Visualizzazione Stampabile
-
Infezione sito
sono un po' di giorni che mi infettano il sito (gbcnet) con codice malevolo e non riesco a capire come fare per individuare il "buco".
Mi tocca riscrivere i file sul server per ripristinare il tutto, quello che son riuscito a capire è che il tutto parte da qualche file JS, e nulla più.
La prima volta si è verificato un paio di giorni fa, mi son ritrovato tutti i file del server modificati e il sito segnalato da google come malevolo, sistemato il tutto è ricomparso oggi pomeriggio nuovamente il problema. In più mi si impalla anche l'editor di risposta rapida da cui spariscono tutti i pulsanti.
La cosa strana è che lo stesso problema si è verificato anche sull'altrro sito che amministro (ilpazzicomio.com) che risiede su server e dominio completamente diversi...
Qualcuno sa un sistema per bloccare definitivamente questo casino??
PS: qualche screen lo trovate qui:
http://www.gbcnet.net/showthread.php...sospetto/page5
Dovesse segnalarvi come malevolo non dovrebbe essere un problema, ho appena passato la ramazza per le pulizie;)
-
Se utilizzi qualche plugin in particolare su entrambi i forum prova a rimuoverlo, forse dando un occhiata ai log del php puoi riuscire a trovare il modo in cui riescono ad aggiungerti il codice nel db.
L'antivirus dove ti segnala la presenza delle url malevole, nella home o nei topic?
Edit: Ok come non detto! se sostituendo i file del server risolvi, non è un problema di db, ricontrolla i permessi dei file e poi fai una scansione sulla cartella del forum, l'antivirus ti dovrebbe trovare il fil con detto le url malevole, se questo file è nella cartella di qualche plugin...... hai trovato il problema :)
-
Citazione:
Originariamente Scritto da
Fabioo
Se utilizzi qualche plugin in particolare su entrambi i forum prova a rimuoverlo, forse dando un occhiata ai log del php puoi riuscire a trovare il modo in cui riescono ad aggiungerti il codice nel db.
L'antivirus dove ti segnala la presenza delle url malevole, nella home o nei topic?
Sinceramente a me non è mai capitato, cmq dicono appaiano nella home page e dopo un po' essendo molto visibile su google il sito, me lo segnala e amen. Poi mi tocca ripristnare e non ho possibilità di verificare.
PS: il log php da dove lo controllo??
-
ho modificato il messaggio sopra ^^
il sito ce l'hai su hosting condiviso? dove? e che pannello di controllo utilizzi? :)
-
Il sito gbcnet risiede su hosting grid condiviso su godaddy, mentre l'altro è su aruba. Come pannello ha mysql, si per l'uno che per l'altro.
Il problema è che purtroppo quando parte l'infezione mi infetta tutti i file... equindi non è possibile risalire da dove è partito.
Come plugin in comune tra i due siti ce ne stanno 6/7, e dato che il problema si verifica random non è facile capire quale potrebbe essere.
-
come fai a sapere che ti infetta tutti i file?
non so il primo ma su aruba se non ricordo male non è possibile controllare alcun log. prova a scaricare la cartella in locale e passaci sopra l antivirus, prima però controlla con questo http://www.urlvoid.com/ inserisci l url del sito infetto ..
-
Mi rendo conto che infetta tutto in quanto i file del sito risultano tutti modificati alla medesima ora in concomitanza del non funzionamento del sito. Nel server ho file che stanno li da mesi e poi me li ritrovo modificati nell'ultima ora.
-
Oddio!! :rolleyes: non solo le sottocartelle ma anche tutti i file in esse? mannaggia...
hai provato a sentire il provider? magari è stato violato il server! o ti hanno caricato uno script bello potente da fare questo, ma anche in questo caso devi sentire il provider per dare un occhiata ai log all'orario in cui sono stati modificati i file!
-
Citazione:
Originariamente Scritto da
Fabioo
Oddio!! :rolleyes: non solo le sottocartelle ma anche tutti i file in esse? mannaggia...
hai provato a sentire il provider? magari è stato violato il server! o ti hanno caricato uno script bello potente da fare questo, ma anche in questo caso devi sentire il provider per dare un occhiata ai log all'orario in cui sono stati modificati i file!
Escluderei il provider dato che lo stesso problema ieri mi si è verificato su ilpazzicomio.com che risiede su aruba, quindi altro dominio e altro server.
-
Citazione:
Originariamente Scritto da
blackwolf76
Escluderei il provider dato che lo stesso problema ieri mi si è verificato su ilpazzicomio.com che risiede su aruba, quindi altro dominio e altro server.
Giusto! :p
Potresti averli infettati tramite il programma FTP durante il caricamento di qualche file sui server?
