| Autore |
 Discussione  |
|
|
cikkus
New Member
41 Messaggi |
 Inserito il - 08/05/2010 : 00:36:39
|
|
Ciao Ragazzi sono al mio primo post, sono alla disperata ricerca di una soluzione per riconoscere e pulire i file php infettati sul mio hosting aruba relativamente al mio sito sul quale ho piazzato una pagina temporanea per evitare che altri si infettino. Il buon Avast mi dice che si tratta di IFRAME-NM, fatto sta che provando da altri pc che ho a casa risulta sempre la stessa infezione mentre una scansione fatta con il servizio online "Soswebscan" mi dice che il sito è pulito così come riferisce anche la scansione con i "tool" di Google. Non ho esperienza di ph,p giusto quella meno che minima per gestire e creare un sito con i CMS; in questo caso Wordpress. DA un post letto ho visto che un moderatore ha indicato con precisione i file infetti, è possibile che qualcuno possa controllarmeli? Come comunicare l'url del sito? AL momneto cmq al suo indirizzo c'è la pagina temporanea ,che in un primo momento risultava essere infettata tramite la funzione che si riferiva alla favicon..ma questo sono riuscito a risolverlo eliminando il plugin.. Help!
|
Modificato da - in Data
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 08/05/2010 : 04:13:15
|
Benvenuto su NoTrace.
Aruba fa progressi, due in un giorno su NoTrace 
htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=14705
Mandami l'url del sito in un messaggio privato, indicami come hai rinominato la pagina di inizio (la devo scaricare per poterla controllare), comunque dovrebbe essere uno script in una stringa molto lunga e (se è come sugli altri che ho visto) tutto in fondo alla / alle pagine.
Visto che è la terza discussione che vedo, e la gravità della cosa mi pare notevole, ho inserito una discussione in evidenza:
htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=14708
Ciao. |
 |
|
|
cikkus
New Member
41 Messaggi |
Inserito il - 09/05/2010 : 23:42:55
|
Grazie per la tua cortesia. Ti ho inviato in mp l'url del sito Puntando a qualsiasi pagina del sito , avast mi allertava con un avviso di virus e mi bloccava la pagina. PArlo al passato perchè nel frattempo trovo( una dritta su un sito) in cinque file php (wp-content/index.php; wp-admin/index.php; wp-content/themes/index.php; wp-admin/index-extra.php; wp-includes/default-filters.php e wp-includes/default-widgets.php
del codice che cancello. A questo punto non rilevo più alcun alert da Avast, ma una scansione con i tools di Google (precedente alla pulizia del codice) mi rileva del codice maligno in alcune pagine; Ora cosa dovrei fare? Non mi è chiaro se il codice maligno viene creato dinamicamente nella pagina ( e per questa risulta infetta) o se in effetti è in essa. Se così come si può eliminare nelle pagine? Dal database ovviamente , ma come faccio a trovare le pagine nel database? A quale tabelle corrispondono? Ti ripeto non sono granchè esperto ma mi piace studiare e con l'aiuto dei consigli come i tuoi, spero di venire a capo al mio problema. Dimenticavo... Avevo trovato tra i miei utenti uno di essi loggato come administrator" che ho ovviamente cancellato. Altra cosa che forse può essere importante: Il virus si è manifestato poco dopo aver creato un modulo con C-form erroneamente andato in pubblicazione. E' possibile che già avesso l'hacker loggato come semplice utente ( ho cancellato altre 5 iscrizioni sospette e che il modulo gli abbia dato la chiave per bucarmi? Sto abusando troppo della tua cortesia. Ti ringrazio tantissimo per il tuo aiuto. Francesco.
|
Modificato da - cikkus in data 09/05/2010 23:56:20 |
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 10/05/2010 : 02:54:45
|
| Ho sbirciato gli index che ho trovato, non vedo nulla, sei sicuro che non sia uno dei link alle pubblicità infetto? |
|
|
|
cikkus
New Member
41 Messaggi |
Inserito il - 10/05/2010 : 11:13:47
|
Intendi i link sui banner inelle sidebar?
Controllerò, ma non credo perchè come dicevo, ho cancellato del codice infetto nei file che ho segnalato. Ed in ogni caso avevo loggato un utente come administrator. |
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 11/05/2010 : 06:03:41
|
Non so che dirti, ho girato mezz'ora nel codice di una pagina (quella di "download") e non ho visto nulla di sospetto, vedi un attimo questi due link:
htt*://[www].prelovac[.com]/vladimir/wordpress-security-notes
htt*://[www].prelovac[.com]/vladimir/plugins-used
sono per il WordPress, ma non hai un backup in locale da spedire sul server previa cancellazione di tutto cosa c'è?
Facciamo ancora un tentativo, nella root del tuo sito hai un file ".htaccess", aprilo e copiami il contenuto su un messaggio privato, vedo se c'è qualcosa li, ma a questo punto oh il sospetto che si siano infilati in qualche meandro del database, e se è cosi son cavoli amari.
Ciao. |
|
|
|
cikkus
New Member
41 Messaggi |
Inserito il - 11/05/2010 : 08:23:52
|
Ciao Ives e ancora grazie per la tua grande disponibilità; ti allego in mp il file htacess anche se mi sembra ok. Volevo confermarti che ho proceduto a rinominare i suffissi nel database e cambiare il nome nello stesso, a momenti il sito sarà nuovamente online. Però come ti dicevo, Google mi segnalava delle "pagine infette" e me le indicava,vorrei identificarle ma non so nel DB in quale tabella cercare le pagine per cancellare eventualmente il codice malevolo. Sai indicarmi le tabelle che contendono le pagine stesse? Grazie ancora per il tuo aiuto e per gli interessanti link che mi hai postato.
Grazie ancora, Francesco. |
|
|
|
cikkus
New Member
41 Messaggi |
Inserito il - 11/05/2010 : 13:29:02
|
Ciao Yves, sei sempre molto gentile; ho cambiato tutte le pwd ed anche i suffissi delle tabelle , il sito è nuovamente online e senza segnalazioni da parte di Google. Non so se ce l'ho fatta ma vorrei aspettare qualche giorno per cantare vittoria. Ovviamente Google non mi fa più vedere le pagine che erano infette. A questo punto mi chiedo, visto che qualsiasi pagina fosse richiamata risultava infetta, se il codice venisse creato dinamicamente di volta in volta nella pagina dagli php infetti o cos'altro... Non ho le competenze necessarie per comprendere la cosa...
Grazie sempre per il tuo aiuto.
Francesco
|
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 11/05/2010 : 16:55:07
|
Questo credo provi che ad essere infettate non erano le tue pagine, ma link o banner su di esse, se mal non ricordo quando google segnala l'infezione c'è un pulsante per avere più info, li ci sono i dettagli, sono informazioni piuttosto utili, se ti succede ancora dai un controllata e magari fai uno screen shot della pagina delle info sull'infezione, serve per capire più rapidamente che succede.
Contento che hai risolto.
Ciao. |
|
|
|
cikkus
New Member
41 Messaggi |
Inserito il - 12/05/2010 : 08:36:26
|
Ti ringrazio per la tua grande disponibilità. Dopo questo attacco mi sono fatto una discreta cultura su come fronteggiare ( correre ai ripari) dopo un'attacco hacker ed ho preso tutte le precauzioni possibili per evitarne di futuri... ; Grazie ancora per le tue dritte,
Francesco |
|
|
| |
Discussione |
|
Iframe sul mio sito
Forum Bloccato
