Attenzione: Strano codice presente nelle mie pagine!

[angolodicielo]

Altervista effettua un backup automatico del database, 1 volta settimana.

Guarda bene nel PdA di AV.



P.S.

A quanto pare, non ti serve nemmeno il ripristino del database.
Posta scansione, basta un corretto ripristino integrale ftp.

NOD32 non ha rilevato nulla durante la scansione, solamente quel trojan postato prima, messo in quarantena e mai più rivisto.. il pc è pulitissimo secondo NOD, avete qualche tool da consigliarmi?

P.S. io non faccio il backup dei dati dell'ftp... dite che devo iniziare di nuovo da capo?

ok giancula qualche domanda :)
quale sarebbe un buon antivirus a sto punto perche il consiglio e vago ?? io ho avira
credenziali di accesso al sito cosa intendi, l'account di accesso al sito o l' FTP ??
ora se il ripristino del database e inutile e non ho come recuperare i file infetti come procedo??
quali sono i file infetti ??
qual'e la stringa da eliminare ??
come dici te che e un worm preso da noi, come e possibile che questo worm improvvisamente abbia colpito tutti gli admin su altervista ?? visto che iniziamo ad essere parecchi con il problema :)

grazie anticipatamente

posso rispondere io a qualche tua domanda...

non tutti gli admin di AV hanno il nostro problema, e a quanto pare il problema è presente anche fuori altervista (ho trovato una lista di tutti i siti infetti)
per i file da ripulire, ci sto provando io a mano.. e ti dico che per ora, tutti quelli che sono nella root sono infetti.. nelle sottocartelle non ci ho ancora messo mano.

la stringa da eliminare è:
<!-- C/C v0384 --><script>....</script>

ma io mi ritrovo anche una cartella chiamata umil, non sono sicuro ma credo di non averla mai avuta, che a voi risulti ci deve essere ??

[darkwolf]

Io procederei con combofix + spybot ed eventualmente con gmer.
@geekmania: se scarichi il tutto puoi cercare la stringa con notepad++ e dovresti sbrigartela brevemente.
-
@kingbega: se ho ben capito non sei l'unico admin. Il problema potrebbe averlo uno degli altri.
Per credenziali di accesso, dato che questo worm lavora via ftp, direi che si stava riferendo a quelli dell'ftp.
I file infetti potrebbero essere gli index.php
Magari hanno deciso che doveva attivarsi giusto oggi e sembra che non sia operativo solo per i siti su altervista (google conferma che anche in Germania e in Russia stanno avendo lo stesso problema - probabilmente a breve si avranno notizie anche da altri hosting).

è proprio quello che sto facendo, modificando con notepad++, e confermo, almeno per wordpress, gli unici file infetti sono quelli presenti nella root del sito.

azz siamo combinati bene allora

io mi sto salvando tutto il contenuto FTP ora va bene ugualmente no ?? poi ovvio va ripulito file per file tutto l'infetto
ma una volta ripulito poi cosa devo fare ?? va svuotata la root cancellare tutto e ricaricare il sito salvato ??

l'unico mio problema e che ho dei file nella root che non li fa buttare .ftpquota - .htaccess - index.wml che poi sti file sinceramente non li ho mai visti

[Gianluca]

kingbega:

In parte mi hanno preceduto nelle risposte, aggiungo solo alcune cose.

credenziali di accesso al sito cosa intendi, l'account di accesso al sito o l' FTP ??

Dovresti per scrupolo cambiare i dati di accesso FTP (che poi sono quelli dell'account) ma anche le altre password che usi, anche per l'email e altri servizi, il worm raccoglie varie credenziali, è nel tuo interesse.
Devi contattare eventuali altri amministratori di quel sito, magari è uno di loro ad essere infetto, e, in tal caso, il problema si potrebbe ripetere.

ora se il ripristino del database e inutile e non ho come recuperare i file infetti come procedo??
quali sono i file infetti ??

