JS:redirector-h7 [era: redirecotr-h7]

[lorenzo60]

Ciao ragazzi,
qualcuno sa dirmi qualcosa a proposito del trojan FS:Redirector-H7? Viene rilevato solo da alcuni antivirus tipo Avast o NOD32. In particolare sapete come si può eliminare?

Grazie mille e un buon lavoro a tutti

[amvinfe]

Ciao,
sicuro non sia invece JS:redirecotr-h7 ho corretto io il titolo

si tratta di uno Java Script presente all'interno di pagine web create appositamente.

La macchina viene reindirizzata verso un sito dove è presente un exploit (PDF o Shockwave)o un malware (backdoor).

Verifica se puoi accedere al registro di sistema (Start>Esegui scivi "regedit" senza apici dai l'OK)
Verifica se vieni dirottato verso altri siti quando nella barra degli indirizzi sono presenti una delle seguenti parole:
msn
live
google
yahoo

aggiorna tutti i programmi alle ultime versioni, esegui una scansione con l'antivirus dalla modalità provvisoria.


edit:
dimenticavo, il malware ha la capacità di memorizzare user e pass se si usa un programma FTP

[lorenzo60]

Ciao,
grazie per le indicazioni che mi hai dato.
Volevo dirti che non ho problemi quando visito i siti che mi hai elencato, ma solo quando vado sul mio sito "www.mcainformatica.it". Le pagine di questo sito le ho scritte in php ma la segnalazione me la da sul nome pagina[1].htm e non .php. Ho ricopiato le pagine dal sito sul mio pc ed ho eseguito una scansione sulle stesse, però non si riesce ad eliminare il problema. Mi puoi dare dei consigli per pulire questo codice infettato?

Ti ringrazio ancora ....

Ciao e buon lavoro

[amvinfe]

Ciao,
chiedo ad Habanero d'intervenire nella discussione visto che è sicuramente più esperto di me in materie come questa.

[Habanero]

In questo istante riesco a riprodurre il fenomeno...
Purtroppo al momento non ho molto tempo... (sto uscendo )

Domani ti prometto di analizzare la cosa più approfonditamente.

[Habanero]

Ho dato uno sguardo al sito e non ho trovato nulla di anormale.... Mi puoi dire su quale pagina esattamente viene riscontrato il problema?

[lorenzo60]

Hai ragione, ora non ci sono più problemi. Sono riuscito ad individuare il problema, mi sono scaricato le pagine del sito e le ho dovute modificare. Mi sono accorto che all'interno di esse erano state inserite delle righe di codice in javascript. Ho ripulito tutto e ora funziona bene senza problemi. Non so come sia potuto succedere, forse un attacco sul server che gestisce il sito ... boh!!!! Tu ne sai qualcosa? E' rimasta solo una segnalazione su google, infatti se cerco il mio sito attraverso loro nell'elenco che mi propone mi segnala "Questo sito potrebbe arrecare danni al tuo computer" ..... sai come eliminare questa segnalazione?

Vi ringrazio molto per la vostra collaborazione, in particolare amvinfe ed habanero e scusatemi se vi ho fatto perdere tempo.

Ciao e buon lavoro a tutti

[Habanero]

Le modalità di infezione possono essere varie... le più frequenti sono vulnerabilità del sito dovute a falle presente nel codice lato server (es php) oppure un furto di credenziali di acesso allo spazio ftp. Quest'ultima evenienza in genere si manifesta se si è effettuato l'upload via ftp da un pc infetto. Molti malware catturano al volo username e password e le comunicano al pirata di turno. Se fosse questo il caso, ti consiglio di scegliere un sistema sicuramente pulito e di effettuare un cambio password.

[lorenzo60]

A quali falle ti riferisci? Le pagine php come le html sono tutte presenti sul sito in formato testo ..... conosci un metodo di protezione per tale codice?

Ciao e grazie

[Habanero]

parlo di vulnerabilità nel codice php, errori commessi durante la programmazione in php da parte del programmatore... cose come Cross Site Scripting, SQL injection, path traversal, accesso al filesystem etc.... che permettono ad un utente di fare, tramite il semplice browser, cose che non dovrebbe mai essere in grado di fare.