un mio sito fa scaricare il trojan per cui è stata creata la patch wmf

[elgabs]

Ciao a tutti,
credo che il titolo sia un pò sibillino, quindi procedo a spiegarlo.

Ho scoperto oggi che nel back-end di un mio negozio online www.saieonline.com (costruito con oscommerce) appena si effettua l'accesso con password e user id, qualsiasi pagina si visiti inizia il download del file password[1].wmf con relativo avviso dell'antivirus.

Leggendo in giro ho scoperto che si tratta di una vulnerabilità di windows e che di recente è stata rlasciata una patch. L'ho immediatamente installata ma non succede nulla, nel senso che se vado sulle MIE pagine ricomincia il download del trojan. Come è possibile che un mio sito sia diventato un sito maledetto? E' un buco del server o un errore mio? e perché proprio in un'area del sito che dovrebbe essere protetta (il back-end) e non nel front-end che è (fortunatamente) accessibile a tutti senza problemi?

Grazie mille per la pazienza e per un eventuale indizio di soluzione

[thomas_anderson]

Dovresti verificare che il backend del tuo sito non sia visibile da Google. Anche a me è capitata la stessa cosa in un'area riservata a cui avevo (ehm... ) avuto accesso in maniera non ortodossa (non posso fare il nome del sito). La vulnerabilità si riferisce alla pagina, che probabilmente è stata infettata con uno script che permette il download del file. Controlla attentamente il codice della pagina. ciao

[elgabs]

intanto grazie mille dei suggerimenti!

mi (ti) chiedo però una cosa: come posso capire se google vede le mie pagine?

inoltre, c'è una qualche correlazione tra questo problema e il fatto che una determinata area del sito sia protetta? in tal caso, come posso proteggerla?

grazie di nuovo!

[thomas_anderson]

mandami un pvt con i dettagli del sito e il nome della pagina. Il tuo sito è sviluppato in php. ricontrolla il codice e aggiornati sui siti di riferimento per php e su http://secunia.com/ ci sono già in giro diversi script che permettono il download del wmf infetto.

[elgabs]

pvt inviato, capo!

[servizio.e-mail]

Originariamente inviato da thomas_anderson
mandami un pvt con i dettagli del sito e il nome della pagina. Il tuo sito è sviluppato in php. ricontrolla il codice e aggiornati sui siti di riferimento per php e su http://secunia.com/ ci sono già in giro diversi script che permettono il download del wmf infetto.

è possibile che accada una cosa simile per un codice di un contatore o di un sito inserito nelle pagine (a me era capitato con un contatore che scaricava un dialer)?

Grazie

[Habanero]

Originariamente inviato da servizio.e-mail
è possibile che accada una cosa simile per un codice di un contatore o di un sito inserito nelle pagine (a me era capitato con un contatore che scaricava un dialer)?

Grazie

si è possibilissimo.

Elgabs considera che la patch serve ad evitare a chi scarica il WMF infetto di prendersi il virus o quello che si porta dietro.
Evidentemente il tuo server ha subito qualche genere di aggressione e provvede a diffondere questo WMF.

Se per te non è un problema potresti postare qui l'url del sito... magari camufa il www con un xxx in modo che qualcuno non ci clicchi sopra per sbaglio.

[servizio.e-mail]

Ciao,
a me era capitato un anno fa circa, in un sito creato per un mio amico il programmatore aveva inserito il codice di un counter proveniente da un sito simile a shinystat. Fino a poco tempo prima il sito e il counter funzionavano bene, ad un certo punto caricando le pagine hanno cominciato a comparire finestre pop-up e dialer. Non era stato inserito codice diverso da quello originale nelle pagine, ma era stato modificato il counter.
Cambiato il counter con uno proveniente da un'altro sito il problema si è risolto.

[Habanero]

Assolutamente probabile. Ne abbiamo discusso in passato anche qui sul forum:
http://forum.html.it/forum/showthrea...hreadid=876725

[elgabs]

vi ringrazio per l'attenzione e per l'aiuto, soprattutto da parte di thomas_anderson.

In effetti allafine il problema si è scoperto essere nel server che ospita il mio sito,daparte del quale, c'è da dire, la soluzione è stata immediata, hanno eliminato il file infetto nelgiro di poche ore.

Ad ogni modo ho scoperto quanto sia vulnerabile il mio sito e grazie alle dritte che mi avete segnalato imparerò sicuramente nuove difese ad attacchi vari.

Mi chiedo una cosa, da un puntodi vista piuttosto profano: con quale criterio vengono trovati i siti meno difesi? C'è un modo comune da parte di hacker/cracker opure si va a casaccio?

grazie mille, davvero.