Hosting e malware su sito

michel_meilleur · 11-12-2009, 20:23

Salve a tutti, questo è il mio primo messaggio!

Vorrei raccontarvi la mia esperienza un po' particolare.

Un sito che gestisco da anni quest'estate presentò tutti i sintomi di quella che a mio avviso sembrava un'intrusione da parte di terzi, che forse erano penetrati via ftp.

Infatti se gli utenti tentavano di connettersi al sito, i loro antivirus rilevavano la presenza di malware e automaticamente la connessione veniva chiusa. Controllai e in effetti vidi che nella home page del sito (e in altre pagine) gli "intrusi" avevano iniettato codice html + javascript per infettare chiunque si collegasse al sito.

Il problema fu facilmente risolto visto che bastò eliminare il codice html, cambiare le credenziali ftp e tutto tornò come prima.

La situazione filò liscia per alcuni mesi, finché qualche settimana fa nuova email da parte dell'hosting che mi fa sapere di aver bloccato il sito perché a detta loro sul mio PC è presente un malware che infetterebbe le pagine del sito. Mi hanno consigliato quindi di fare una scansione e rimuovere il malware.

Scansione fatta ma nessun malware trovato. Ripulisco comunque il sito dai residui dell'attacco (questa volta invece di iniettare codice html hanno creato una finta pagina con un finto codice per statistiche) e faccio presente la cosa al mio gestore di hosting.

La cosa si verifica nuovamente pochi giorni fa. A questo punto decido di cancellare tutto quello che è ospitato sul server di questa società di hosting e creo ex novo una innocua pagina html con due righe per avvisare gli utenti di questi problemi, di attendere il ripristino del sito e mi scuso per il disagio.

Quindi, secondo me, se la fonte del problema era nelle pagine del sito, pensavo di agire in questo modo per verificare se effettivamente il problema è nel mio sito o da qualche altra parte.

L'epilogo della vicenda è questo: l'hosting mi blocca ancora una volta il sito e mi manda una nuova mail ostinandosi a dire che il problema è sulle pagine del mio sito... e io mi domando come possa essere vero, visto che il problema ha continuato a verificarsi anche dopo che ho rimosso tutte le pagine!!!

Anzi pensare che loro mi hanno addirittura detto che sono io che non faccio una scansione abbastanza approfondita e dicono che sicuramente ho un virus nel PC!!! Eppure ho provato (e continuo a provare!) con tutto alla ricerca del malware: Avast, Spybot, Hijack this, Kaspersky Online Scanner, in questo momento sto provando anche con Malwarebytes ma danno tutti esito negativo.

Secondo voi qual è il problema??? Io mi sono fatto un'idea, secondo me il servizio di hosting che mi ospita il sito ha dei sistemi antivirus e antimalware un po' così così... e quindi il sito è facilmente attaccabile dall'esterno.

Cosa ne pensate???

Grazie a tutti

**xcdegasp** · 12-12-2009, 16:24

è un problema che invade internet da due un anno intero e siamo prossimi al compimento del secondo anno.
vulnerabilità nel codice flash permette a terzi di inserire codice iframe estraneo ai tuoi sorgenti,
da non sottovalutare anche la versione vecchia del cms che è in uso e dei plugin in esso installati perchè ognuno è fonte di bug come anche inserire codice arbitrario come nel caso che riporti.

aggiungo anche che i permessi suoi file devono essere 644 o 755 e di controllare la directory cgi-bin alla ricerca di script estranei che modifichino i sorgenti del sito

comunque tutte le modifiche ai sorgenti sono state eseguite da un bot

michel_meilleur · 12-12-2009, 20:22

Ciao, ti ringrazio per la risposta!

Preciso comunque fin da ora che il sito non è né in flash né fa utilizzo di CMS, è semplicemente html (regolato da fogli css), non ridondante perché interamente scritto "a mano".

I file sono (o meglio, erano) tutti settati a 644, comunque in sostanza mi confermi che il problema non è, come si ostina a voler dire il mio server, un presunto malware che avrebbe infettato le pagine del sito.

