• User Attivo

    Sito attaccato, che fare?!!

    In alcune pagine strategiche (header, footer, ecc.) sono comparsi dal 2013-02-04 porzioni di codice iniettato contenente link di cui non ho alcuna notizia!
    Come faccio a trovarli sul server e cosa posso usare per premunirmi?? Me ne sono accorto per puro caso! 😞

    
    
    <div id="urlss-20130204-216">
    <strong>
    <a href="h--p://w-w.pinkvictoriasecretsca.com/" title="victoria secret swimsuit">victoria secret swimsuit</a>
    <a href="h--p://w-w.iedressonline.com/" title="party dresses uk">party dresses uk</a>
    <a href="h--p://w-w.victoriasecretshoponline.com/" title="victoria secret">victoria secret</a>
    <a href="h--p://w-w.newpandoracharmsau.com/great-pandora-leather-bracelets-necklaces.html" title="pandora bracelet">pandora bracelet</a>
    <a href="h--p://w-w.abitopercerimonia.com/" title="abiti cerimonia">abiti cerimonia</a>
    <a href="h--p://w-w.charmanhangeronlineshop.com/popular-thomas-sabo-armbander.html" title="thomas sabo armband">thomas sabo armband</a>
    </strong></div>
    <script>document.getElementById("urlss-20130204-216").style.display="none"</script>
    
    
    

    P.s. ho modificato i link appositamente per poterli postare qui, sui file erano corretti.

    Tipo:
    Altri


  • User Attivo

    Dopo alcuni controlli ho trovato altri file infettati e soprattutto ho individuato un file in 3 locazioni con il nome "mdsya.asp" (più alcune varianti) con parecchio codice vbscript ed un'interfaccia HTML scritta in cinese. Come posso proteggermi?


  • User

    Molto probabilmente hai una falla nel sito. Ci sarà qualche componente/codice vulnerabile. Analizza bene i log da lì potresti capire chi e cosa fà nel tuo sito. Una volta trovato il codice buggato deve essere corretto e dopo ripulire tutto il codice da script indesiderati.


  • User Attivo

    A che log fai riferimento? Cosa devo cercare? SQL Injection? Upload di file anomali? Purtroppo il sito è enorme e so che ci sono quintali di script caserecci che sono pieni di falle, il primo è lo snitz forum che purtroppo non posso disinstallare...


  • User

    @ruttan said:

    ...

    Ovviamente mi riferisco ai log access.log e error.log. Ovviamente devi cercare tutto ciò che può essere anomalo per un normale accesso al sito. Purtroppo devi avere cura di capire il punto di accesso altrimenti anche se ripulirai i file tra qualche giorno il sito sarà infetto nuovamente.

    Saluti


  • User Attivo

    Non sai se c'è qualche tool che mi può agevolare? Perchè si parla di milioni di visite 😞


  • User

    Inizia facendo una scansione con h t t p ://sucuri.net/ ed elimina il codice dai file che ti riporta infetti. Per quanto riguarda lo snitz aggiornalo all'ultima versione disponibile.
    per il database fatti un backup e con un editor di testo che cerca nei files trova parte del codice del malware e rimuovila. Infine cambia le pass di accesso ftp e db. Ciao.


  • User

    Ciao ruttan!!

    Oltre alle idee già proposte ti segnalo alcuni step testati sul campo:

    1. In primis cambia rapidamente TUTTE le password: in maniera da darti uno spazio/tempo utile ad analisi e solzione dei problemi. Fai backup di tutti i dati che rischi di perdere.

    2. Scaricati Filezilla che ha una fuzione poco conosciuta (Menù Server -> Cerca i file remoti...) molto interessante di ricerca FTP simile a quella di Thunderbird con svariate possibilità di filtraggio risultati (falla partire al mattino e limitati nella mole di dati da analizzare perchè è stralenta!). Cerca i file modificati nella data (allargata) che hai individuato e/o stringhe di testo riconducibili all'infezione.

    3. Elimina/riristina i file infettati.

    4. Tieni sotto stretta sorveglianza il server per almeno 1 settimana.

    5. Nel frattempo analizza tutti gli script celebri che hai installato con predilezione per quelli che autorizzano: UPLOAD, QUERY SQL e CREANO FILE. Lo Snitz è il principale indiziato, gli script creati da te difficilmente sono oggetto di studio di un black hat SEO cinese (a meno che tu non sia zuckerberg sotto mentite spoglie). 😉

    6. Se non riesci a risolvere il problema da solo chiedi aiuto a quelli del tuo server, la falla potrebbero anche averla loro. Se hai soldi di buttare e un business da mentenere rivolgiti invece a degli esperti di sicurezza che ti facciano un'analisi seria.

    GOOD LUCK!!


  • User Attivo

    Grazie per le risposte, non conscevo questa funzione di VLC.


  • User

    Che CMS usi? Se Wordpress dai un occhio di rigaurdo alle plugins.


  • User Attivo

    Ciao,

    che tipo di sito è? un CMS? Su che Hosting sei?

    Prima di tutto, dovresti avvisare il tuo Provider, che può effettuare delle verifiche ed aiutarti a capire, le cause delle modifiche ai tuoi file.


  • User

    Questa è una tecnica utilizzata da alcuni webmasters... cosa fanno loro, se notano degli xploit nel tuo sito ne approfittano e piazzano dei backlinks nel tuo sito, anche se penso proprio l'amico in questione farà una finaccia, metterli nel footer non è una genialata.