Se vuoi essere tranquillo puoi scaricarti il contenuto del sito via FTP e fare una ricerca in tutti i files .php della stringa che ti ha postato geekmania. Notepad++ è ottimo e può aiutarti a farlo rapidamente anche su centinaia di files.
Poi una volta che hai ripulito quei files li ricarichi via FTP (solo quelli)

l'unico mio problema e che ho dei file nella root che non li fa buttare .ftpquota - .htaccess - index.wml che poi sti file sinceramente non li ho mai visti

Sono creati all'apertura di ogni nuovo sito, devi lasciarli

ok ora mi e tutto piu chiaro gianluca, l'unica risposta da darti e quella sull'ftp, non serve che gl'altri admin controllino, sono l'unico che ha l'accesso e per giunta con un account utilizzato solo per quello poi anche nel sito mi loggo con un altro account, riguardo le pass provvedero a cambiarle tutte io credevo attaccasse solo il sito

ragazzi scusate il doppio post ma non volevo rischiare di non essere letto su mi e stata indicata la stringa da cancellare, io ho aperto il primo file common.php e trovo dentro la stringa ma al suo intrerno c'e una marea di roba precisamente quale parte devo togliere ??

ecco la stringa
<!-- C/C v0384 --><script>***</script><?php

va cancellata tutta ??

[darkwolf]

Si, da <!-- C/C v0384 --><script> a </script>

devi togliere proprio tutto, e lasciare solo <?php che sta alla fine. Stai attento che la stringa si trova sempre all'inizio del file, ma molte volte si trova anche al centro in un tag <body></body> quindi fai attenzione. Se usi notepad++ con la funzione cerca e sostituisci te la cavi in 10 minuti ;) io ho già finito sto aspettando che finisce la scansione per uppare i file

si uso notepad ++ ma comunque devi aprire file per file no ??

poi quando lo trovo tra <body></body> va lasciato giusto il body ?? levo sempre e solo quella parte ??

no, c'è la funzione cerca, che include la ricerca in una determinata cartella... basta che selezioni la cartella del tuo sito, metti la stringa da eliminare e fai sostituisci e lui te la elimina.

Purtroppo non puoi eliminare la stringa completa perchè è troppo lunga, ma devi eliminarla un po' alla volta con questo metodo, ma comunque fai in fretta ;)

edit: si devi eliminare solo quella parte..

se si trova in mezzo ad una stringa cosi <!-- INCLUDE overall_footer.html --><html><body></body></html> va tolto solo il codice o anche quella stringa se resta vuota ??

bhe.. questa stringa è un po' strana...

<!-- INCLUDE overall_footer.html --><html><body></body></html>

la funzione include, non include un bel niente in quanto è un commento.. per il resto.. dato che rimane vuota puoi eliminare...


EDIT: PERFETTO FUNZIONA TUTTO :D

ok provvedo alla pulizia a me ne ha trovato 500 infetti, speriamo di non far danno :S

------------------------

niente ragazzi ho fatto tutto alla lettera come da voi indicato, mi sono scaricato il sito in locale, ho riparato tutte le tabelle, eliminato il codice del virus a 550 file, ho analizzato di nuovo il tutto con antivirus e risultava pulito, l'unica cosa non ho cancellato tutto in remoto ma sovrascritto fa differenza ??


puo essere questo la causa che e ancora presente il virus <script type="text/javascript"> me lo trova quando faccio la ricerca della stringa incriminata :(


QEUSTO E L'ESITO DELL'ANTIVIRUS

Codice:

La scansione è stata completamente eseguita.

  16107 Directory scansionate
 1911632 I file sono stati scansionati
      0 Rilevati virus e/o programmi indesiderati
      0 I file sono stati classificati come sospetti
      0 I file sono stati eliminati
      0 I virus o i programmi indesiderati sono stati riparati
      0 File spostati in quarantena
      0 File rinominati
      2 Impossibile scansionare i file
 1911580 File non infetti
  19293 Archivi scansionati
     57 Avvisi
      1 Note
  25467 Oggetti scansionati durante la scansione dei rootkit
      0 Sono stati rilevati oggetti nascosti

QUESTA E LA SCANZIONE DI MALWAREBYTE

Codice:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Versione database: 4647

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

09/10/2010 8.15.49
mbam-log-2010-10-09 (08-15-49).txt

Tipo di scansione: Scansione veloce
Elementi esaminati: 129028
Tempo trascorso: 8 minuti, 9 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 0

