NoTrace Security Forum

NoTrace Security Forum
Home | Registrati | Discussioni Attive | Discussioni Recenti | Segnalibro | Msg privati | Utenti | Download | cerca | faq | RSS | Security Chat
Nome Utente:
Password:
Salva Password
Password Dimenticata?

 Tutti i Forum
 Virus
 Computer Virus
 Siti web personali infetti hosting Aruba, leggete
 Nuova Discussione  Rispondi
 Versione Stampabile Bookmark this Topic Aggiungi Segnalibro
I seguenti utenti stanno leggendo questo Forum Qui c'è:
Autore Discussione Precedente Discussione Discussione Successiva  

Yves
Moderatore


Città: Buenos Aires


6097 Messaggi


Inserito il - 08/05/2010 : 03:56:31  Mostra Profilo  Rispondi Quotando
Se avete un sito internet (pagina personale o altro) e trovate stranezze o i Vostri visitatori vi segnalano presenze di possibili infezioni:

1) Rimuovete (rinominate) appena possibile la pagina di inizio del sito in modo non sia raggiungibile dai vostri visitatori, questa si chiama "index" o "default", può avere estensione "htm", "html", "php", "asp", sostituitela con un messaggio di lavori (o altro).

2) Cambiate immediatamente la Vostra password di accesso ftp, pare ci sia una falla sull'autenticazione.

3) Aprite una nuova discussione descrivendo il problema meglio che potete, non inserite link al vostro sito / pagine infette, una volta inserita la discussione apritene una seconda in basso a questo post inserendo il link alla discussione appena aperta, servirà da indice per i prossimi arrivati, sperando siano pochi.



Da cosa leggo in giro la cosa sta diventando piuttosto seria, Aruba ha moltissimi hosting all'attivo e sicuramente è molto appetibile hai venditori di virus & co. (S.A.*), questo attacco viene condotto inserendo un codice (script) all'interno di una pagina (quasi sempre la home) e questi attiva il meccanismo, gli IP incriminati (da dove vengono poi scaricati sul PC del visitatore i malware), secondo questa fonte sono:
58.65.239.180 - 64.38.33.13 - 194.146.207.129 - 194.146.207.18

Per informazione (hai Vostri visitatori) potete indicare sui vostri siti una mini guida per modificare il file "Hosts" sui loro PC.
Aggiungendo gli IP sopra citati almeno si salvano da quelli, questa operazione è descritta sul sito ufficiale Microsoft per i diversi Sistemi Operativi della Casa, per informazioni (molto) più dettagliate visitate helpdeskgeek[.com], cioè basterà aggiungere sotto il resto già presente quanto segue:
127.0.0.1 58.65.239.180
127.0.0.1 64.38.33.13
127.0.0.1 194.146.207.129
127.0.0.1 194.146.207.18

in questa maniera si dovrebbero scongiurare almeno questi già conosciuti, importante dopo la modifica di riavviare il sistema, non basta il più delle volte riavviare il browser (in Seven pare sia indispensabile il riavvio, maggiori dettagli qui).

Per ora ho visto 3 utenti con questo problema, il link alle discussioni, in ordine di inserimento, sono questi:
htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=14657
htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=14705
htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=14707

Non sottovalutate la cosa, non siete in soli, la cosa non è ancora critica ma di sicuro rischia di peggiorare se non controllate con frequenza la possibile infezione, un controllo semplice senza nemmeno aprire il codice e controllarlo è vedere il suo "peso" in Bit, confrontatelo con una che avete in locale identica, se vedete differenze (anche minime) o la data di ultima modifica non corrisponde cancellatela ed inviate immediatamente la copia sul server.

Per avere un idea sommaria sulla stringa che dovete cercare, andate a questo indirizzo, c'è un immagine che lo ritrae, ma potrebbe iniziare con "<script" invece che "<php", l'interno ha quell'aspetto (e criptato, ma viene interpretato dal browser).

PS: Se notate errori segnalateli immediatamente, grazie

Ciao.

(*) Società Anonima

Riscopri il PC, installa ed usa Linux - Al giorno d'oggi i cani di razza muovono la coda solo per interesse. Ma io sono un bastardo...

Lista operazioni preliminari per eliminare il malware da Windows (virus & co.) <-> Come postare il log di HiJackThis <-> Guida per XP

CDC PREMIUM 7043 DW - Centrino Duo T2300 - 3 Gb Ram - 320 Gb HD - Ubuntu 12.04 - Mate - Linux User #16486 Linux != Windows

Modificato da - Yves in Data 08/05/2010 04:09:16
  Discussione Precedente Discussione Discussione Successiva  

 Nuova Discussione  Rispondi
 Versione Stampabile Bookmark this Topic Aggiungi Segnalibro
Vai a:
NoTrace Security Forum
© Nazzareno Schettino
RSS NEWS
Torna all'inizio della Pagina
Pagina generata in 1,48 secondi. TargatoNA | SuperDeeJay | Snitz Forums 2000