Visualizzazione risultati 1 fino 19 di 19

Discussione: Trojan sul server

  1. #1
    pulidomus non è connesso Neofita
    Data registrazione
    03-02-2011
    Messaggi
    9

    Exclamation Trojan sul server

    Buongiorno,

    volevo segnalare la presenza di un trojan sul vostro server (78.129.205.91) la quale ospita il mio sito (www.pulidomus.it) ,tale trojan mi infetta tutte le pagine con codice malevolo rendendolo irraggiungibile(sito che uso per lavoro),il codice malevolo è un semplice iframe con un redirect


    edit - non pubblicare sourcecode di malware qui - edit

    Ovviamente eliminare il codice/i file a mano non serve a niente dato che il codice si autogenera ogni volta.


    Vi chiedo quindi di rimuovere il trojan e tappare la falla con particolare urgenza(dato appunto che il sito lo uso per lavoro),se ciò dovesse richiedere tempo(non oltre mercoledì) vi chiedo di spostarmi il dominio su di un altro server pulito(nel caso vi autorizzo a non spostarmi anche il contenuto del sito dato che è già infettato,lo rifarò da capo,se invece riuscite anche a spostarmelo/ripulirmelo meglio così)

    Attendo una vostra risposta.

    Nardò Alan
    Ultima modifica di Gianluca : 15-03-2013 alle ore 15.52.29

  2. #2
    L'avatar di binarysun
    binarysun non è connesso Utente storico
    Data registrazione
    02-07-2004
    Messaggi
    2,017

    Predefinito

    Difficilmente è un virus sul server (anche perché altrimenti tutti i siti su quel server sarebbero compromessi e non solo il tuo).
    Più probabile che sia una vulnerabilità di un tuo script oppure un virus sul tuo computer.
    "L'intelligenza è una pianta che va curata continuamente.
    Dovreste vedere com'è bello, il mio bonsai."
    Rat-man®

    [Gradient Text]
    [Su che server sei?]
    ->flickr

  3. #3
    pulidomus non è connesso Neofita
    Data registrazione
    03-02-2011
    Messaggi
    9

    Predefinito

    Citazione Originalmente inviato da binarysun Visualizza messaggio
    Difficilmente è un virus sul server (anche perché altrimenti tutti i siti su quel server sarebbero compromessi e non solo il tuo).

    e chi dice che non lo siano???molto probabilmente lo saranno anche gli altri


    Citazione Originalmente inviato da binarysun Visualizza messaggio
    Più probabile che sia una vulnerabilità di un tuo script
    avevo joomla,ho piallato tutto ed installato un altro cms(entrambi installati con le applicazioni disponibili su altervista),il problema rimane quindi ipotesi scartata


    Citazione Originalmente inviato da binarysun Visualizza messaggio
    oppure un virus sul tuo computer.
    no comment...in che modo un virus sul mio computer inietterebbe codice in remoto????
    Ultima modifica di pulidomus : 15-03-2013 alle ore 15.35.01

  4. #4
    pulidomus non è connesso Neofita
    Data registrazione
    03-02-2011
    Messaggi
    9

    Predefinito

    p.s. dato che non ho trovato sezioni apposite per questo tipo di problemi ho postato qua che mi sembrava si avvicinasse di più al problema mio,chiedo comunque se c'è qualche contatto email o prferibilmente telefonico per contattare chi di dovere.Grazie.

  5. #5
    Guest

    Predefinito

    Citazione Originalmente inviato da pulidomus Visualizza messaggio
    no comment...in che modo un virus sul mio computer inietterebbe codice in remoto????
    magari usando le connessioni FTP salvate sul tuo pc e modificando le pagine remote, oppure leggendo le tue password e girandole a qualche altro utilizzatore, oppure ...

    abbi un po' di umiltà ...

  6. #6
    L'avatar di alemoppo
    alemoppo non è connesso Staff AV
    Data registrazione
    24-08-2008
    Residenza
    PU / BO
    Messaggi
    22,683

    Predefinito

    Citazione Originalmente inviato da pulidomus Visualizza messaggio
    no comment...in che modo un virus sul mio computer inietterebbe codice in remoto????
    Invece comment comment: se guardi anche nel forum ci sono moltissimi casi in cui ci sono questi codici immessi da virus nel PC dei gestori. Come fa? Beh, semplicemente possono sniffarti la password FTP e/o (è la stessa) del pannello di controllo (o come diceva binarysun sfruttare vulnerabilità del tuo script, anche se non sembra il tuo caso).

    Ciao!

    EDIT: anticipato...
    Ultima modifica di alemoppo : 15-03-2013 alle ore 15.44.21

  7. #7
    L'avatar di binarysun
    binarysun non è connesso Utente storico
    Data registrazione
    02-07-2004
    Messaggi
    2,017

    Predefinito

    Citazione Originalmente inviato da pulidomus Visualizza messaggio
    e chi dice che non lo siano???molto probabilmente lo saranno anche gli altri
    Il forum sarebbe pieno di segnalazioni come la tua.
    Ovviamente tutto è possibile (non conosco come vengano gestiti i server da altervista), ma è molto raro che possa accadere per vari motivi.

