Sito cinese qq829.com

[it9umh]

Ciao a tutti,
ricevo mediamente 10 visite giornaliere provenienti dal sito qq829.com che è un sito che è in lingua cinese e tratta di argomenti legati ai teenager cinesi.

Ho provato a cercare quale link o quale argomento abbiano trovato interessante per onorarmi della loro attenzione e ho scoperto che in realtà non esiste un link diretto attraverso http://www.qq829.com/web_stat.asp?dn=nomesito.ext (sito possibilmente malevolo) e di rimando ho solo un link con una gift animata di cnzz.com.

Una ricerca in giro su internet e scopro che questo atteggiamento è diffuso a danno di altri utenti gestori di altri siti in altri paesi anche extra europei.

Francamente la cosa non mi è chiara non tanto per i link, ma per quello che potrebbero mascherare (attività illecite o scambio di materiale pedoporno) dietro una apparentemente normale attività di linkaggio sia attraverso il mio sito sia attraverso altri siti.

Cerco quindi una risposta o meglio soluzioni da parte degli Amministratori di ALTERVISTA ed inoltre chiedo a tutti, se vi risultano visite strane da provenienti da questo sito cinese.

Grazie a tutti

Enzo

[darkwolf]

Piazza questo nell'htaccess e escluderai l'accesso a quel sito

Codice:

RewriteEngine on

RewriteCond %{HTTP_REFERER} qq829\.com [NC]
RewriteRule .* - [F]

[SolitaryExplorer]

Non ho ben capito che genere di link ti ritrovi e soprattutto dove va a puntare, ma stai tranquillo e non lasciarti impressionare dallo strano indirizzo.
Non avendo approvato in passato l'uso di caratteri non occidentali per la scrittura di indirizzi web, gli asiatici hanno preso come prassi la trascrizione di un nome con il corrispondente suono fonetico in lettere occidentali.
Per esempio "qq" è anche parte del nome di un protocollo di messaggistica creato da una società cinese.
Quel sito potrebbe anche semplicemente essere una comunità di tale protocollo di messaggistica.

EDIT
Con una traduzione un po' approssimata si capisce che si tratta proprio di un network simile a "Windows Live" con lo spazio per le foto, i blog, la sezione per scaricare i software...

E comunque il sito contiene un link con l'autorizzazione di stato alla pubblicazione.

[darkwolf]

Googlando sembra essere un problema "esteso": http://www.google.it/search?source=i...=&oq=&gs_rfai=
Non ho ancora ben capito però cosa fa esattamente :/

[SolitaryExplorer]

Il sito cnzz.com risulta essere un servizio di statistiche tra cui spiccano partner come Google China e Baidu (maggior motore di ricerca cinese).
Alcune liste compilate automaticamente non rilevano pericoli da quell'indirizzo, mentre altre compilate manualmente da comuni utenti dei servizi di controllo dicono che riscontrano virus piuttosto che spyware...

http://google.com/safebrowsing/diagn...site=cnzz.com/

[it9umh]

Piazza questo nell'htaccess e escluderai l'accesso a quel sito

Codice:

RewriteEngine on

RewriteCond %{HTTP_REFERER} qq829\.com [NC]
RewriteRule .* - [F]

Ho installato nell'HTACCESS la soluzione indicata ma gli ingressi continuano.

Ieri sera ho provato a risalire al sito emittente tramite hitstats ma mi ha collegato ad una pagina che visualizzava uno schermo nero e codici ascii; ogni tanto caratteri cinesi e spesso ripeteva i termini hacker track con tanto di musichetta di sottofondo.

http://www.qq829.com/web_stat.asp?dn=nomesito.ext (sito possibilmente malevolo)

Ovviamente mi sono disconnesso subito dalla rete.
Ho controllato il sito e apparentemente non ci sino pagine nuove oppure intromissioni, ma non si può mai dire.....

La storia mi piace sempre meno e mi dispiacerebbe fare da "cavallo di troia" dentro il portale altervista.

