così non va bene. (virus da altervista)

A tutto lo staff di altervista:

Affinchè gli utenti riescano a votare correttamente il mio sito nella top100 è necessario che disabilitino i propri firewall, altrimenti il counter dei voti NON SALE. E questo vabbè, è passabile. Però, se uno disabilita il firewall, e clicca sul link per il voto, riceve in regalo un virus w32.velchia

di seguito il report dal sito symantec:

As of February 13, 2004, due to an increased rate of submissions, Symantec Security Response has upgraded this threat to a Category 3 from a Category 2.

W32.Welchia.B.Worm is a variant of W32.Welchia.Worm. If the version of the operating system of the infected machine is Chinese (Simplified), Chinese (Traditional), Korean, or English, the worm will attempt to download the Microsoft Workstation Service Buffer Overrun and Microsoft Messenger Service Buffer Overrun patches from the Microsoft® Windows Update Web site, install it, and then restart the computer.

The worm also attempts to remove the W32.Mydoom.A@mm and W32.Mydoom.B@mm worms.

W32.Welchia.B.Worm exploits multiple vulnerabilities, including:


The DCOM RPC vulnerability (first described in Microsoft Security Bulletin MS03-026) using TCP port 135. The worm specifically targets Windows XP machines using this exploit. We recommend that you patch this vulnerability by applying Microsoft Security Bulletin MS03-039.
The WebDav vulnerability (described in Microsoft Security Bulletin MS03-007) using TCP port 80. The worm specifically targets machines running Microsoft IIS 5.0 using this exploit. The worm's use of this exploit will impact Windows 2000 systems and may impact Windows NT/XP systems.
The Workstation service buffer overrun vulnerability (described in Microsoft Security Bulletin MS03-049) using TCP port 445. Windows XP users are protected against this vulnerability if Microsoft Security Bulletin MS03-043 has been applied. Windows 2000 users must apply MS03-049.
The Locator service vulnerability using TCP port 445 (described in Microsoft Security Bulletin MS03-001). The worm specifically targets Windows 2000 machines using this exploit.

The presence of the file, %Windir%\system32\drivers\svchost.exe, is an indication of a possible infection.

This threat is compressed with UPX.


--------------------------------------------------------------------------------
Note: Virus definitions dated February 11, 2004 revision 23 (20040211.023 or Defs Version 60211w) or later will detect this threat.
--------------------------------------------------------------------------------


Symantec™ Security Response has developed a removal tool to clean the infections of W32.Welchia.B.Worm.

Also Known As: W32/Nachi.worm.b [McAfee], W32/Nachi-B [Sophos], Win32.Nachi.B [Computer Associates], WORM_NACHI.B [Trend], Worm.Win32.Welchia.b [Kaspersky]

Type: Worm
Infection Length: 12,800 bytes



Systems Affected: Windows 2000, Windows XP
Systems Not Affected: DOS, Linux, Macintosh, OS/2, UNIX, Windows 3.x, Windows 95, Windows 98, Windows Me
CVE References: CAN-2003-0812, CAN-2003-0352, CAN-2003-0109, CAN-2003-0003

Questo non è un problema del mio pc, perchè mi sono arrivate mail di protesta dalla MAGGIOR PARTE degli utenti del sito, e coloro che non mi hanno mandato email lo hanno fatto perchè probabilmente o non hanno firewall o non hanno antivirus, e mi sto mobilitando personalmente per avvertirli uno ad uno.

Non è un modo di fare degno di un freehoster serio, ho perso la faccia con tutti gli utenti del sito; e dato che già da stamattina mi è stato disabilitato il database mysql (e fin qui, vabbè...) credo che la giornata sia stata completata nel migliore dei modi: adesso gli utenti non si fidano più a votare il sito, e io non potrò guadagnare altercents per riattivare il forum.

Non va bene, proprio non va bene...

