Trojan sul server

[pulidomus]

Buongiorno,

volevo segnalare la presenza di un trojan sul vostro server (78.129.205.91) la quale ospita il mio sito (www.pulidomus.it) ,tale trojan mi infetta tutte le pagine con codice malevolo rendendolo irraggiungibile(sito che uso per lavoro),il codice malevolo è un semplice iframe con un redirect

edit - non pubblicare sourcecode di malware qui - edit

Ovviamente eliminare il codice/i file a mano non serve a niente dato che il codice si autogenera ogni volta.


Vi chiedo quindi di rimuovere il trojan e tappare la falla con particolare urgenza(dato appunto che il sito lo uso per lavoro),se ciò dovesse richiedere tempo(non oltre mercoledì) vi chiedo di spostarmi il dominio su di un altro server pulito(nel caso vi autorizzo a non spostarmi anche il contenuto del sito dato che è già infettato,lo rifarò da capo,se invece riuscite anche a spostarmelo/ripulirmelo meglio così)

Attendo una vostra risposta.

Nardò Alan

[binarysun]

Difficilmente è un virus sul server (anche perché altrimenti tutti i siti su quel server sarebbero compromessi e non solo il tuo).
Più probabile che sia una vulnerabilità di un tuo script oppure un virus sul tuo computer.

[pulidomus]

Difficilmente è un virus sul server (anche perché altrimenti tutti i siti su quel server sarebbero compromessi e non solo il tuo).

e chi dice che non lo siano???molto probabilmente lo saranno anche gli altri

Più probabile che sia una vulnerabilità di un tuo script

avevo joomla,ho piallato tutto ed installato un altro cms(entrambi installati con le applicazioni disponibili su altervista),il problema rimane quindi ipotesi scartata

oppure un virus sul tuo computer.

no comment...in che modo un virus sul mio computer inietterebbe codice in remoto????

[pulidomus]

p.s. dato che non ho trovato sezioni apposite per questo tipo di problemi ho postato qua che mi sembrava si avvicinasse di più al problema mio,chiedo comunque se c'è qualche contatto email o prferibilmente telefonico per contattare chi di dovere.Grazie.

no comment...in che modo un virus sul mio computer inietterebbe codice in remoto????

magari usando le connessioni FTP salvate sul tuo pc e modificando le pagine remote, oppure leggendo le tue password e girandole a qualche altro utilizzatore, oppure ...

abbi un po' di umiltà ...

[alemoppo]

no comment...in che modo un virus sul mio computer inietterebbe codice in remoto????

Invece comment comment: se guardi anche nel forum ci sono moltissimi casi in cui ci sono questi codici immessi da virus nel PC dei gestori. Come fa? Beh, semplicemente possono sniffarti la password FTP e/o (è la stessa) del pannello di controllo (o come diceva binarysun sfruttare vulnerabilità del tuo script, anche se non sembra il tuo caso).

Ciao!

EDIT: anticipato...

[binarysun]

e chi dice che non lo siano???molto probabilmente lo saranno anche gli altri

Il forum sarebbe pieno di segnalazioni come la tua.
Ovviamente tutto è possibile (non conosco come vengano gestiti i server da altervista), ma è molto raro che possa accadere per vari motivi.

Riguardo al "come" ci sono vari modi e molti virus che lo fanno.

[Gianluca]

pulidomus:

oggigiorno ci sono numerosi virus che fanno esattamente quanto ti è stato descritto, quindi infettano il tuo pc o un pc che hai usato per accedere al tuo sito, recuperano le credenziali FTP e le usano in un secondo tempo per infettare il tuo sito, uno di questi è koobface, con tutte le sue varianti.

Qui alcune indicazioni: http://forum.it.altervista.org/893463-post2.html

Dai log FTP del tuo account è comunque molto evidente il problema, che peraltro interessa molte pagine del sito, non solo l'homepage.
Devi mettere in pratica quelle indicazioni, in particolare prima ripulire il tuo pc e poi cambiare le credenziali di accesso, fio a quel momento il problema si ripresenterà sicuramente.

[pulidomus]

Allora vi escludo un virus sul mio computer per diversi motivi(ma basta solo il 5):

1) per la storia dell'ftp,prima con joomla l'ftp era disabilitato,ed in ogni caso non mi son mai collegato via ftp

2) non ho password salvate sul mio pc e non memorizzo mai le password(in ogni caso la pass è univoca per questo sito)

3)ho piallato e reinstallato il cms l'8 marzo,dopodichè non ci sono più andato perchè non avevo tempo e so per certo che il sito funzionava correttamente anche il giorno dopo,da ieri sono stato avvisato da clienti che il problema è tornato

4) in ogni caso il sito era stato fatto ed era funzionante 2 anni fa,dopodichè non era più stato toccato ne era stato fatto l'accesso tramite il pannello di controllo e l'altra settimana che ho rivisitato il sito ho scoperto il problema(questo per escludere sniffing di qualunque password)

5) quando si tenta di accedere al sito indifferentemente da che computer,il browser avvisa della presenza di un trojan sul server!!!!