Altre soluzioni ???

grazie

[SolitaryExplorer]

La soluzione via htaccess non funziona a te come a tanti altri che l'hanno già provata.
Prova a descrivermi in privato i passaggi della tua ricerca e gli indirizzi che hai incontrato...
L'avventura mi sta incuriosendo :)

Nel frattempo intervengo io, possibilmente può esservi utile...

Nei passati giorni ho ricevuto anche io delle visitine da questo sito.
Ieri notte (alle 02:4.22) ho trovato la bella sorpresina, con il sito hackerato da turchi. Ora, non so se i due fatti possono coincidere, voi che ne dite?

Anch'io ho messo quel codice nel .htaccess, e andando a guardare su histats.com vedo che ancora continuo a ricevere quelle visite.
Edit.
Andando a controllare su histats, l'hacker non ha lasciato nessun segno (non c'è l'IP e nessun segno che sia passato).

[andreafallico]

Nei log, il sito qq829.com, lo trovi come referer o come remote_host?

[SolitaryExplorer]

Suppongo a questo punto che sia un intermediario più o meno consapevole per sondaggio della rete alla ricerca di siti vulnerabili.
La finalità è sicuramente per la rivendita all'ingrosso di accessi per la distribuzione di malware e botnet.

[it9umh]

Nei log, il sito qq829.com, lo trovi come referer o come remote_host?

Hitstats me lo riporta come URL REFERER .............

Nel frattempo intervengo io, possibilmente può esservi utile...

Nei passati giorni ho ricevuto anche io delle visitine da questo sito.
Ieri notte (alle 02:44.22) ho trovato la bella sorpresina, con il sito hackerato da turchi. Ora, non so se i due fatti possono coincidere, voi che ne dite?

Anch'io ho messo quel codice nel .htaccess, e andando a guardare su histats.com vedo che ancora continuo a ricevere quelle visite.
Edit.
Andando a controllare su histats, l'hacker non ha lasciato nessun segno (non c'è l'IP e nessun segno che sia passato).

Continuando... Volevo dire oltre al fatto che l'hacker non ha lasciato nessun segno nelle statistiche...
L'hacker è entrato alle 02.44 (o almeno ha modificato i files a quell'ora), da quel momento non è entrato più nessuno. Poi alle 8.15:36 è entrato un tizio dalla cina proveniente dal sito qq829.com
Fino a quel momento non ero riuscita a capire come togliere ciò che ha distrutto, quindi forse qualcuno è passato da lì per vedere se il lavoro era stato portato a termine o se ero riuscita a modificare tutto?
Mi devo aspettare un altro attacco?!

A questo punto mi sembra che le due cose coincidano...

Nei log, il sito qq829.com, lo trovi come referer o come remote_host?

Entrando su histats, io lo trovo su PROVENIENZA >> DA SITI (>> url referer).

EDIT

Sto cercando delle info maggiori ed ho trovato questo topic (traduzione in italiano) in cui molti utenti segnalano delle visite da parte di questo sito cinese.

EDIT 2

Leggi questo articolo (traduzione in italiano). Leggete la parte in cui vi indica dove trovare i codici per bloccare momentaneamente le visite da questo sito o dalla Cina. Leggete tutti i commenti, in particolare quello in cui viene detto che forse "chi è andato a far visita in quel sito, è possibile che abbiano messo un cookie sul computer", quindi dobbiamo vedere se abbiamo qualche file di questo genere e cancellarlo.

Come bloccare il traffico proveniente da quel sito?
Da AurelloSoft:
PRIMA OPZIONE (il codice va messo nel file .htaccess):

Codice:

RewriteEngine on
# Options +FollowSymlinks
RewriteCond %{HTTP_REFERER} cnzz\.cn [NC,OR]
RewriteCond %{HTTP_REFERER} qq829\.com [NC]
RewriteRule .* - [F]

SECONDA OPZIONE (non so dove va messo questo):

Codice:

SetEnvIfNoCase Referer "^qq829" TOBLOCK=1
SetEnvIfNoCase Referer "^cnzz" TOBLOCK=1

<FilesMatch "(.*)">
Order Allow,Deny
Allow from all
Deny from env=TOBLOCK
</FilesMatch>

Metodo ParkanSky...