[Alessandro1]

Bhà...addirittura perderci la faccia per un virus preso da --->ALTRI<----- siti mi sembra un po eccessivo

Comunque è MOLTO strana sta cosa del virus in Altervista

Bhà...addirittura perderci la faccia per un virus preso da --->ALTRI<----- siti mi sembra un po eccessivo

Comunque è MOLTO strana sta cosa del virus in Altervista

Sai, quando ti obbligano a disabilitare il firewall perchè il counter non prende le hist dei voti, e gli utenti si beccano un virus, non è il massimo del consiglio.

Ho comunque deciso di abbandonare altervista perchè questa cosa è troppo sporca, peccato che NON MI SI PERMETTA di fare il backup del database. altri complimenti.

[Alessandro1]

Non è assolutamente vero che Altervista non le permette di fare un back up del proprio sito e database!!!
Basta avere un po di volontà e fare una ricerca nel forum.
Anzi, le dico di più, l'accesso che viene dato agli utenti nel database è come un Amministratore quindi veda lei se non si riesce...

Visto che è arrivato alla decisione di abbandonare Altervista, le auguro di trovare un altro sito che le offra un servizio di hosting GRATUITO migliore.

Non è assolutamente vero che Altervista non le permette di fare un back up del proprio sito e database!!!
Basta avere un po di volontà e fare una ricerca nel forum.
Anzi, le dico di più, l'accesso che viene dato agli utenti nel database è come un Amministratore quindi veda lei se non si riesce...

Visto che è arrivato alla decisione di abbandonare Altervista, le auguro di trovare un altro sito che le offra un servizio di hosting GRATUITO migliore.

se il database è disabilitato per mancanza di altercents, non posso fare il database con phpmyadmin. se ha una qualche idea di come si possa fare a fare il backup ugualmente, le sarei grato di farmelo sapere, almeno posso rimuovere il mio sito al più presto.

[Alessandro1]

Provi ad inviare una email a gianluca@altervista.org

è vero anche a me quando sul mio sito si è aperto un pop-up del circuito dialer il mio amato mcafee ha bloccato il temuto worm...ma una cosa..quel worm non risiede/attacca solo i server windows...altervista
non ha solo server con linux???

guarda che non hai capito...io non mi stavo lamentando..il servizio che propone altervista è fantastico..
volevo portare alla luce il fatto che un worm (che attacca solo win) si aggira nel circuito dei pop-under....non che ce lo avesse messo altervista.. anche perche non credo che sia responsabile perfino delle pagine dei partner

[Alessandro1]

guarda che non hai capito...io non mi stavo lamentando..il servizio che propone altervista è fantastico..
volevo portare alla luce il fatto che un worm (che attacca solo win) si aggira nel circuito dei pop-under....non che ce lo avesse messo altervista.. anche perche non credo che sia responsabile perfino delle pagine dei partner

Ahhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhh hhhhhhhhhhhhhhhhhhhhhhhhhhhhhhh...ma il tizio che ha creato questo post parlava del bannerino della top100...non i banner della banners machine
Non è una novità che quei siti sono PIENI di schifezze tra cui, a volte, anche virus!

[Taitaonline]

Si, si... ma ci può essere un'altra spiegazione a vantaggio di AV che in ogni caso, immagino al di sopra di ogni sospetto.

Se ho ben capito si parlava del "MyDoom" e contro quel virus è da mesi che esiste una patch che lo blocca.
Io lo avevo beccato 30 secondi (proprio 30 secondi!) dopo aver installato XP.... Rimosso con il Fix di Symantec, installata la Patch e..... mai più visto il virus.... E non ho firewall !!
Quindi se ne presume che chi lo ha beccato non sia stato molto accorto nel proteggersi adeguatamente.

[Gianluca]

fchampions:

Premetto che mi spiace che tu stia avendo questa serie di problemi, tuttavia prima di aprire threads simili in cui non solo si crea allarmismo ma anche ci si avventa sul primo che capita, tanto per dare la colpa a qualcuno di, presumo, una negligenza personale sarebbe bene pensarci un po' su, questo non va bene.

