+ Rispondi alla Discussione
Risultati da 1 a 12 di 12

Sito attaccato, che fare?!!

Ultimo Messaggio di legnaftw il:
  1. #1
    User
    Data Registrazione
    Nov 2009
    Messaggi
    236

    Sito attaccato, che fare?!!

    In alcune pagine strategiche (header, footer, ecc.) sono comparsi dal 2013-02-04 porzioni di codice iniettato contenente link di cui non ho alcuna notizia!
    Come faccio a trovarli sul server e cosa posso usare per premunirmi?? Me ne sono accorto per puro caso!

    Codice:
    <div id="urlss-20130204-216">
    <strong>
    <a href="h--p://w-w.pinkvictoriasecretsca.com/" title="victoria secret swimsuit">victoria secret swimsuit</a>
    <a href="h--p://w-w.iedressonline.com/" title="party dresses uk">party dresses uk</a>
    <a href="h--p://w-w.victoriasecretshoponline.com/" title="victoria secret">victoria secret</a>
    <a href="h--p://w-w.newpandoracharmsau.com/great-pandora-leather-bracelets-necklaces.html" title="pandora bracelet">pandora bracelet</a>
    <a href="h--p://w-w.abitopercerimonia.com/" title="abiti cerimonia">abiti cerimonia</a>
    <a href="h--p://w-w.charmanhangeronlineshop.com/popular-thomas-sabo-armbander.html" title="thomas sabo armband">thomas sabo armband</a>
    </strong></div>
    <script>document.getElementById("urlss-20130204-216").style.display="none"</script>

    P.s. ho modificato i link appositamente per poterli postare qui, sui file erano corretti.

    Tipo:
    Altri

  2. #2
    User
    Data Registrazione
    Nov 2009
    Messaggi
    236
    Dopo alcuni controlli ho trovato altri file infettati e soprattutto ho individuato un file in 3 locazioni con il nome "mdsya.asp" (più alcune varianti) con parecchio codice vbscript ed un'interfaccia HTML scritta in cinese. Come posso proteggermi?

  3. #3
    User
    Data Registrazione
    Feb 2013
    Località
    Catania
    Messaggi
    21
    Molto probabilmente hai una falla nel sito. Ci sarà qualche componente/codice vulnerabile. Analizza bene i log da lì potresti capire chi e cosa fà nel tuo sito. Una volta trovato il codice buggato deve essere corretto e dopo ripulire tutto il codice da script indesiderati.
    www.thehostweb.com

  4. #4
    User
    Data Registrazione
    Nov 2009
    Messaggi
    236
    A che log fai riferimento? Cosa devo cercare? SQL Injection? Upload di file anomali? Purtroppo il sito è enorme e so che ci sono quintali di script caserecci che sono pieni di falle, il primo è lo snitz forum che purtroppo non posso disinstallare...

  5. #5
    User
    Data Registrazione
    Feb 2013
    Località
    Catania
    Messaggi
    21
    Citazione Originariamente Scritto da ruttan Visualizza Messaggio
    ...
    Ovviamente mi riferisco ai log access.log e error.log. Ovviamente devi cercare tutto ciò che può essere anomalo per un normale accesso al sito. Purtroppo devi avere cura di capire il punto di accesso altrimenti anche se ripulirai i file tra qualche giorno il sito sarà infetto nuovamente.

    Saluti
    Ultima modifica di overclokk; 15-03-13 alle 18:26 Motivo: Rimosso quote inutile
    www.thehostweb.com

  6. #6
    User
    Data Registrazione
    Nov 2009
    Messaggi
    236
    Non sai se c'è qualche tool che mi può agevolare? Perchè si parla di milioni di visite

  7. #7
    User L'avatar di laboratorioseo
    Data Registrazione
    Jan 2013
    Località
    seocity
    Messaggi
    75
    Inizia facendo una scansione con h t t p ://sucuri.net/ ed elimina il codice dai file che ti riporta infetti. Per quanto riguarda lo snitz aggiornalo all'ultima versione disponibile.
    per il database fatti un backup e con un editor di testo che cerca nei files trova parte del codice del malware e rimuovila. Infine cambia le pass di accesso ftp e db. Ciao.

