|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
 Inserito il - 08/05/2010 : 03:56:31
|
Se avete un sito internet (pagina personale o altro) e trovate stranezze o i Vostri visitatori vi segnalano presenze di possibili infezioni:
1) Rimuovete (rinominate) appena possibile la pagina di inizio del sito in modo non sia raggiungibile dai vostri visitatori, questa si chiama "index" o "default", può avere estensione "htm", "html", "php", "asp", sostituitela con un messaggio di lavori (o altro).
2) Cambiate immediatamente la Vostra password di accesso ftp, pare ci sia una falla sull'autenticazione.
3) Aprite una nuova discussione descrivendo il problema meglio che potete, non inserite link al vostro sito / pagine infette, una volta inserita la discussione apritene una seconda in basso a questo post inserendo il link alla discussione appena aperta, servirà da indice per i prossimi arrivati, sperando siano pochi.
Da cosa leggo in giro la cosa sta diventando piuttosto seria, Aruba ha moltissimi hosting all'attivo e sicuramente è molto appetibile hai venditori di virus & co. (S.A.*), questo attacco viene condotto inserendo un codice (script) all'interno di una pagina (quasi sempre la home) e questi attiva il meccanismo, gli IP incriminati (da dove vengono poi scaricati sul PC del visitatore i malware), secondo questa fonte sono:
58.65.239.180 - 64.38.33.13 - 194.146.207.129 - 194.146.207.18
Per informazione (hai Vostri visitatori) potete indicare sui vostri siti una mini guida per modificare il file "Hosts" sui loro PC.
Aggiungendo gli IP sopra citati almeno si salvano da quelli, questa operazione è descritta sul sito ufficiale Microsoft per i diversi Sistemi Operativi della Casa, per informazioni (molto) più dettagliate visitate helpdeskgeek[.com], cioè basterà aggiungere sotto il resto già presente quanto segue:
127.0.0.1 58.65.239.180
127.0.0.1 64.38.33.13
127.0.0.1 194.146.207.129
127.0.0.1 194.146.207.18
in questa maniera si dovrebbero scongiurare almeno questi già conosciuti, importante dopo la modifica di riavviare il sistema, non basta il più delle volte riavviare il browser (in Seven pare sia indispensabile il riavvio, maggiori dettagli qui).
Per ora ho visto 3 utenti con questo problema, il link alle discussioni, in ordine di inserimento, sono questi:
htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=14657
htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=14705
htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=14707
Non sottovalutate la cosa, non siete in soli, la cosa non è ancora critica ma di sicuro rischia di peggiorare se non controllate con frequenza la possibile infezione, un controllo semplice senza nemmeno aprire il codice e controllarlo è vedere il suo "peso" in Bit, confrontatelo con una che avete in locale identica, se vedete differenze (anche minime) o la data di ultima modifica non corrisponde cancellatela ed inviate immediatamente la copia sul server.
Per avere un idea sommaria sulla stringa che dovete cercare, andate a questo indirizzo, c'è un immagine che lo ritrae, ma potrebbe iniziare con "<script" invece che "<php", l'interno ha quell'aspetto (e criptato, ma viene interpretato dal browser).
PS: Se notate errori segnalateli immediatamente, grazie
Ciao.
(*) Società Anonima 
|
Modificato da - Yves in Data 08/05/2010 04:09:16
|
|
Siti web personali infetti hosting Aruba, leggete
Forum Bloccato