Allora non userò mai prodotti informatici che facciano capo alla ditte summenzionata.
Ad un virus non occorre trovare la password salvata, gli basta sniffarla mentre la digiti.

Quando si parla di FTP, non ci si riferisce all'opz di Joomla, ma del PROTOCOLLO di trasferimento che usi ti dal tuo PC.

Non basta eliminare il CMS, devi controllare APPROFONDITAMENTE il TUO Computer e TUTTI quelli da cui ti colleghi/ti sei collegato al tuo sito.

Il trojan c'è. Ma è SUL TUO PC!

[pulidomus]

Allora:

1) come ho detto nel punto 4,il sito con joomla era stato fatto più di due anni fa da un pc che non esiste neanche più, ed aveva funzionato anche nei mesi successivi,l'accesso da quella volta non è più stato fatto.2 settimane fa un cliente mi avverte che il browser gli segnala il sito malevolo.Ora mi sembra molto difficile che a distanza di due anni mi utilizzino la password sniffata per accedere al mio account(e ripeto che non salvo password sul pc e la password in ogni caso è univoca)

2) ho ripulito una prima volta il sito dal Mac di casa mia,ed il problema è ritornato.ho spiattellato tutto e reinstallato da capo dal pc aziendale,problema è tornato ancora,tutti con lo stesso virus?

Se non cambi le credenziali di accesso il problema si ripresenterà in eterno.
Due anni senza aggiornare Joomla? E ti chiedi da dove venga il malware?

[Gianluca]

pulidomus:

come ti ho scritto sopra il problema è del tutto comune, ha dei sintomi chiari e delle evidenze nei tuoi log FTP, dove si vedono dei pattern di infezione noti e riconosciuti, la soluzione sta nella discussione che ti ho linkato.

Chiaramente essendo quel codice nelle tue pagine ogni pc le vedrà infette sia esso pulito o meno.

[pulidomus]

Se non cambi le credenziali di accesso il problema si ripresenterà in eterno.

1) ho cambiato adesso le credenziali ed ho ripulito il sito,il tutto da un 4° pc differente dagli altri,staremo a vedere...

Due anni senza aggiornare Joomla? E ti chiedi da dove venga il malware?

difatti sul primo momento mi son detto "vabbè non aggiorno joomla da 2 anni,è normale",ma se dopo aver disinstallato joomla ed aver reinstallato un altro CMS il problema si ripresenta e sempre lo stesso,ne converrai che allora non era quello il problema?

p.s. avendo un cms bacato di certo non puoi immettere un trojan sul server,a meno che non sia anche quest'ultimo con una falla

[Gianluca]

pulidomus:

ripulire il sito e cambiare le credenziali non è sufficiente se non ti accerti che ogni pc che viene usato per amministrarlo sia pulito.

Secondariamente l'avere joomla non aggiornato da due anni è molto rischioso, ma non è alla base di questo problema specifico, come ti ho scritto sopra.

[pulidomus]

pulidomus:

come ti ho scritto sopra il problema è del tutto comune, ha dei sintomi chiari e delle evidenze nei tuoi log FTP, dove si vedono dei pattern di infezione noti e riconosciuti, la soluzione sta nella discussione che ti ho linkato.

Chiaramente essendo quel codice nelle tue pagine ogni pc le vedrà infette sia esso pulito o meno.

Grazie per la risposta,ho letto ma ripeto non credo proprio sia la mia situazione altrimenti non si spiegherebbero i punti da me sopra descritti,quella è una soluzione troppo generale che potrebbe coinvolgere qualunque caso

In ogni caso ho seguito la procedura,cambiato password e ripulito il sito,staremo e vedere,spero di sbagliarmi ovviamente.

[pulidomus]

pulidomus:

ripulire il sito e cambiare le credenziali non è sufficiente se non ti accerti che ogni pc che viene usato per amministrarlo sia pulito.

Ok,ma pc differenti con OS differenti con lo stesso problema?mi sembra strano...

pulidomus:
Secondariamente l'avere joomla non aggiornato da due anni è molto rischioso, ma non è alla base di questo problema specifico, come ti ho scritto sopra.

assolutamente d'accordo,ma come dici tu non è la causa di questo problema

[Gianluca]

pulidomus:

basta che uno solo di quei pc fosse infetto nel periodo di validità della password, che presumo sia due anni, non necessariamente tutti. Leggiti questo: http://blog.unmaskparasites.com/2010...b-of-koobface/ , con particolare riferimento alla sezione "to webmasters", chiaramente da quando quell'articolo è stato pubblicato sono nate numerose varianti a koobface con manifestazioni leggermente diverse ma identico principio di base.

[pulidomus]

Ok grazie