Al di là del fatto che sui server di AlterVista non gira nemmeno una riga di codice Microsoft, ed è quindi abbastanza curioso che una macchina Unix sia portatrice di un worm W32, il worm in questione è stato schedato nell'Agosto 2003 (e non è quindi qualcosa di così "sfuggente"), migliaia di persone ogni giorno vengono reindirizzate su http://www.altervista.org/classifica.php che è una semplice pagina php e non sembra ci sia in corso un'epidemia di alcunchè , al di là del fatto che mi sfugge l'eventuale movente che avrebbe un atto simile...


In alcuni circuiti dialer based vengono aperte talvolta pagine in cui sono presenti dialers che vengono segnalati da firewalls e simili, questo perchè la maggior parte dei nuovi firewalls semplicemente segnala i dialers partendo dal presupposto, giustamente, che l'utente debba sempre essere al corrente della loro presenza, ma questo è un altro discorso.

Allo stato attuale non mi risulta che nessuno dei mercanti stia ospitando pagine che distribuiscano deliberatamente virus o worms, ma al più, per i circuiti dialer-based, appunto dialers, siano essi segnalati o meno dai vari softwares.


Per quanto riguarda il database ognuno è responsabile del proprio account, se si decide di forzare il tutto allora bisognerebbe farsi due calcoli e almeno provvedere ad un backup dei propri dati se ci si accorge di rischiare la disattivazione, e fare il backup è possibile qualunque sia la dimensione del database, come spiegano vari tutorials sparsi per il forum.

[heracleum]

Allo stato attuale non mi risulta che nessuno dei mercanti stia ospitando pagine che distribuiscano deliberatamente virus o worms, ma al più, per i circuiti dialer-based, appunto dialers, siano essi segnalati o meno dai vari softwares.

Non esattamente:
le tre volte che nella banner machine ho osato cercare tra i popunder se finalmente ne fosse stato aggiunto uno non "malizioso" ho ricevuto esattamente tutte e tre le volte il blocco di AVG Antivirus riguardo ad un virus Trojan che tentava di installarsi automaticamente (alla sola comparsa del popunder)

Colgo l'occasione, Gianluca, per chiederti se tra le novità riguardo i banner è in programma anche la possibilità di avere qualche popup o popunder dialer-free

[Gianluca]

Alcuni antivirus indicano come Trojan determinati dialers con nomenclature e criteri di catalogazione propri, ma essi, tecnicamente sono dialers non virus :)

Se poi ovviamente determinati tipi di dialers non sono conformi alla legge (ad esempio non chiedono il consenso per attivare una connessione), allora questo è da segnalare.

In base a quello che ho visto ultimamente tutti i vari circuiti dialer-based ospitano contenuti che sono in linea con la legge, ovviamente essi cambiano abbastanza spesso e quindi la mia oservazione non fa testo, ci sono però sanzioni pesanti per chi distribuisce deliberatamente software non in regola e credo quindi che sarebbe folle per le aziende rischiare così tanto a fronte di guadagni comunque non certo elevati come gà solo 1 anno fa.


Per quanto riguarda i popunders non mi occupo più direttamente di queste cose, ho lasciato il testimone a gente senz'altro più in gamba .
Posso comunque dirti che il lavoro di revisione dei circuiti si estenderà anche ai popunders, con il naturale declino dei dialers è inevitabile comunque che gradualmente i circuiti dialer-based, almeno come li intendiamo ora, diventeranno sempre meno numerosi.

[heracleum]

Ottime notizie!!
Ho anche notato che da pochi giorni nei due circuiti 6-11 di Wooow free se n'è aggiunto un altro, MyExperience, a rotazione o meglio si alternano, dunque c'è già movimento... bene, attendo con ansia :)

Gentile Sig. Gianluca,
Dato che non risponde alla mia mail, cercherò di mettermi in contatto con lei mediante forum.

