- Home
- Categorie
- Gli Off Topic
- Tutti i Software
- [Risolto] Malware rilevato su siti.
-
Ciao Wolf,
ho pubblicato circa un paio di mesi fa per aggiungere un link sulla home.Le pagine hanno uno script per lo zoom delle immagini, che richiama dei file js esterni.
Il cliente, che è un'agenzia immobiliare, pubblica sul sito spesso gli immobili o modifiche degli stessi, con un nostro software.
Ho notato che le pagine .asp che non contengono lo script e non vengono aggiornate dal cliente, non hanno il codice "estraneo".
Immagino che ci sia un motivo.... sai illuminarmi??:(
-
Ciao tonel77,
@tonel77 said:
.....Le pagine hanno uno script per lo zoom delle immagini, che richiama dei file js esterni.
elimina "momentaneamente" lo script e vediamo che succede!!!
-
Per il momento ho modificato la password ftp, ripubblicato i file del sito_e poi ho controllato se c'era di nuovo il codice, per fortuna non c'è.
Poi ho tolto la password dal programma di pubblicazione.
Pensi che possa funzionare?
Ah, in alcune pagine "infettate" lo script per lo zoom non c'è.....
-
Ciao tonel77/akane_p,
@tonel77 said:
Per il momento ho modificato la password ftp, ripubblicato i file del sito_e poi ho controllato se c'era di nuovo il codice, per fortuna non c'è.
....novità???
-
Ciao Wolf,
per il momento sembra tutto a posto
e non abbiamo rilevato il problema su altri siti.Speriamo in bene....
Ciao e grazie per l'interessamento!
-
-
Come non detto... ecco ancora il problema...
Adesso il sito infetto è questo: immobiliare-arcobaleno.it/affitto_toscana/ita/index.aspxE questo è il messaggio che mi da l'explorer quando apro le pagine infette:
** **Informazioni su Trojan Horse
Rilevato: Obfuscated Script.f (Trojan Horse)
Percorso: C:\Documents and Settings\Patrizia Lorenzini\Impostazioni locali\Dati applicazioni\Google\Chrome\User Data\Default\Cache\f_000127
I Trojan hanno l'aspetto di programmi legittimi, ma possono consentire l'accesso non autorizzato al computer, provocarne malfunzionamenti e danneggiare file importanti.Adesso do un'occhiata alle varie pagine per vedere di cosa puo' trattarsi e vi aggiorno.
E' una tragedia.
-
Ho notato che in rete ci sono delle info in più adesso, per il momento mi sono installata un software Anti-Rootkit e sto facendo la scansione della macchina.
Spero possa servirmi a qualcosa.
Qualche info su Gumblar si puo' trovare anche a questo indirizzo >> martinsecurity.net/2009/05/20/inside-the-massive-gumblar-attacka-dentro-del-enorme-ataque-gumblar/
-
Rieccomi... questa cosa mi sta facendo impazzire!
Adesso il problema è su questo sito: immobiliare-arcobaleno.it/affitto_toscana/ita/index.aspxHo notato che sono le pagine aspx a darmi problemi.. puo' essere solo un caso?
Credo che diventerò pazza!
-
Ritengo che la via della reinstallazione e il successivo aggiornamento all'ultima release di windows e dei programmi adobe sia necessario.
In ogni caso, ti conviene fare come spiega Wolf Otakar negli altri thread di sezione, ovvero far girare Hijaackthis sul tuo computer (per iniziare), poi carica il log su freefilehosting.net e posta qui il link non attivo (senza www).Vedrai che ti darà una mano a debellare il problema alla radice.
-
Grazie 1000, adesso provo a seguire tutte le indicazioni.. speriamo di risolvere.
Mi stavo chiedendo una cosa, i proprietari dei siti segnalati sono in possesso di un ns. software con il quale effettuano gli aggiornamenti.
Si tratta di un programma installato in locale che permette di pubblicare dati sul sito attraverso le credenziali ftp.
Secondo voi è possibile che siano direttamente i clienti ad infettare i loro siti? Magari navigando sono stati infettati da questo virus...Grazie ancora.
-
Ho appena caricato il log a questo indirizzo >> filefactory.com/file/ag55a72/n/hijackthis_log
Grazie 1000
.
-
Non riesco ad aiutarti sul log, vedrai che Wolf appena potrà ti aiuta, però ho trovato un interessante tool di google che permette di consocere lo stato del "malware" su un qualunque sito senza neache navigarlo.
google.com/safebrowsing/diagnostic?site=QUESTOSITO.TLD
Basta metterci davanti www e scrivere correttamente il nome del dominio. Ho visto che i tuoi sono ancora infetti, quindi suppongo non abbiate trovato soluzione.
-
Ciao akane_p,
fixa con hijackthis:
O4 - HKCU..\Run: [ChristmasTree] C:\DOCUME~1\PATRIZ~1\IMPOST~1\Temp\Directory temporanea 1 per christmas.zip\Christmas.exe
Dai una ripulita con ccleaner, scansiona con malwarebytes "aggiornato", allega il log di scansione su filefactory.com e riporta l'url sul forum.
Novità dai siti???
-
Nell'ultima settimana i siti non hanno dato più problemi, uno dei domini infetti collegato a questi siti sembra sia stato chiuso... comunque sto continuando a verificare.
Adesso do una ripulita e ripubblico il file.
Grazie 1000.
-
Confermo che improvvisamente (per fortuna) il problema non si è più presentato.
Grazie 1000 a tutti per l'aiuto!
-