  8. #8
    User L'avatar di AAC_Network
    Data Registrazione
    Dec 2009
    Messaggi
    51
    Ciao ruttan!!

    Oltre alle idee già proposte ti segnalo alcuni step testati sul campo:

    1) In primis cambia rapidamente TUTTE le password: in maniera da darti uno spazio/tempo utile ad analisi e solzione dei problemi. Fai backup di tutti i dati che rischi di perdere.

    2) Scaricati Filezilla che ha una fuzione poco conosciuta (Menù Server -> Cerca i file remoti...) molto interessante di ricerca FTP simile a quella di Thunderbird con svariate possibilità di filtraggio risultati (falla partire al mattino e limitati nella mole di dati da analizzare perchè è stralenta!). Cerca i file modificati nella data (allargata) che hai individuato e/o stringhe di testo riconducibili all'infezione.

    3) Elimina/riristina i file infettati.

    4) Tieni sotto stretta sorveglianza il server per almeno 1 settimana.

    5) Nel frattempo analizza tutti gli script celebri che hai installato con predilezione per quelli che autorizzano: UPLOAD, QUERY SQL e CREANO FILE. Lo Snitz è il principale indiziato, gli script creati da te difficilmente sono oggetto di studio di un black hat SEO cinese (a meno che tu non sia zuckerberg sotto mentite spoglie).

    6) Se non riesci a risolvere il problema da solo chiedi aiuto a quelli del tuo server, la falla potrebbero anche averla loro. Se hai soldi di buttare e un business da mentenere rivolgiti invece a degli esperti di sicurezza che ti facciano un'analisi seria.

    GOOD LUCK!!
    http://www.AAC-Network.com | info[a]aac-network.com

  9. #9
    User
    Data Registrazione
    Nov 2009
    Messaggi
    236
    Grazie per le risposte, non conscevo questa funzione di VLC.
    Ultima modifica di overclokk; 15-03-13 alle 18:29 Motivo: Iniziare con la maiuscola e terminare con il punto

  10. #10
    User
    Data Registrazione
    Mar 2013
    Località
    Macerata
    Messaggi
    53
    Che CMS usi? Se Wordpress dai un occhio di rigaurdo alle plugins.

  11. #11
    User L'avatar di Ranma
    Data Registrazione
    Aug 2006
    Località
    Kepler 62f
    Messaggi
    610
    Aggiungi Ranma su Google+
    Ciao,

    che tipo di sito è? un CMS? Su che Hosting sei?

    Prima di tutto, dovresti avvisare il tuo Provider, che può effettuare delle verifiche ed aiutarti a capire, le cause delle modifiche ai tuoi file.
    Il blog italiano sull'Hosting | Web Hosting Magazine

  12. #12
    User
    Data Registrazione
    Mar 2013
    Località
    Macerata
    Messaggi
    53
    Questa è una tecnica utilizzata da alcuni webmasters... cosa fanno loro, se notano degli xploit nel tuo sito ne approfittano e piazzano dei backlinks nel tuo sito, anche se penso proprio l'amico in questione farà una finaccia, metterli nel footer non è una genialata.

+ Rispondi alla Discussione

^ Permessi di Scrittura

  • Tu non puoi inviare nuove discussioni
  • Tu non puoi inviare risposte
  • Tu non puoi inviare allegati
  • Tu non puoi modificare i tuoi messaggi
  •  
  • Il codice BB è Attivato
  • Le faccine sono Attivato
  • Il codice [IMG] è Attivato
  • Il codice [VIDEO] è Attivato
  • Il codice HTML è Disattivato
  • Trackbacks Attivato
  • Pingback Attivato
  • Refback Attivato

SEO by vBSEO 3.6.0 PL2 ©2011, Crawlability, Inc.