Tralasciando il fatto che il problema non deriva da una mia negligenza, in quanto non sono ancora arrivato a dei livelli di idiozia accettabili, le vorrei far notare che sì, avrà ragione sul fatto che il webmaster del sito è responsabile dei contenuti e degli eventuali backup del database, d'altro canto lei non può ritenersi proprietario dei dati contenuti in esso. Per questo necessiterei di questi dati per ripristinare il database in altra sede, e non credo proprio che mi si possa negare questa eventualità: non chiedo la riattivazione del database sul sito, ma solo il sacrosanto diritto di riprendere i dati miei, e dei miei utenti, dal mio database.

Riguardo il creare allarmismo, mi permetta di disquisire: questo non è allarmismo, è una semplice quanto inopinabile constatazione di ciò che è accaduto a me e agli utenti del mio sito. Un pò più di accortezza da parte sua e del suo staff non sarebbe stata di certo contestata: anche il fatto di dover disabilitare la maggior parte dei firewall, perchè bloccando l' "http_referrer" non permettono il conteggio dei voti, è un controsenso, soprattutto in questo periodo in cui navigando su internet ci si trova ad affrontare virus, spam, dialer, e tutte le peggiori porcherie che siano state inventate da furbi commercianti.

Con l'occasione, le consiglierei di effettuare la prova che ho eseguito io, e controllare di persona quello che io e i miei utenti ci siamo trovati ad affrontare.

Distinti saluti.

[Alessandro1]

Vorrei solo precisare che siccome Altervista offre un servizio gratuito, non è costretta a fornire back up di alcun genere; quindi, in caso Gianluca glielo fornisse, è da considerarsi solo un favore che le ha fatto...nient'altro!

[Gianluca]

Non mi è arrivata la tua email (non sono così vecchio quindi puoi pure darmi del "tu" :) ), e comunque sottolineo il fatto che la forzatura del database comporta la presa di coscienza da parte dell'utente che, come forzatura, il proprio database è in una condizione provvisoria, come anche viene spiegato chiaramente prima di dare conferma, l'utente è si il proprietario dei suoi dati ma ne è comunque anche il responsabile e l'amministratore.


Io ho contestato il post per i suoi toni aggressivi, accusatori e la sua natura allarmistica il fatto che il click sul bannerino di voto faccia scaricare un virus (oltretutto dell'Agosto 2003), mi pare certamente un'affermazione che è stata fatta prima di fare tutte le verifiche del caso in modo approfondito, ricordiamoci che questo forum è un forum pubblico.

Al di là del fatto che non è assolutamente vero che sia necessario disabilitare i propri firewalls per far sì che i voti siano conteggiati, ma semmai agire sulla configurazione di alcuni firewalls in maniera marginale, il requisito http referer è d'obbligo per una serie di ragioni tra le quali certificare che i voti provengano effettivamente dalle pagine del proprio sito, requisito base per una classifica ideata per premiare dei siti web.

Ovviamente sono stati fatti tutti i controlli del caso, c'è anche da dire che la classifica viene usata da migliaia di utenti ogni giorno da ormai due anni o più, se veramente facesse scaricare un virus, oltretutto vecchio di parecchi mesi, ci sarebbe veramente solo questo post, e soprattutto sarebbe ancora utilizzata questa famigerata classifica?

Consiglio a te di fare bene tutte le verifiche del caso, il tuo problema è molto probabilmente altrove.

Al fine di evitare che episodi simili si ripetano stiamo studiando una soluzione alternativa all'attuale forzatura, la cosa non sarà di certo semplice, fino a quando comunque questo sistema continuerà ad essere in funzione invito tutti a leggere bene ogni testo di spiegazione e in caso di dubbio venire a cercare sul forum.

Concludendo ti posso dire che ti è stata inviata un'email in cui puoi trovare un link da cui scaricare il tuo database.

