Ciao a tutti, chiedo agli amministratori di spostare il mio post qualora vi siano sezioni più adatte, io, sinceramente, non le ho trovate.

Ci troviamo a dover contrastare continue manomissioni di alcuni dei siti web contenuti nei nostri server.

Circa 4 mesi fa, sono stati defacciati vari siti e a tutte le pagine index.htm/php/asp e via dicendo è stato aggiunto un iframe malevolo che puntava a non so quale sito . Ci siamo resi conto dopo varie analisi che i siti in questione erano - e sono tuttora - posti in diversi server. Abbiamo effettuato una pulizia, abbiamo cambiato tutte le password di ftp e di amministrazione del server, ripulito il codice e fatta denuncia alla polizia postale. DAi log si era risaliti sino ad una adsl posta in lombardia che, tramite ftp, aveva manomesso i siti in questione. Ad ogni modo non abbiamo più avuto alcuna notizia dalla Poliza Postale.

Per qualche tempo la situazione è rimasta tranquilla. Negli ultimi due giorni però siamo stati colpiti da un nuovo attacco, ancora più fastidioso. Ad una decina di siti (non so dire con precisione se si tratta degli stessi compromessi durante l'attacco precedente, molti lo sono, questo è certo), in root, è stata creata una cartella denominata Downloads contenente vari file .zip che, a loro volta, contengono degli eseguibili (per curiosità, ho provato ad aprirne uno e viene installato una sorta di software di diagnostica di windows che blocca ogni utilizzo del pc sino a quando non acquisti la licenza o non lo rimuovi con software appositi).

Il problema non sono tanto i file quanto le centinaia di email che sono arrivate ad utenti sconosciuti, nel senso che non hanno alcun rapporto con la mia azienda o con quelle dei clienti a cui i siti appartengono che contengono un messagio del tipo:

"Gentile, xxxxx.
La risposta alla tua domanda riguardo al profilo sul sito 2011/25/11.
http : // w ww. sito . it / downloads/ Pricenew.zip
Ci auguriamo di poter collaborare in futuro".

In altri casi il messaggio riguarda una fantomatica fattura pagata due volte e via di questo passo.

Abbiamo nuovamente bonificato tutti i siti, cambiato password di ftp, modificato password di amministrazione del server. E, nei prossimi giorni, effettueremo una pulizia di tutti i computer aziendali, scansione antivirus e quant altro.

Anche questa volta sono stati attaccati siti su diversi server.
A questo punto l'unica certezza è che le password vengono in qualche modo intercettata da filezilla, che usiamo tutti quale client ftp. Su un pc abbiamo trovato un fantomatico trojan 'portmap.exe' ma non sono riuscito a trovare collegamenti tra questo e quello che ci è capitato.
Sto pensando di sostituire filezilla con un altro client, ma non mi sento ancora sicuro, nè mi è completamente chiaro come e perchè sia avvenuto questo attacco. Oggi, dopo la bonifica di ieri, nonostante tutti i cambi di password, alcuni siti contenevano nuovamente la cartella downloads, nonostante fosse stata cancellata il giorno prima...

Se qualcuno ha qualche consiglio al riguardo gliene sono molto grato!