Ieri sera mi collego con un forum a cui sono iscritto (di tutt'altra natura rispetto a Hwupgrade) e mi trovo al posto della schermata di home una schermata di un hacker, c'era scritto "Karanlikta Oynayanlar" e poco più sotto "by crackers_child - NO WAR !" e compariva anche un link al suo sito presumo.
Siccome in questo forum è presente una sezione per comunicare con lo staff (gli amministratori e i moderatori) ho aperto un thread in cui facevo presente la cosa...e facendo un copia/incolla del link mi si è collegato appunto a questo sito.
Ho subito chiuso il browser (uso mozzilla) però preoccupato dal fatto che potesse essere successo qualcosa ho fatto una scansione con l'antivirus (uso Pc-cillin) e con un antispyware (uso Ad-Aware) ed infatti mi sono trovato ben 13 virus e 49 spyware....alla faccia !!! :mad: :mad: :mad:
I visrus comunque sono stati eliminati, cosiccome anche gli spyware.
Quello che vi vengo a chiedere....secondo voi posso stare tranquillo ora ?
In caso contrario c'è qualche altra procedura da seguire oltre all'antivirus e all'antispyware da seguire per dormire sogni tranquilli ?
Grazie mille a chi risponderà ! ;)

innanzi tutto ti interesserà sapere che pc-cilling è affetto anche da una falla:
http://secunia.com/advisories/26557/

controlla di averlo aggiornato ;)

Il fatto che tu abbia scaricato virus è dovuto ai javascript che avevi abilitati per quel dominio che è risultato defacchato e violato con inserimento di codice javascript offuscato.
Presumo fosse un server microsoft quello su cui risiedeva quel sito :)

Hai rilevato che ti ha scaricato ben 13 virus e 49 spyware quindi il firewall sembra non aver agito correttamente e peggio ancora pc-cilling si è svegliato solo nella scansione on-demand.
E' possibile che qualcuno di questi virus abbia proseguito la sua opera e abbia inoculato il servizio svchost.exe e qualche file ".dll" .

Io farei una scansione online con kaspersky e panda, ma prima scarica e installa ed esegui il antirootkit di Panda e vedi se rileva qualcosa.
Poi cerca e scarica "Gmer" edeseguilo controllando che non ci siano righe rosse nellog che genera.

Poi scansiona online e infine sforna un bel log tramite "HijackThis" epostalo nel thread ufficiale:
http://www.hwupgrade.it/forum/showthread.php?t=937676

Poi una passata con a-squared-free e dovresti essere abbastanza sicuro.

dopo di chè decidi in autonomia se pc-cilling ti ha difeso o se è il caso di affidarsi ad altri programmi :)

a proposito di ciò, ti consiglio di tenere sott'occhio questo tread: :D

http://www.hwupgrade.it/forum/showthread.php?t=1536210

perso che il problema che hai avuto sia stato causato da un iFrame messo lì ad arte.

link del sito/forum, grazie

Io farei una scansione online con kaspersky e panda, ma prima scarica e installa ed esegui il antirootkit di Panda e vedi se rileva qualcosa.
Poi cerca e scarica "Gmer" edeseguilo controllando che non ci siano righe rosse nellog che genera.

Poi scansiona online e infine sforna un bel log tramite "HijackThis" epostalo nel thread ufficiale:
http://www.hwupgrade.it/forum/showthread.php?t=937676

Poi una passata con a-squared-free e dovresti essere abbastanza sicuro.

dopo di chè decidi in autonomia se pc-cilling ti ha difeso o se è il caso di affidarsi ad altri programmi :)
Ciao e grazie mille per la celere risposta !!! :) :) :)
Ti chiedo solo una cortesia se non ti è di troppo disturbo...potresti dirmi dove poter trovare questi programmi e soprattutto sono free ?
Per il controllo online intendi dire direttamente dal sito di kaspersky e panda ? C'è questa possibilità ?
Grazie ancora e a questo punto valuto seriamente di togliere Pc-cillin !!!

link del sito/forum, grazie
http://www.hobbyuccelli.it/community/forum/index.php
Il link del forum è questo qua sopra, anche ora è presente la schermata a piena pagina però non vedo più il link alla pagina dell'hacker...comunque se vi può interessare il link è alla pagina hacker è questo: h**p://karanliktaoynayanlar.com/

quì trovi il tread ufficiale del kaspersky:

http://www.hwupgrade.it/forum/showthread.php?t=1388845

e quì lo puoi scaricare e provare in relese 7.0.0.125 in inglese:

http://www.kaspersky.com/internet_security_trial

e quì l'ultima versione disponibile al momento in italiano:

http://www.kasperskystore.it/eval.html?change_os=ALL

-------------------------------------

Panda internet security 2008:

http://www.pandasecurity.com/homeusers/downloads/register?Tipo=1&CodigoProducto=37&Idioma=2&TipoUsuario=12&Country=US&TipoLead=2&Ref=WWEN-P08-DES

http://www.hobbyuccelli.it/community/forum/index.php
Il link del forum è questo qua sopra, anche ora è presente la schermata a piena pagina però non vedo più il link alla pagina dell'hacker...comunque se vi può interessare il link è alla pagina hacker è questo: h**p://karanliktaoynayanlar.com/

edita il link infetto in questo modo: h**p://karanliktaoynayanlar.com/ per non far infettare gli utonti