11-12-2009, 20:23	#1
michel_meilleur Junior Member Iscritto dal: Dec 2009 Messaggi: 2	Hosting e malware su sito Salve a tutti, questo è il mio primo messaggio! Vorrei raccontarvi la mia esperienza un po' particolare. Un sito che gestisco da anni quest'estate presentò tutti i sintomi di quella che a mio avviso sembrava un'intrusione da parte di terzi, che forse erano penetrati via ftp. Infatti se gli utenti tentavano di connettersi al sito, i loro antivirus rilevavano la presenza di malware e automaticamente la connessione veniva chiusa. Controllai e in effetti vidi che nella home page del sito (e in altre pagine) gli "intrusi" avevano iniettato codice html + javascript per infettare chiunque si collegasse al sito. Il problema fu facilmente risolto visto che bastò eliminare il codice html, cambiare le credenziali ftp e tutto tornò come prima. La situazione filò liscia per alcuni mesi, finché qualche settimana fa nuova email da parte dell'hosting che mi fa sapere di aver bloccato il sito perché a detta loro sul mio PC è presente un malware che infetterebbe le pagine del sito. Mi hanno consigliato quindi di fare una scansione e rimuovere il malware. Scansione fatta ma nessun malware trovato. Ripulisco comunque il sito dai residui dell'attacco (questa volta invece di iniettare codice html hanno creato una finta pagina con un finto codice per statistiche) e faccio presente la cosa al mio gestore di hosting. La cosa si verifica nuovamente pochi giorni fa. A questo punto decido di cancellare tutto quello che è ospitato sul server di questa società di hosting e creo ex novo una innocua pagina html con due righe per avvisare gli utenti di questi problemi, di attendere il ripristino del sito e mi scuso per il disagio. Quindi, secondo me, se la fonte del problema era nelle pagine del sito, pensavo di agire in questo modo per verificare se effettivamente il problema è nel mio sito o da qualche altra parte. L'epilogo della vicenda è questo: l'hosting mi blocca ancora una volta il sito e mi manda una nuova mail ostinandosi a dire che il problema è sulle pagine del mio sito... e io mi domando come possa essere vero, visto che il problema ha continuato a verificarsi anche dopo che ho rimosso tutte le pagine!!! Anzi pensare che loro mi hanno addirittura detto che sono io che non faccio una scansione abbastanza approfondita e dicono che sicuramente ho un virus nel PC!!! Eppure ho provato (e continuo a provare!) con tutto alla ricerca del malware: Avast, Spybot, Hijack this, Kaspersky Online Scanner, in questo momento sto provando anche con Malwarebytes ma danno tutti esito negativo. Secondo voi qual è il problema??? Io mi sono fatto un'idea, secondo me il servizio di hosting che mi ospita il sito ha dei sistemi antivirus e antimalware un po' così così... e quindi il sito è facilmente attaccabile dall'esterno. Cosa ne pensate??? Grazie a tutti

12-12-2009, 16:24	#2
xcdegasp Moderatore Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27465	è un problema che invade internet da due un anno intero e siamo prossimi al compimento del secondo anno. vulnerabilità nel codice flash permette a terzi di inserire codice iframe estraneo ai tuoi sorgenti, da non sottovalutare anche la versione vecchia del cms che è in uso e dei plugin in esso installati perchè ognuno è fonte di bug come anche inserire codice arbitrario come nel caso che riporti. aggiungo anche che i permessi suoi file devono essere 644 o 755 e di controllare la directory cgi-bin alla ricerca di script estranei che modifichino i sorgenti del sito comunque tutte le modifiche ai sorgenti sono state eseguite da un bot __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

12-12-2009, 20:22	#3
michel_meilleur Junior Member Iscritto dal: Dec 2009 Messaggi: 2	Ciao, ti ringrazio per la risposta! Preciso comunque fin da ora che il sito non è né in flash né fa utilizzo di CMS, è semplicemente html (regolato da fogli css), non ridondante perché interamente scritto "a mano". I file sono (o meglio, erano) tutti settati a 644, comunque in sostanza mi confermi che il problema non è, come si ostina a voler dire il mio server, un presunto malware che avrebbe infettato le pagine del sito.

Strumenti
Mostra una versione stampabile Invia questa pagina per email