E' calunnia tacciare di Malware un sito?

[interno]

A me non risultano Malware nella pagina
http://interno.altervista.org/modules.php?name=Banche
e neanche a LinkScanner:
http://linkscanner.explabs.com/links...lnk&cd=4&gl=it
Intanto mi è stata tagliata...

[SolitaryExplorer]

Al momento navigo da dispositivo mobile e non posso vedere il codice delle tue pagine per verificare quanto dici, ma lo farò appena arrivato davanti a un computer.
Però chi ti ha segnalato che il tuo sito contiene malware?

[interno]

il codice lo trovi nella cache di Google:
=http://64.233.183.104/search?q=cache:MNisy7ypzE0J:interno.altervista.org/modules.php%3Fname%3DBanche+codice+iban+interno&hl =it&ct=clnk&cd=4&gl=it
la segnalazione è del "fornitore di connettività".
Mi sa che chiedo asilo da qualche altra parte...

[dapeco]

Come ti è già stato comunicato, alcuni moduli presenti sul tuo sito iniettavano agli utenti (con IE) il virus JS/Wonka. Per evitare danni alla comunità e a te stesso si è messo offline il sito, ma a seguito di verifiche è stato riabiltato e tenuti offline solo i moduli incriminati.

Ti è stata fornita tutta la documentazione necessaria alla comprensione e correzione del problema e ti è stato suggerito di mantenere sempre aggiornato il software presente sull'account e sul computer da cui effettui l'aggiornamento. Infatti è comune che software datato sia più facilmente preso di mira da cracker e lamer che ne sfruttano le vulnerabilità per modificarne il codice a proprio vantaggio, ma del software presente su un account è responsabile il proprietario dello stesso (il registrante che ha accettato il regolamento all'atto dell'iscrizione) ed è suo compito mantenelo in ordine.

Ti ricordo inoltre che tali problematiche si risolvono solo ed esclusivamente contattando l'abuse a mezzo email.

[interno]

Io contesto questa presunzione che nel mio sito fosse presente il virus JS/Wonka e offro il codice conservato nella cache di Google alla comunità per verificarlo.
Alla comunità penso sia anche utile far esperienza indiretta di cosa possa succedere in queste circostanze e che sia più utile un atteggiamento trasparente piuttosto che censorio.
Il mio modulo viene messo all'indice per supposto malware io lo offro a qualunque specialista voglia corroborare o confutare questa accusa.

[dapeco]

La richiesta di risolvere la questione direttamente con l'abuse è la normale prassi, poiché è la parte competente dello staff su queste questioni, non è motivata da presunte censure in quanto AlterVista agisce nella totale trasparenza al fine di tutelare tutti: comunità e webmaster.

Inoltre il modulo non è stato eliminato ma semplicemente messo offline (via ftp lo si può modificare modificandone i permessi in modo da renderlo eseguibile).

Inoltre la cache di google può non avere valore, poiché potrebbe riferirsi a codice ancora non compromesso.

[interno]

La richiesta di risolvere la questione direttamente con l'abuse è la normale prassi, poiché è la parte competente dello staff su queste questioni, non è motivata da presunte censure in quanto AlterVista agisce nella totale trasparenza al fine di tutelare tutti: comunità e webmaster.

Mi scuso per l'eccentricità della prassi, ma sentivo il bisogno di confrontare le mie convinzioni con terze persone.

Inoltre il modulo non è stato eliminato ma semplicemente messo offline (via ftp lo si può modificare modificandone i permessi in modo da renderlo eseguibile).

Questo vuol dire che potrei ripristinarlo da me senza incorrere in più gravi sanzioni per reiterazione di infestazione?
Ammesso che abbia i permessi e non debba prima comprarli...

Inoltre la cache di google può non avere valore, poiché potrebbe riferirsi a codice ancora non compromesso.

Ha un ottimo valore perché la data della cache:
"memorizzazione accessibile tramite la cache dell'indirizzo recuperato il 14 dic 2007 14:15:54 GMT."
è successiva di qualche ora al supposto rilevamento del Malware.
Come non detto ora si è aggiornata anche la cache di Google.

[dapeco]

Si è provveduto alla riabilitazione dei moduli ed è stato fatto uno screenshot di McAfee:



Allego quindi qualche pagina di documentazione sul malware/virus:
http://vil.nai.com//vil/content/v_135834.htm
http://www.anti-phishing.it/news/art...s.21102005.php
http://www.anti-phishing.it/news/art...s.21102005.php

Ora a te la bonifica del codice malevolo.

[Gianluca]

La cache di Google non ha in questo caso alcuna validità per il fatto che non riproduce in modo integrale il contenuto della pagina e certamente non va a riprodurre malwares.

I riscontri postati da Dapeco non hanno comunque bisogno di ulteriori precisazioni.

Sul piano della questione specifica mi lascia molto perplesso il gesto di aprire un thread si questo tipo finalizzato evidentemente alla creazione di flame, prima ancora di acquisire tutte le informazioni necessarie dall'Abuse, che invece dovresti ringraziare per aver impedito problemi ai tuoi visitatori e quindi alla reputazione del tuo sito web.