    Riguardo al "come" ci sono vari modi e molti virus che lo fanno.
    "L'intelligenza è una pianta che va curata continuamente.
    Dovreste vedere com'è bello, il mio bonsai."
    Rat-man®

    [Gradient Text]
    [Su che server sei?]
    ->flickr

  8. #8
    L'avatar di Gianluca
    Gianluca non è connesso Amministratore
    Data registrazione
    15-02-2001
    Messaggi
    18,035

    Predefinito

    pulidomus:

    oggigiorno ci sono numerosi virus che fanno esattamente quanto ti è stato descritto, quindi infettano il tuo pc o un pc che hai usato per accedere al tuo sito, recuperano le credenziali FTP e le usano in un secondo tempo per infettare il tuo sito, uno di questi è koobface, con tutte le sue varianti.

    Qui alcune indicazioni: http://forum.it.altervista.org/893463-post2.html

    Dai log FTP del tuo account è comunque molto evidente il problema, che peraltro interessa molte pagine del sito, non solo l'homepage.
    Devi mettere in pratica quelle indicazioni, in particolare prima ripulire il tuo pc e poi cambiare le credenziali di accesso, fio a quel momento il problema si ripresenterà sicuramente.
    Gianluca

  9. #9
    pulidomus non è connesso Neofita
    Data registrazione
    03-02-2011
    Messaggi
    9

    Predefinito

    Allora vi escludo un virus sul mio computer per diversi motivi(ma basta solo il 5):

    1) per la storia dell'ftp,prima con joomla l'ftp era disabilitato,ed in ogni caso non mi son mai collegato via ftp

    2) non ho password salvate sul mio pc e non memorizzo mai le password(in ogni caso la pass è univoca per questo sito)

    3)ho piallato e reinstallato il cms l'8 marzo,dopodichè non ci sono più andato perchè non avevo tempo e so per certo che il sito funzionava correttamente anche il giorno dopo,da ieri sono stato avvisato da clienti che il problema è tornato

    4) in ogni caso il sito era stato fatto ed era funzionante 2 anni fa,dopodichè non era più stato toccato ne era stato fatto l'accesso tramite il pannello di controllo e l'altra settimana che ho rivisitato il sito ho scoperto il problema(questo per escludere sniffing di qualunque password)

    5) quando si tenta di accedere al sito indifferentemente da che computer,il browser avvisa della presenza di un trojan sul server!!!!
    Ultima modifica di pulidomus : 15-03-2013 alle ore 16.18.34

  10. #10
    Guest

    Predefinito

    Allora non userò mai prodotti informatici che facciano capo alla ditte summenzionata.
    Ad un virus non occorre trovare la password salvata, gli basta sniffarla mentre la digiti.

    Quando si parla di FTP, non ci si riferisce all'opz di Joomla, ma del PROTOCOLLO di trasferimento che usi ti dal tuo PC.

    Non basta eliminare il CMS, devi controllare APPROFONDITAMENTE il TUO Computer e TUTTI quelli da cui ti colleghi/ti sei collegato al tuo sito.

    Il trojan c'è. Ma è SUL TUO PC!
    Ultima modifica di simpleticket : 15-03-2013 alle ore 16.20.46

  11. #11
    pulidomus non è connesso Neofita
    Data registrazione
    03-02-2011
    Messaggi
    9

    Predefinito

    Allora:

    1) come ho detto nel punto 4,il sito con joomla era stato fatto più di due anni fa da un pc che non esiste neanche più, ed aveva funzionato anche nei mesi successivi,l'accesso da quella volta non è più stato fatto.2 settimane fa un cliente mi avverte che il browser gli segnala il sito malevolo.Ora mi sembra molto difficile che a distanza di due anni mi utilizzino la password sniffata per accedere al mio account(e ripeto che non salvo password sul pc e la password in ogni caso è univoca)

    2) ho ripulito una prima volta il sito dal Mac di casa mia,ed il problema è ritornato.ho spiattellato tutto e reinstallato da capo dal pc aziendale,problema è tornato ancora,tutti con lo stesso virus?

  12. #12
    Guest

    Predefinito

    Se non cambi le credenziali di accesso il problema si ripresenterà in eterno.
    Due anni senza aggiornare Joomla? E ti chiedi da dove venga il malware?

  13. #13
    L'avatar di Gianluca
    Gianluca non è connesso Amministratore
    Data registrazione
    15-02-2001
    Messaggi
    18,035

    Predefinito

    pulidomus:

    come ti ho scritto sopra il problema è del tutto comune, ha dei sintomi chiari e delle evidenze nei tuoi log FTP, dove si vedono dei pattern di infezione noti e riconosciuti, la soluzione sta nella discussione che ti ho linkato.