Non mi è arrivata la tua email (non sono così vecchio quindi puoi pure darmi del "tu" :) ), e comunque sottolineo il fatto che la forzatura del database comporta la presa di coscienza da parte dell'utente che, come forzatura, il proprio database è in una condizione provvisoria, come anche viene spiegato chiaramente prima di dare conferma, l'utente è si il proprietario dei suoi dati ma ne è comunque anche il responsabile e l'amministratore.

Infatti io non ti contesto assolutamente questo. E'chiaro che attivando forzosamente il database sapevo a cosa potevo andare incontro. Purtroppo non ho avuto il supporto "sperato" dagli utenti del mio sito, ma il fatto della diffusione del virus ha allarmato i miei utenti, che hanno deciso di non votare ulteriormente il sito. (in questo caso, non posso dare torto agli utenti, se dopo aver ricevuto un attacco da parte di un virus, decidono così, rispetto le loro volontà in pieno).

Io ho contestato il post per i suoi toni aggressivi, accusatori e la sua natura allarmistica il fatto che il click sul bannerino di voto faccia scaricare un virus (oltretutto dell'Agosto 2003), mi pare certamente un'affermazione che è stata fatta prima di fare tutte le verifiche del caso in modo approfondito, ricordiamoci che questo forum è un forum pubblico.

Beh, aggressivo può essere. Se ho dato questa impressione mi scuso. Ma non direi allarmistico: ho semplicemente constatato una cosa che è successa a me e ad altri utenti del mio sito; mi sono arrivate delle mail di lamentele, quindi ho provato l'effettiva veridicità della cosa, e quindi ho postato: sinceramente, devo fare un mea culpa riguardo alcuni passaggi, ma già la mattina era stato disabilitato il db mysql e non potevo farne un dump, e la sera sono stato bombardato da mail di protesta, nonchè la tremenda sconfitta del milan, mi hanno fatto andare i nervi un pò in pappa. Mi cospargo il capo di cenere.

Al di là del fatto che non è assolutamente vero che sia necessario disabilitare i propri firewalls per far sì che i voti siano conteggiati, ma semmai agire sulla configurazione di alcuni firewalls in maniera marginale, il requisito http referer è d'obbligo per una serie di ragioni tra le quali certificare che i voti provengano effettivamente dalle pagine del proprio sito, requisito base per una classifica ideata per premiare dei siti web.

Si, questo è vero, ma non è facilissimo spiegare a tutti gli utenti, specialmente agli stranieri, le procedure esatte per ogni firewall. Disabilitandolo durante il voto, si fà decisamente prima; anche se c'è una variabile di rischio.

Ovviamente sono stati fatti tutti i controlli del caso, c'è anche da dire che la classifica viene usata da migliaia di utenti ogni giorno da ormai due anni o più, se veramente facesse scaricare un virus, oltretutto vecchio di parecchi mesi, ci sarebbe veramente solo questo post, e soprattutto sarebbe ancora utilizzata questa famigerata classifica?

Beh, questo mi pare palese. O migliaia di utenti sono così incoscenti da non utilizzare antivirus, oppure il problema si è verificato sul mio spazio web, o in un determinato lasso di tempo... sta il fatto che il click e l'arrivo del virus non ce li siamo sognati, io e i miei utenti :?

Consiglio a te di fare bene tutte le verifiche del caso, il tuo problema è molto probabilmente altrove.

Al fine di evitare che episodi simili si ripetano stiamo studiando una soluzione alternativa all'attuale forzatura, la cosa non sarà di certo semplice, fino a quando comunque questo sistema continuerà ad essere in funzione invito tutti a leggere bene ogni testo di spiegazione e in caso di dubbio venire a cercare sul forum.

Concludendo ti posso dire che ti è stata inviata un'email in cui puoi trovare un link da cui scaricare il tuo database.

Per il database ti ringrazio, è stato molto corretto da parte tua. Spero che la fonte del problema venga scoperta ed eliminata in tempi brevi.

Ciao!