Ciao e grazie mille per la celere risposta !!! :) :) :)
Ti chiedo solo una cortesia se non ti è di troppo disturbo...potresti dirmi dove poter trovare questi programmi e soprattutto sono free ?
Per il controllo online intendi dire direttamente dal sito di kaspersky e panda ? C'è questa possibilità ?
Grazie ancora e a questo punto valuto seriamente di togliere Pc-cillin !!!

prima di valutare l'ipotesi di disinstallarlo applica proprio la procedura che ti ho decsritto, in questo modo potrai realmente accorgerti di cosa sia rimasto "nascosto" a questo antivirus.

per panda-AV ekav per ora intendo farteli usare solo come scansione online poi se deciderai di abbandonare pc-cilling ti aiuteremo a scegliere in sede opportuna ;)

tutti i programmi che ti ho detto di usare sono assolutamente free e li trovi con una semplice ricerca tramite google:
panda antirootkit -> http://research.pandasoftware.com/blogs/research/archive/2007/04/02/Panda-AntiRootkit-Released.aspx

gmer con guida all'uso -> http://www.gmer.net/index.php

per scansionare online con KAV -> http://www.kaspersky.it/Servizi/Virusscan.asp

per scansionare online con panda antivirus -> http://www.pandasoftware.com/activescan/it/activescan_principal.htm

HijackThis -> http://www.hijackthis.de/it

a-squared-free -> http://download5.emsisoft.com/a2FreeSetup.exe

prima di valutare l'ipotesi di disinstallarlo applica proprio la procedura che ti ho decsritto, in questo modo potrai realmente accorgerti di cosa sia rimasto "nascosto" a questo antivirus.

per panda-AV ekav per ora intendo farteli usare solo come scansione online poi se deciderai di abbandonare pc-cilling ti aiuteremo a scegliere in sede opportuna ;)

tutti i programmi che ti ho detto di usare sono assolutamente free e li trovi con una semplice ricerca tramite google:
panda antirootkit -> http://research.pandasoftware.com/blogs/research/archive/2007/04/02/Panda-AntiRootkit-Released.aspx

gmer con guida all'uso -> http://www.gmer.net/index.php

per scansionare online con KAV -> http://www.kaspersky.it/Servizi/Virusscan.asp

per scansionare online con panda antivirus -> http://www.pandasoftware.com/activescan/it/activescan_principal.htm

HijackThis -> http://www.hijackthis.de/it

a-squared-free -> http://download5.emsisoft.com/a2FreeSetup.exe

Ops...ho letto solo ora il tuo messaggio...stò scansionando dal sito di Panda online con Panda Activescan....a quanto ho capito è tutt'altra cosa rispetto a Panda Anti-rootkit....dico bene ?

Alla faccia....ho appena finito di fare la scansione dal sito di Panda e mi sono stati trovati altri 3 virus e 30 spyware....evviva Pc-Cillin allora !!! :mad: :mad: :mad:
Comunque di questi tre virus due mi sono stati disinfettati mentre uno è un file zippato che ho prontamente cancellato così direi di essere a posto.
Con Panda Activescan erano già presenti nella scansione un controllo per i virus, gli spyware, i rootkit, i dialer e altri....direi che ora come ora potrei stare tranquillo, voi che mi dite ?
I virus incriminati erano: Generic Malware (in due files disinfettati) e Trj/downloader.MDW (nel file zippato poi subito cancellato).
Gli spyware invece erano semplici cookies dentro alla cartella di Mozzilla/Profiles...non me li ha tolti ma non credo siano pericolosi, voi che dite ?

Alla faccia....ho appena finito di fare la scansione dal sito di Panda e mi sono stati trovati altri 3 virus e 30 spyware....evviva Pc-Cillin allora !!! :mad: :mad: :mad:
Comunque di questi tre virus due mi sono stati disinfettati mentre uno è un file zippato che ho prontamente cancellato così direi di essere a posto.
Con Panda Activescan erano già presenti nella scansione un controllo per i virus, gli spyware, i rootkit, i dialer e altri....direi che ora come ora potrei stare tranquillo, voi che mi dite ?
I virus incriminati erano: Generic Malware (in due files disinfettati) e Trj/downloader.MDW (nel file zippato poi subito cancellato).
Gli spyware invece erano semplici cookies dentro alla cartella di Mozzilla/Profiles...non me li ha tolti ma non credo siano pericolosi, voi che dite ?