    Chiaramente essendo quel codice nelle tue pagine ogni pc le vedrà infette sia esso pulito o meno.
    Gianluca

  14. #14
    pulidomus non è connesso Neofita
    Data registrazione
    03-02-2011
    Messaggi
    9

    Predefinito

    Citazione Originalmente inviato da simpleticket Visualizza messaggio
    Se non cambi le credenziali di accesso il problema si ripresenterà in eterno.


    1) ho cambiato adesso le credenziali ed ho ripulito il sito,il tutto da un 4° pc differente dagli altri,staremo a vedere...



    Citazione Originalmente inviato da simpleticket Visualizza messaggio
    Due anni senza aggiornare Joomla? E ti chiedi da dove venga il malware?


    difatti sul primo momento mi son detto "vabbè non aggiorno joomla da 2 anni,è normale",ma se dopo aver disinstallato joomla ed aver reinstallato un altro CMS il problema si ripresenta e sempre lo stesso,ne converrai che allora non era quello il problema?

    p.s. avendo un cms bacato di certo non puoi immettere un trojan sul server,a meno che non sia anche quest'ultimo con una falla
    Ultima modifica di pulidomus : 15-03-2013 alle ore 16.43.38

  15. #15
    L'avatar di Gianluca
    Gianluca non è connesso Amministratore
    Data registrazione
    15-02-2001
    Messaggi
    18,035

    Predefinito

    pulidomus:

    ripulire il sito e cambiare le credenziali non è sufficiente se non ti accerti che ogni pc che viene usato per amministrarlo sia pulito.

    Secondariamente l'avere joomla non aggiornato da due anni è molto rischioso, ma non è alla base di questo problema specifico, come ti ho scritto sopra.
    Gianluca

  16. #16
    pulidomus non è connesso Neofita
    Data registrazione
    03-02-2011
    Messaggi
    9

    Predefinito

    Citazione Originalmente inviato da Gianluca Visualizza messaggio
    pulidomus:

    come ti ho scritto sopra il problema è del tutto comune, ha dei sintomi chiari e delle evidenze nei tuoi log FTP, dove si vedono dei pattern di infezione noti e riconosciuti, la soluzione sta nella discussione che ti ho linkato.

    Chiaramente essendo quel codice nelle tue pagine ogni pc le vedrà infette sia esso pulito o meno.



    Grazie per la risposta,ho letto ma ripeto non credo proprio sia la mia situazione altrimenti non si spiegherebbero i punti da me sopra descritti,quella è una soluzione troppo generale che potrebbe coinvolgere qualunque caso

    In ogni caso ho seguito la procedura,cambiato password e ripulito il sito,staremo e vedere,spero di sbagliarmi ovviamente.
    Ultima modifica di pulidomus : 15-03-2013 alle ore 16.51.34

  17. #17
    pulidomus non è connesso Neofita
    Data registrazione
    03-02-2011
    Messaggi
    9

    Predefinito

    Citazione Originalmente inviato da Gianluca Visualizza messaggio
    pulidomus:

    ripulire il sito e cambiare le credenziali non è sufficiente se non ti accerti che ogni pc che viene usato per amministrarlo sia pulito.
    Ok,ma pc differenti con OS differenti con lo stesso problema?mi sembra strano...


    Citazione Originalmente inviato da Gianluca Visualizza messaggio
    pulidomus:
    Secondariamente l'avere joomla non aggiornato da due anni è molto rischioso, ma non è alla base di questo problema specifico, come ti ho scritto sopra.

    assolutamente d'accordo,ma come dici tu non è la causa di questo problema

  18. #18
    L'avatar di Gianluca
    Gianluca non è connesso Amministratore
    Data registrazione
    15-02-2001
    Messaggi
    18,035

    Predefinito

    pulidomus:

    basta che uno solo di quei pc fosse infetto nel periodo di validità della password, che presumo sia due anni, non necessariamente tutti. Leggiti questo: http://blog.unmaskparasites.com/2010...b-of-koobface/ , con particolare riferimento alla sezione "to webmasters", chiaramente da quando quell'articolo è stato pubblicato sono nate numerose varianti a koobface con manifestazioni leggermente diverse ma identico principio di base.
    Ultima modifica di Gianluca : 15-03-2013 alle ore 17.00.03
    Gianluca

  19. #19
    pulidomus non è connesso Neofita
    Data registrazione
    03-02-2011
    Messaggi
    9

    Predefinito

    Ok grazie

Regole di scrittura

  • Non puoi creare nuove discussioni
  • Non puoi rispondere ai messaggi
  • Non puoi inserire allegati.
  • Non puoi modificare i tuoi messaggi
  •