Sito con malware

[ricman]

Ho un sito fatto "a mano" con pagine in php/html/jquery.

Apro un browser e digito l'url ... questo è il risultato:


Google strumenti per webmaster mi dice:


Tra l'altro non è la prima volta che mi succede ...e posso garantire che il mio codice è pulito (a meno che non sia infetto il jquery originale che ho scaricato ... ma sarebbe un problema a livello mondiale!!).
Ho anche cambiato la password al mio ftp...

Come ovviare a questo inconveniente?

[Habanero]

Riesci a postare il nome del sito senza renderlo clickabile?

[ricman]

www. _ t r e e h e l p _ .it

[Habanero]

E' una infezione da RunForestRun.

sono infetti i seguenti file:


/include/jquery.js
/include/fancybox/jquery.fancybox-1.3.4.js
/include/easyslider/js/easyslider.js


la parte iniettata è a fine file ed è compresa tra i commenti


/*km0ae9gr6m*/
...
/*qhk6sa6g1c*/


Ovviamente devi rimuovere tutto ciò che sta tra i commenti (Commenti inclusi) oppure ricaricare i file originali.


Per caso il sito in questione usa Plesk come pannello di controllo?

[ricman]

Originariamente inviato da Habanero
E' una infezione da RunForestRun.

sono infetti i seguenti file:


/include/jquery.js
/include/fancybox/jquery.fancybox-1.3.4.js
/include/easyslider/js/easyslider.js


la parte iniettata è a fine file ed è compresa tra i commenti


/*km0ae9gr6m*/
...
/*qhk6sa6g1c*/


Ovviamente devi rimuovere tutto ciò che sta tra i commenti (Commenti inclusi) oppure ricaricare i file originali.


Per caso il sito in questione usa Plesk come pannello di controllo?

Scusa, come hai fatto a vedere quale infezione c'è? Dovesse ricapitarmi almeno so cosa cercare...
Ad esempio ora ho ricaricato tutto il sito pulito ma vorrei verificare meglio...

Si, usa Plesk come pannello di ctrl.

E mi era pure arrivata una email da parte del provider in cui dicevano che c'erano state delle falle nella vecchia versione di plesk e che avevano provveduto ad aggiornare.
Ma quando mi è arrivata il sito funzionava e ho pensato di essere a posto.
Poi, trovato l'avviso di malware, avevo ricaricato tutto il sito e per un po' (qualche giorno) è andato tutto bene. Poi ieri sera mi accorgo di ri-essere caduto nello stesso problema.

Adesso ho anche cambiato la password di Plesk e di Ftp con caratteri meno rintracciabili...

Che altro dovrei fare?

E con google come la mettiamo? Anche nelle ricerche delle SERP mi ha già messo la frase "questo sito potrebbe arrecare danni al tuo computer" :(

[Habanero]

Per trovare l'infezione ho caricato il sito da una macchina virtuale dotata di antivirus. L'antivirus mi ha bloccato le pagine infette e dai log le ho potute individuare. Trovare il codice infetto all'interno dei file JS è abbastanza facile, in genere è sempre accompagnato da una certa quantità di dati offuscati. In particolare questo tipo di infezione (ultimamente è molto diffusa) è contraddistinta dai commenti che ti ho indicato all'inizio e alla fine del codice. Facendo una ricerca su Google con quella stringa si trova il tipo e l'origine dell'infezione (ma non è sempre così facile, spesso non si trova nulla di utile)

L'infezione è da ricondurre ad alcune versioni fallate di Plesk.
Assicurati di aver ripulito tutti i file e di aver reimpostato tutte le credenziali di accesso.

Per quanto riguarda google, dopo aver ripulito le pagine, richiedi che il tuo sito sia riesaminato. Lo puoi fare attraverso gli Strumenti per il Webmaster. Se Google non trova nulla, in poco tempo dovrebbe tornare tutto alla normalità.