[interno]

Appunto, questa è la vostra contestazione; ma io la considero completamente infondata.
Non è il primo antivirus che segnala pericoli insussistenti, dovranno pur vendere i loro prodotti come pure i giornalisti informatici.
A chiunque è capitato un antivirus che evidenziava allarmi per codici innocui.
Questo malware sarebbe un codice JS offuscato particolare. Ci vuole poco perché l'AV vedendo il codice offuscato nel mio sito per non sbagliare lo segnali come nocivo.
Un virus vecchio di 2 anni e il cui rischio è stato aggiornato a "Low-Profiled".
Io vorrei che mi indicaste la porzione di codice della mia pagina che rappresenterebbe il malware.
E poi che pishing si dovrebbe mai fare sul mio sito? Mica ci passano pagamenti, carte di credito?
Fino a prova circostanziata del contrario ritengo che sia in opera un abuso da parte dell'abuse.
E se fosse vero il contrario, si tratterebbe di un hacking, una malintenzionato esterno capace addirittura di inserire del codice malevole all'interno di un file php criptato. E in questo caso sarebbe mio interesse tutelarmi presso l'autorità competente.

Infine mi invitate alla bonifica. Non posso far altro che uploadare ancora il codice e vedere se l'AV si ostina a segnalarne la nocività.
L'ho fatto ma non posso testarlo perché è interdetta la cartella le voleste usarmi la cortesia di testarlo?
Intano sul sito fioccano i tentativi di connettersi allo script.

Sul piano della questione specifica mi lascia molto perplesso il gesto di aprire un thread si questo tipo finalizzato evidentemente alla creazione di flame, prima ancora di acquisire tutte le informazioni necessarie dall'Abuse, che invece dovresti ringraziare per aver impedito problemi ai tuoi visitatori e quindi alla reputazione del tuo sito web.

Non è proprio il caso di parlare di flame, non ci sono insulti o altre cose che lo giustifichino. Sto discutendo seriamente di una questione seria.
Le informazioni dell'Abuse le ho acquisite e riportate in testa al post.
Problemi non ne ha mai avuti nessuno tant'è che ho visite continue anche da soggetti istituzionali. Gli unici problemi sono derivati da antivirus inadeguati che impediscano la navigazione a pagine innocue.
E la reputazione ne è stata danneggiata dall'aver impedito ai utenti affezionati di usare lo script facendogli pensare che non è più utilizzabile o ancor peggio che si trattava di codice malevole e dannoso.

[Gianluca]

Il fatto che il malware sia vecchio di due anni o che sia low-rated piuttosto che high-rated non è rilevante, come non è a mio avviso pertinente ai fini del thread discutere sull'inadeguatezza o meno degli antivirus.

Il fatto che tu non abbia ricevuto lamentele in merito non è altrettanto rilevante in quanto tali lamentele sono normalmente indirizzate a noi (l'Abuse) ed è sulla base di esse che l'Abuse ha agito.

Pare evidente che il problema sia relativo ad uno o più javacript contenuti nella suddetta pagina, ed è lì che va cercato, considerato che l'accesso FTP a quelle cartelle è stato preservato non vedo un'effettiva difficoltà nel crearne una terza, senza pubblicarne il link, e fare lì i dovuti test.

[interno]

Il fatto che il malware sia vecchio di due anni o che sia low-rated piuttosto che high-rated non è rilevante, come non è a mio avviso pertinente ai fini del thread discutere sull'inadeguatezza o meno degli antivirus.

Sicuramente non è rilevante ma vuol sempre dire qualcosa...

Il fatto che tu non abbia ricevuto lamentele in merito non è altrettanto rilevante in quanto tali lamentele sono normalmente indirizzate a noi (l'Abuse) ed è sulla base di esse che l'Abuse ha agito.

Non solo non ho ricevuto lamentele ma ribadisco l'ho visto usare a pieno regime da soggetti istituzionali, da me stesso, da utenti di questa comunità.

Pare evidente che il problema sia relativo ad uno o più javacript contenuti nella suddetta pagina, ed è lì che va cercato, considerato che l'accesso FTP a quelle cartelle è stato preservato non vedo un'effettiva difficoltà nel crearne una terza, senza pubblicarne il link, e fare lì i dovuti test.

Ma anche lo facessi come posso testare se i miei strumenti non mi rilevano alcuna maliziosità nel codice? L'unica è che, oltre ad indicarmi che un software segnala un'allerta, mi indichiate anche la porzione di codice che sarebbe incriminata, oppure che provaste a ritestarlo col software cui fate affidamento.

[Gianluca]

Quello che puoi fare è installarti un antivirus (puoi installare il medesimo antivirus utilizzato per fare la verifica), anche in versione di prova, e andare a modificare i javascripts che hai inserito in quella pagina.

Nel momento in cui il problema sarà risolto contattare l'Abuse per farti riabilitare le due cartelle in questione.