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
(Non sono stati rilevati elementi nocivi)

ed ho effettuato anche la scanzione con spybot e adware ha trovato cazzatine ma non quel virus, come si puo vedere non ho virus nel pc,la password ftp l'ho cambiata anche se solo quella per ora poi pensero al resto una volta risolto, ed essendo l'unico che ha i dati di accesso all'ftp gl'altri admin sono da escludere a questo punto.
quello che accade ora e che io ripulisco tutti i file uno per uno e la 5 volta che mi ripulisco 550 file li riesamino con l'antivirus e non rileva nessuna minaggia inquanto ripuliti, al momento che vado di nuovo a posizionarli in remoto, basta riscaricare i file che hai appena caricati e sono di nuovo tutti infetti cosa puo essere ??
puo darsi che oltre quella riga di comando ci sia un file o altro da cestinare ??

vi prego ragazzi aiutatemi sto da ieri pomeriggio alle 3 impazzendo si sono fate le 7 di mattina ed ancora devo toccare il letto, il forum non e accessibile all'utenza in questo momento, oltre ad essere dannoso per gli stessi che provano ad accedere al forum. :(

non so piu che pesci pigliare quancuno di buoncuore che mi aiuti a risolvere questa rogna

[Gianluca]

kingbega:

hai ripulito anche eventuali cache del forum?

si ripulito tutto anche svotata la cache ma sempre tramite ftp per il forum non mi e accessibile, io da quando mi hai lasciato tu ieri ancora devo toccare il letto gianluca sto impazzendo, avro ripetuto il procedimento mille volte, il problema secondo me e che va messa la board offline perche finche la gente prova ad aprirlo si riforma sempre la cache, ma io offiline non posso mandarlo, e cmq se la cosa vi puo consolare il virus non e trasmissibile, nessuno dei miei utenti l'ha preso nonostante ci accedono, ieri ci siamo riuniti tutti su msn e ne abbiamo parlato, chiunque ha fatto la scansione non ha trovato il virus, quindi non e pericoloso per chi accede, ma danneggia solo il sito.

ci sono 20 file che subito si ricreano anche se vuoti la cache, completamente vuota non e mai, quindi dov'e la soluzione ??

questa e la lista dei file cache che si riformano dopo neanche un secondo:
data_acl_options.php
data_bots.php
data_cfg_imageset_X-Static.php
data_cfg_template_X-Static.php
data_cfg_theme_X-Static.php
data_global.php
data_hooks.php
data_icons.php
data_ranks.php
data_role_cache.php
data_word_censors.php
sql_0b9e2aa70354120f12795ce68d0e84b2.php
sql_1244864a2a90c7b04a3c0d42f25b86df.php
sql_2f7a5a6a9309963139ad0a71b1a05458.php
sql_574194517deab81fefffa9ffca127b75.php
sql_5a052e1ab3862dde9478368e96dd3558.php
sql_87d2b2a2437edc4af1bbf179c6a453b6.php
sql_9dbb551aaba232c9ff80391ab5d1f299.php
sql_d3b28047a6a4f09be60e09506d430717.php
sql_ea3df175c3f80b6f879c38d3266c0a90.php

ma lo script del virus in questi file non lo trovo tramite notepad++

[angolodicielo]

kingbega, è da ieri che ti suggerisco di effettuare un ripristino integrale ftp...
Ti ho anche suggerito il link per agevolarti...


Integrale = tutti i file dai pacchetti originali... niente backup (salvo il contenuto di files e images, da recuperare con i parametri corretti, e da scansionare)

E ribadisco... dopo avere preparato il nuovo pacchetto corretto su PC, prima, cancelli tutto l'attuale contenuto ftp. Tutto.
Dopo, carichi il nuovo pacchetto, con i parametri corretti.
Niente sovrascritture.

ma i pacchetti originali come dici te da dove li prendo scusa ??
ho seguito il link che mi hai dato te ed ho fatto quella procedura, il problema resta i file originali dove sono ?? io non ho nulla.

l'unica cosa che ho fatto io ho salvato tramite ftp il sito da remoto a locale, tutto completo, scanzionato e ripulito tutto e poi riportato in remoto dove sbaglio ??

[angolodicielo]

I pacchetti originali, dovrebbero essere sul tuo PC (o su tuo CD-DVD masterizzato)...

In mancanza di questo...

Che versione di phpBB3 hai? La 3.0.7-PL1? Ti scarichi da phpbb.it il pacchetto completo della 3.0.7-PL1.
Sentivo parlare (forse ho capito male), di Board3 Portal; ti scarichi il pacchetto completo del Board3 Portal versione xy
E via discorrendo per le altre MOD. Se ne hai.
Stile in uso: ti scarichi lo stile aggiornato alla relativa versione di phpbb3.

