto ne so, e a quanto ricordo, non ho mai visto quel file nei tempi addietro.

EDIT: uso come tag board quella della CboX, potrebbe essere quella il problema?

[Gianluca]

pkmworld:

Il tuo problema pare proprio essere in .htaccess, se lo apri lo puoi vedere tu stesso.

In particolare il malware responsabile è: http://sucuri.net/malware/entry/MW:HTA:3

Vedi anche qui: http://blog.sucuri.net/2010/04/condi...s-malware.html

Per la sua noatura è possibile che non venga rilevato da molti antivirus

The reason most desktop anti virus (or malware scanners) won’t detect that when you scan your files is because they don’t understand the .htaccess file and they won’t follow this redirection

pkmworld:

Il tuo problema pare proprio essere in .htaccess, se lo apri lo puoi vedere tu stesso.

In particolare il malware responsabile è: http://sucuri.net/malware/entry/MW:HTA:3

Vedi anche qui: http://blog.sucuri.net/2010/04/condi...s-malware.html

Per la sua noatura è possibile che non venga rilevato da molti antivirus

a quanto pare corrisponde alla descrizione del problema: ho un afaccess ad ogni direct (cartella). Ora seguo le direttive e provvedo a fixare il tutto °^° speriamo in bene, grazie davvero! Non vorrei che gli utenti non venissero per questo problema, ed è mio dovere di webmistress risolverlo.

EDIT: allora.. ho cancellato delle "entries" elencate nel sito del secondo link, ora chiederò a più persone di farmi il favore di controllarlo, a me non rileva niente.
Comunque le entries elencate erano molto più numerose tra le quali anche pornub o una cosa simile...
Le altre afaccess non erano modificabili perchè non in .txt, mi sa che il file malevolo era proprio quello nella prima pagina in .txt
Comunque già un amico non mi segnala niente. Chiederò ad altri =) Grazie!