CODICE malware php inserito sul mio SITO O_O

[matte89thebest]

Ciao a tutti , apro questo post con un po di ansia (non lo nascondo) e sperando di ricevere qualche risposta!

Vi illustro subito il problema: gestisto 4 siti web basati su hosting xyz linux da 2 anni, questa sera il fattaccio:

Aprendo la index page del mio sito (xyz) chrome mi blocca l'accesso causa rilevamento malware!!
ieri andava tutto bene!!

Allora apro il sito ftp, scarico l'index e subito mi accorgo di qualcosa che non quadra:

racchiuso nei tag PHP di decodifica base 64 c'è questa porzione di codice:

xyx

Elimino i tag e utilizzo un software di codifica online http://www.opinionatedgeek.com/dotne...s/Base64Decode

non essendo sicuro di non creare danni postando il codice "decriptato" che racchiude un malware vi invito a recarvi sul sito sopra linktao, copiare ed incaollare tutto il codice che vedete sopra e poi schiacciare tranquillamente DECODE!

Ecco il "virus" in chiaro!

Ma la mia domanda è COME è POTUTO ARRIVARE QUESTO CODICE SULL'INDEX DEL MIO SITO??? SOLO IO HO L'ACCESSO FTP ALLO STESSO!!!

vi ringrazio già da ora per la risposta grazie!

[daniele_dll]

Ciao,

innanzi tutto direi di rimuovere sia il testo del "malware" che il link al tuo sito, cosi da evitare rieschi per possibili eventuali navigatori non muniti di protezione. Per finire non si può parlare di servizi di hosting, hosters e affini, quindi più attenzione per il prossimi thread gentilmente.

Detto questo, la cosa migliore da fare, secondo me, è contattare il tuo hoster ma soprattutto, se fai uso di CMS e simili, aggiornare il software a versioni più recenti

[matte89thebest]

Scusate il doppio post ma voglio solo aggiungere che i file infetti erano 68, presenti su 3 siti differenti che xyz hosta sulla stessa macchina (stesso accesso ftp)!

Aggiungo anche che il acmbio password di hosting NON è immediato!!
per cui se qualcuno avesse scoperto il mio accesso (molto più probabile che i firewall di xyz facciano cacare) ha tutto il tempo di disintegrarmi i 3 siti prima di vedersi cambiata la password!! senza parole!! se solo il mio blog funzionasse ancora (su xyz ho 40 giorni di disservizio del mio blog :P )!!


@daniele:

Ho già "purgato" le pagine accessibili del sito ,alla vecchia maniera ovvero --> apri tutte e trova e sostituisci per poi reuplodare!

per quanto riguarda i CMS ne monto uno per sito (wordpress) ma sono tutti inaccessibili da 40 giorni a causa di problemi di xyz!!

se provo ad aprire il mio blog per esempio ottengo questo messaggio da 40 giorni:

Fatal error: Cannot redeclare bjl() (previously declared in /web/htdocs/www.matte89thebest.com/home/blog/index.php(1) : eval()'d code:1) in /web/htdocs/www.matte89thebest.com/home/blog/wp-config.php(1) : eval()'d code on line 1


qualcuno potrebbe aiutarmi in questo campo visto che xyz non mi risponde per nulla?

PS --> l'errore è comparso a seguito di un comunicato di xyz sulla manutenzione del pannello controllo installazioni blog ecc :P

[daniele_dll]

Ripeto quanto detto prima: non si può parlare di servizi di hosting, hosters e affini!!!!!

[matte89thebest]

opss non avevo capito scusa!!

Comunque io non voglio parlare di quello, nel caso cancellate pure i riferimenti all'hosters , più che altro vorrei sapere come fare a pulire il mio blog (essi , ho appena controllato e ho già bonificato 198 file !!!)!

ma è praticamente impossibile farlo su un cms! mi consigli di cancellare tutto tranne il tema e installare una nuova versione del cms?

[daniele_dll]

Ciao,

mi spiace ma mi trovo costretto a chiuderti il thread, è già la terza volta che posti ripetutamente il nome dell'hoster (nel primo post, nel tuo secondo post e nel tuo secondo post dopo la modifica)

Gentilmente, riapri il thread rispettando il regolamento.