Raccolto il materiale, lo sistemi, (recuperando i file citati in precedenza),
riapplichi correttamente le modifiche richieste dalle MOD, ed editi il config.php


Quando il nuovo pacchetto è pronto sul tuo PC, cancelli il vecchio, e carichi il nuovo.
Con i parametri corretti.

ollora sono in merda totale perche io queste cose non le so fare, non ho tanta esperienza da riapplicare mod e cose varie a me e stato fatto tempo fa da un utente qui su altervista tutto sti lavori proprio perche sono incapace, non conosco il linguaggio, in piu i file guida che sono nelle installazioni non so perche il pc non me li ha mai visaulizzati corretamente, non vedo la pagina come tutti ma i codici sorgente, quindi mi e impossibile anche seguire le guide, anche qui non so come risolvere sto problema, non applico altre mod al sito proprio per il problema letture guide.

riguardo al php non ho la piu pallida idea che verssione sia, so solo che e php3 ed ho un portale installato e la tagboard

a questo punto senza un aiuto vero e proprio posso anche farlo cancellare il forum non riusciro mai a ripristinarlo e tantomeno a crearne uno nuovo

[angolodicielo]

Il php è una cosa, il phpbb è un'altra.

In tal caso, posta l'esistenza di un backup ftp integro (senza virus o codici che richiamano virus), fatto con i settaggi corretti (in binario e senza interpretazioni ASCII), dovresti (a tuo rischio e pericolo), cancellare l'attuale contenuto ftp, e caricare questo backup (sempre con i medesimi parametri).

Se il backup era pulito, ed eseguito correttamente, dovresti risolvere.

Il ricorso ai file originali, era per avere la garanzia della pulizia e dell'integrità dei file.
Garanzia che sul tuo backup non c'è.
Peraltro mi pare di capire che ne hai solo uno...


Non lo dico per male, ma per il futuro e per gli altri.
In queste condizioni (ma non solo), avresti dovuto fare più backup, e sfruttare il backup completo offerto da AV (ftp+database).

Il php è una cosa, il phpbb è un'altra.

In tal caso, posta l'esistenza di un backup ftp integro (senza virus o codici che richiamano virus), fatto con i settaggi corretti (in binario e senza interpretazioni ASCII), dovresti (a tuo rischio e pericolo), cancellare l'attuale contenuto ftp, e caricare questo backup (sempre con i medesimi parametri).

Se il backup era pulito, ed eseguito correttamente, dovresti risolvere.

Il ricorso ai file originali, era per avere la garanzia della pulizia e dell'integrità dei file.
Garanzia che sul tuo backup non c'è.
Peraltro mi pare di capire che ne hai solo uno...


Non lo dico per male, ma per il futuro e per gli altri.
In queste condizioni (ma non solo), avresti dovuto fare più backup, e sfruttare il backup completo offerto da AV (ftp+database).

angelo lo so che sono logorroico ma se con me parli come parlassi a uno che sa cosa dici, non riusciro mai a comprenderti :)
di che backup parli ??
io non ho un backup ho solo salvato tutto il contenuto del forum tramite ftp, ma non vecchio salvato ieri dopo il problema non ho altro a disposizione in piu il contenuto salvato su pc tramite ftp c'e sempre un file che non salva in locale e non saprei proprio come recuperarlo e questo file si chiama .ftpquota ed e nella root principale

[angolodicielo]

Il backup ftp, non è altro che il contenuto ftp.

Dell' .ftpquota, non te ne importa nulla.

Quello che è rilevante, è sapere con quali parametri è stato fatto questo backup ftp.

E non sapere con quali parametri, equivale a parametri scorretti.

Se anche questo tuo backup ftp fosse pulito (niente virus), se fatto con i parametri scorretti, ti ritroveresti con il forum inagibile per altre questioni (es. pagine bianche).

Queste sono le strade...

1 - O provi a ripulire i file manualmente (come in qualche modo suggerito da altri)
2 - O provi questo tuo "backup" (con mille incognite)
3 - O non sapendo nemmeno quale versione di phpbb3 usi, contatti chi ti ha fatto tutto, nella speranza che sappia di quali versioni si tratta.