[andreafallico]

Ma la prima opzione è uguale a quella scritta da darkwolf.
Ma l'ip cambia sempre?
Se è sempre uguale puoi aggiungere RewriteCond REMOTE_ADDR.

Si, la prima opzione è uguale (però aggiunge anche czz). Però non capisco perchè AurelloSoft dice che funziona, a me non funziona. Continuano ad arrivare le visite.

Ho potuto controllare solo 3 visite perchè histats segna solo le ultime 20.000 visite. Gli IP sono diversi.

La seconda opzione cosa sarebbe? Va messa sempre nel .htaccess?

[andreafallico]

La seconda opzione cosa sarebbe? Va messa sempre nel .htaccess?

Si, va nel .htaccess (forse su AV SetEnv non funziona), ma penso sia uguale alla prima opzione.

[it9umh]

Ho inserito nell' htaccess questo codice

Codice:

Codice:

RewriteEngine on
# Options +FollowSymlinks
RewriteCond %{HTTP_REFERER} cnzz\.cn [NC,OR]
RewriteCond %{HTTP_REFERER} qq829\.com [NC]
RewriteRule .* - [F]

e oggi "stranamente" non ho avuto alcun accesso da parte del sito qq829

Ho controllato i files del sito e pare che non ci sia problema, cmq continuerò il monitoraggio nei prossimi giorni e se ci saranno aggiornamenti aggiornerò il post del forum.

Intanto grazie a tutti per l'assistenza..... e a buon rendere.

Dunque... Con il codice di DarkWolf, le visite continuavano ad arrivare (sempre poche sono le visite). Mentre ieri ho messo il codice che ho postato (prima opzione) ed oggi non è arrivata nessuna visita...

[darkwolf]

Evidentemente quello "vero" è cnzz\.cn
All'inizio non era venuto fuori e risultava un referer da qq829\.com e quindi avevo consigliato il blocco di quello :)

Dunque...da qualche parte ho letto che dopo aver aperto il sito in questione, si è installao nei cookie (mi pare) qualcosa e che si apre la finestra quella di windows con le cartelle.
Poco fa ho aperto Internet Explorer e da quel momento (anche con Firefox) continua ad aprirsi la finestra di Windows "Risorse del computer".
Adesso è un pasticcio. Non so come eliminare il problema. Sto facendo la scansione con un programma che si chiama "SpyBot". Idee?t

[darkwolf]

Fa una passata con combofix se spybot non dovesse bastare :)

Fa una passata con combofix se spybot non dovesse bastare :)

Con tutta sincerità non posso affermare che "sicuramente" è stato colpa di quel sito. Ma c'è da dire che ci sono troppe coincidenze.

Io ho fatto una "passata" (XD) sia con spybot che con avira. Il primo non mi ha segnalato niente, il secondo mi ha segnalato qualche virus ma penso che erano di quei virussini presi con il tempo.

EDIT (editato informazioni non attinenti alla discussione ^_^' )

Non aprite quella porta, ops, non aprite quel sito :p

[SolitaryExplorer]

A me la navigazione intensiva in quei siti non ha dato alcun disagio.
Magari il tuo pc non era ben protetto.
Quando ti ritorna se ti va ti do qualche dritta. ;)

A me la navigazione intensiva in quei siti non ha dato alcun disagio.
Magari il tuo pc non era ben protetto.
Quando ti ritorna se ti va ti do qualche dritta. ;)

Ritorno solamente ora
Ho cancellato alcune cose del messaggio precedente.
Il virus c'era e si andava ad infiltrare in alcune cartelle, il fatto che avevo descritto sulla tastiera che non funzionava, era un problema della tastiera.
Ora mi hanno installato NOD32, dovrebbe essere buono (?)...