Non riesco ad eliminare virus dal sito web!

[paolo.lun]

Buonasera,

circa 10 giorni fa la pagina index.php (la principale di accesso) è stata infettata da un Trojan. Veniva negata la visualizzazione dall'antivirus (nel mio caso Kaspersky).

Ho allora eliminato e ricaricato la pagina in questione, poi ho scaricato tramite Filezilla tutti i file contenenti nel file manager del sito e li ho tutti scansionati, eliminando quelli infetti. Ma la "calma" dura poco. Infatti dopo 12-24 ore la index.php (per ora solo quella) viene regolarmente rinfettata dal virus. La elimino, la ricarico ovviamente sana e scansiono tutti il sito: nessun file infetto tra i 1300 totali.

L'antivirus, quando rileva l'infezione nella suddetta pagina, mi segnala questi virus:
- rilevato Trojan program Trojan-Downloader.JS.Agent.blv.
- rilevato Trojan program Trojan-Downloader.HTML.Agent.ij.
- rilevato Trojan program Trojan-Clicker.HTML.IFrame.ee.

Spero che qualcuno mi possa gentilmente indicarmi delle strade per procedere alla risoluzione, definitiva, del problema. Grazie anticipatamente!

[windino]

Passavo di qua e vedere a zero risposte i messaggi mi dispiace, allora leggo e se mi viene in mente qualcosa metto becco
L'unica che mi viene in mente è se hai un contatore free, molti di questi (a insaputa di chi lo installa) cercano di scaricare un dialer sulle linee isdn. Sarebbe utile vedere la pagina, in formato testo. Ho letto recentemente che moltissimi siti italiani a base PHP sono stati infettati ma ora non so dirti in che modo, se fai una ricerca trovi facilmente materiale.

[paolo.lun]

Grazie mille per l'interessamento!

Si, nella pagina è presente un contatore ma è StatCounter.com ed in effetti è un prodotto sicuro, professionale e molto diffuso, anche a livelli di siti importanti.

Poi lo stesso sito è stato caricato dallo stesso tempo su un altro dominio, ma in quello la pagina non ha subito nessuna infezione. Se la causa fosse davvero la presenza del contatore si sarebbe dovuta infettare anche nel secondo dominio, no?

[windino]

Si, ho messo il sito del contatore su SiteAdvisor (che comunque non è un indice sicuro) ma se fosse 'cattivo' avrebbe piu commenti negativi.
Non so che dirti a questo punto, l'unica che posso pensare è cercare da un altra direzione e cioè l'antivirus che usi : se segnala un falso positivo, se sono i cookie del contatore e cosi via. Mi invieresti la pagina via mail ? (zippala o togli l'estensione) sono curioso
Se non risponderò al post vorrà dire che non ho altre indicazioni

[paolo.lun]

Escluderei un falso positivo dell'antivirus poichè il virus è stato segnalato da centinaia di utenze.

Attualmente la pagina è stata ricarica ed è sana, perciò è inutile inviarla.

[Habanero]

Le possibilità sono due:

1) il tuo sito possiede una vulnerabilità che permette ad un bot l'iniezione di codice

2) qualcuno è venuto in possesso delle credenziali di accesso FTP del tuo sito. Nel recente passato giravano parecchi malware che sniffavano username e password durante l'accesso e le tramettevano via internet a chi di dovere.

I consigli quindi sono

1) verifica che i pc dai quali effettui il collegamente via FTP non siano infetti

2) cambia la password di accesso

3) verifica che non sia il sito ad essere vulnerabile (se vuoi mandarmi via pvt l'inidirizzo provo a darci uan occhiata)

[paolo.lun]

Originariamente inviato da Habanero

3) verifica che non sia il sito ad essere vulnerabile (se vuoi mandarmi via pvt l'inidirizzo provo a darci uan occhiata)

L'indirizzo è il seguente: www.meteoapuane.it

Attualmente la pagina è sana...ma in genere dopo 12, 24 o al massimo 48 ore dal caricamento viene nuovamente infettata.

[paolo.lun]

Originariamente inviato da Habanero
I consigli quindi sono

1) verifica che i pc dai quali effettui il collegamente via FTP non siano infetti

2) cambia la password di accesso

3) verifica che non sia il sito ad essere vulnerabile (se vuoi mandarmi via pvt l'inidirizzo provo a darci uan occhiata)

Ho messo in pratica tutti i 3 consigli. Guardiamo ora come va...

[paolo.lun]

Niente da fare, nonostante ho sostituito le password di accesso, dopo circa 24 ore la index.php si è nuovamente infettata (da Trojan-Downloader.HTML.Agent.ij).

Non so davvero più cosa fare!!!

[Habanero]

Ad una prima analisi nel sito non ho trovato vulnerabilità evidenti. L'unico appunto che può essere fatto è che sul server è installata una versione non aggiornata di PHP che posside diverse vulnerabilità. Il fatto che queste possano essere usate proficuamente nei confronti del tuo sito è però tutto da dimostrare.

Se fossi in te contatterei il tuo hoster e gli chiederei aiuto per cercare di capire a che livello avviene l'intrusione.


Curiosità... sotto che forma il trojan si inietta nelle pagine? un iframe? un javascript?