Con tutta la buona volontà, se non si sa nemmeno di quali versioni esatte si parla (phpbb3 e MOD) io non ti posso aiutare. E non credo ti possa aiutare qualcun altro in queste condizioni.

Esiste la quarta opzione.
Come ultima spiaggia.

Cancellare tutto e ricominciare.
Però facendo tesoro dell'esperienza.
Segnare per bene tutte le versioni e tutte le MOD con relative versioni.
Backup completi, corretti e sistematici.
Integrare con i backup di AV.
Prendere tu in mano la situazione.

allora il sito scaricato in ftp e in binario quello ne sono sicuro al 100% riguardo al phpbb3 in uso se mi dici dove si puo guardare ti faccio sapere anche quello, riguardo contattare la persona e una cosa praticamente infatibile, perche fu un utente stesso su altervista che mi preparo tutto solo perche il forum si occupava di una cosa a lui gradevole, non ho la piu pallida idea come risalire a lui, le mod non ho molto solo il portal e la tagboard e poi il resize per le immagini, non ho mai messo altro per il problema spiegato su i file xml non me li visualizza il pc non me lo apre come una pagina web ma vedo tutti codici e quindi diciamo che mi rassegnai e mi bastava com'era il forum e non ho mai aggiunto altro, anche le mod mi sa che a qualche parte le ho salvate almeno il portale sono sicuro al 100% le altre due non saprei

le mod le ho sono :
AJAX_TAG_BOARD_4_PHPBB3_v3.0.5.0822
board3_Portal_104
guest_hide_bbcode_mod
lightbox2.04
2008_06_highslide-integration_v1_4

vabbe poi ho una marea di bbcode ma mi sa che quelli non centrano nulla o perdo anche quelli ??

[angolodicielo]

Se riesci a ricostruire un corretto contenuto ftp, non perdi i bbcode.

Il problema è che queste MOD sono vecchie...

Non sarà facile trovarle.

A occhio, dovresti avere una 3.0.5 (se non una 3.0.4... e questo spiega anche il forum saltato)...

Se riesci ad accedere in qualche modo al PCA, dalla voce Sistema, dovresti ricavare la versione di phpbb3....
Ma tu dici che non sei in grado di effettuare un ripristino integrale ftp...

Non ti rimane che provare con questo backup ftp...

no le mod le ho tutte salvate quindi sono reperibili, riguardo al pca e praticamente impossibile perche il forum non fa loggare nessuno me compreso, il ripristino integrale non so manco come farlo, se ne sarei capace non stavamo ancora qui a discuterne e anche ora che ho riscaricato tutto il forum tramite ftp non c'e un solo file infetto dalla stringa O_O com'e possibile che non funzioni mo mi sbatto con la testa nel muro.

se ti uppo la struttura me la dai un occhiata tu, a me notepad++ non trova nessuna stringa nell'ftp salvato in locale, eppure e il solito che c'e sul forum pari pari, non capisco come possa essere pulito, e se lo perche nel forum risulta sempre il virus ??


se hai voglia questo e il download dei file

Censurato: se fai scaricare i files del tuo forum puoi rivelare dati sensibili!

[angolodicielo]

Che io sappia, non c'è un altro sistema per identificare la versione...


Se hai utilizzato il backup e non hai risolto, le cause possibili sono 3:


- O il tuo PC è ancora infetto (non basta che lo dica 1 antivirus... dovresti integrare con una scansione online... ad es col Panda)
- Il backup, conteneva già file alterati
- Il backup è pulito, ma tu prima devi cancellare tutto il vecchio contenuto ftp, e dopo, caricare il backup.


E' stato detto, che il database non c'entra, quindi non ci possono essere altre spiegazioni.



Se non risolvi con il backup, se vuoi risolvere, ti devi dare da fare.
E' inutile dire: "non lo so fare". Devi imparare a farlo, e devi imparare a farlo bene, se vuoi provare a recuperare.

Puoi sempre provare in locale, in tutta sicurezza.

Così puoi sbagliare senza aggravare la situazione.



P.S.
Anzi, non puoi.. ti conviene...

Trasferisci il database in locale, e attua in locale un ripristino integrale ftp, supponendo 3.0.5.
Se l'esito è positivo, ti basterà trasferire questo contenuto ftp in remoto (con i parametri corretti),
editando opportunamente il config.php.