Infezione sito

**blackwolf76** · 08-12-2012, 03:23

sono un po' di giorni che mi infettano il sito (gbcnet) con codice malevolo e non riesco a capire come fare per individuare il "buco".

Mi tocca riscrivere i file sul server per ripristinare il tutto, quello che son riuscito a capire è che il tutto parte da qualche file JS, e nulla più.

La prima volta si è verificato un paio di giorni fa, mi son ritrovato tutti i file del server modificati e il sito segnalato da google come malevolo, sistemato il tutto è ricomparso oggi pomeriggio nuovamente il problema. In più mi si impalla anche l'editor di risposta rapida da cui spariscono tutti i pulsanti.

La cosa strana è che lo stesso problema si è verificato anche sull'altrro sito che amministro (ilpazzicomio.com) che risiede su server e dominio completamente diversi...

Qualcuno sa un sistema per bloccare definitivamente questo casino??

PS: qualche screen lo trovate qui:

http://www.gbcnet.net/showthread.php...sospetto/page5

Dovesse segnalarvi come malevolo non dovrebbe essere un problema, ho appena passato la ramazza per le pulizie

**Fabioo** · 08-12-2012, 11:09

Se utilizzi qualche plugin in particolare su entrambi i forum prova a rimuoverlo, forse dando un occhiata ai log del php puoi riuscire a trovare il modo in cui riescono ad aggiungerti il codice nel db.

L'antivirus dove ti segnala la presenza delle url malevole, nella home o nei topic?

Edit: Ok come non detto! se sostituendo i file del server risolvi, non è un problema di db, ricontrolla i permessi dei file e poi fai una scansione sulla cartella del forum, l'antivirus ti dovrebbe trovare il fil con detto le url malevole, se questo file è nella cartella di qualche plugin...... hai trovato il problema

**blackwolf76** · 08-12-2012, 11:13

Originariamente Scritto da Fabioo

Se utilizzi qualche plugin in particolare su entrambi i forum prova a rimuoverlo, forse dando un occhiata ai log del php puoi riuscire a trovare il modo in cui riescono ad aggiungerti il codice nel db.

L'antivirus dove ti segnala la presenza delle url malevole, nella home o nei topic?

Sinceramente a me non è mai capitato, cmq dicono appaiano nella home page e dopo un po' essendo molto visibile su google il sito, me lo segnala e amen. Poi mi tocca ripristnare e non ho possibilità di verificare.

PS: il log php da dove lo controllo??

**Fabioo** · 08-12-2012, 11:15

ho modificato il messaggio sopra ^^

il sito ce l'hai su hosting condiviso? dove? e che pannello di controllo utilizzi?

**blackwolf76** · 08-12-2012, 11:20

Il sito gbcnet risiede su hosting grid condiviso su godaddy, mentre l'altro è su aruba. Come pannello ha mysql, si per l'uno che per l'altro.

Il problema è che purtroppo quando parte l'infezione mi infetta tutti i file... equindi non è possibile risalire da dove è partito.

Come plugin in comune tra i due siti ce ne stanno 6/7, e dato che il problema si verifica random non è facile capire quale potrebbe essere.

**Fabioo** · 08-12-2012, 11:35

come fai a sapere che ti infetta tutti i file?

non so il primo ma su aruba se non ricordo male non è possibile controllare alcun log. prova a scaricare la cartella in locale e passaci sopra l antivirus, prima però controlla con questo http://www.urlvoid.com/ inserisci l url del sito infetto ..

**blackwolf76** · 08-12-2012, 11:39

Mi rendo conto che infetta tutto in quanto i file del sito risultano tutti modificati alla medesima ora in concomitanza del non funzionamento del sito. Nel server ho file che stanno li da mesi e poi me li ritrovo modificati nell'ultima ora.

**Fabioo** · 08-12-2012, 11:46

Oddio!!

non solo le sottocartelle ma anche tutti i file in esse? mannaggia...

hai provato a sentire il provider? magari è stato violato il server! o ti hanno caricato uno script bello potente da fare questo, ma anche in questo caso devi sentire il provider per dare un occhiata ai log all'orario in cui sono stati modificati i file!

**blackwolf76** · 08-12-2012, 11:52

Originariamente Scritto da Fabioo

Oddio!!

non solo le sottocartelle ma anche tutti i file in esse? mannaggia...

hai provato a sentire il provider? magari è stato violato il server! o ti hanno caricato uno script bello potente da fare questo, ma anche in questo caso devi sentire il provider per dare un occhiata ai log all'orario in cui sono stati modificati i file!

Escluderei il provider dato che lo stesso problema ieri mi si è verificato su ilpazzicomio.com che risiede su aruba, quindi altro dominio e altro server.

**Fabioo** · 08-12-2012, 11:57

Originariamente Scritto da blackwolf76

Escluderei il provider dato che lo stesso problema ieri mi si è verificato su ilpazzicomio.com che risiede su aruba, quindi altro dominio e altro server.

Giusto!