la procedura che ti ho dato devi seguirla interamente altrimenti non hai controllato in modo adeguato il sistema.
quindi procedi con le parti che hai lasciato in sospeso, e cerca di mantenere lo stesso ordine d'esecuzione ;)

vedi che hai trovato cosa che pc-cilling non trovava? se dai fiducia a quanto ti ho consigliato vedrai che dopo sarai molto ben soddisfatto

i cookie non sono pericolosi.
ma un firewall che chiuda tutte le porte su quel computer lo hai? non è normale cliccare su un link (per quanto infetto) e ritrovarsi pieni di virus, vuol dire che il tuo sistema di difesa è bucato come un colabrodo.

fai qualche test su http://www.pcflank.com/

i cookie non sono pericolosi.
ma un firewall che chiuda tutte le porte su quel computer lo hai? non è normale cliccare su un link (per quanto infetto) e ritrovarsi pieni di virus, vuol dire che il tuo sistema di difesa è bucato come un colabrodo.

fai qualche test su http://www.pcflank.com/

Come firewall utilizzo quello standard di Windows Xp, non quello di Pc-Cillin perchè mi creava seri problemi con Emule anche configurando le porte da aprire, a volte si inchiodava tutto, con quello di windows invece funziona.
Comunque non frequento siti strani...non riesco a spiegarmi come possa avere così tanti virus...a quanto pare però Pc-Cillin non è per niente affidabile visto che dormiva di brutto e Panda mi ha trovato altri 3 virus.
Ho appena scansionato con GMER e non ha trovato righe rosse....ora provo con HijackThis, poi vi sò dire, comunque direi di essere a posto ora.
Voi cosa mi consigliate come antivirus (visto che Pc-Cillin si è rivelato un autentico buco nell'acqua), Panda o Kaspersky ?

Kaspersky o se vuoi stare sul free Avira Antivir che è sempre tra i migliori; come firewall scarica subito Comodo Personal firewall pro che è gratuito ed è il migliore in circolazione, quello di win è peggio di un colabrodo; poi scarica anche a squared free e un Hips come Spyware etrminator che è sia antispyware che hips;)

per curiosità...potresti dirmi,anche in privato,il nome di questo sito?voglio vedere se c'è correlazione tra il tuo malware e ciò che può iniettare quel forum

per curiosità...potresti dirmi,anche in privato,il nome di questo sito?voglio vedere se c'è correlazione tra il tuo malware e ciò che può iniettare quel forum
Il sito dell'hacker è questo: h**p://karanliktaoynayanlar.com/ (ho tolto le 2 "t" nel link da "http" come mi è stato consigliato per evitare che qualche utente inavvertitamente clicchi sopra), mentre il sito hackerato è il seguente: http://www.hobbyuccelli.it/community/forum/index.php

Ragazzi ho disinstallato Pc-Cillin e ho installato la versione demo di kaspersky...tutto ok, però ho una domanda: ora Emule ha ID basso, qualcuno sà dirmi come fare per portarlo di nuovo a ID alto ?
Le porte dal router sono aperte (come del resto anche prima), evidentemente è qualcosa da configurare sull'antivirus....qualcuno sà come fare ?
Grazie ! ;)

Ragazzi ho disinstallato Pc-Cillin e ho installato la versione demo di kaspersky...tutto ok, però ho una domanda: ora Emule ha ID basso, qualcuno sà dirmi come fare per portarlo di nuovo a ID alto ?
Le porte dal router sono aperte (come del resto anche prima), evidentemente è qualcosa da configurare sull'antivirus....qualcuno sà come fare ?
Grazie ! ;)

per questo problema dovresti guardare nel thread ufficiale, sicuramente in prima pagina c'è unja risposta utile ;)

per questo problema dovresti guardare nel thread ufficiale, sicuramente in prima pagina c'è unja risposta utile ;)

esatto, è più esattamente quì:

http://www.hwupgrade.it/forum/showthread.php?t=1388845

Ieri sera mi collego con un forum a cui sono iscritto (di tutt'altra natura rispetto a Hwupgrade) e mi trovo al posto della schermata di home una schermata di un hacker, c'era scritto "Karanlikta Oynayanlar" e poco più sotto "by crackers_child - NO WAR !" e compariva anche un link al suo sito presumo.
Siccome in questo forum è presente una sezione per comunicare con lo staff (gli amministratori e i moderatori) ho aperto un thread in cui facevo presente la cosa...e facendo un copia/incolla del link mi si è collegato appunto a questo sito.
Ho subito chiuso il browser (uso mozzilla) però preoccupato dal fatto che potesse essere successo qualcosa ho fatto una scansione con l'antivirus (uso Pc-cillin) e con un antispyware (uso Ad-Aware) ed infatti mi sono trovato ben 13 virus e 49 spyware....alla faccia !!! :mad: :mad: :mad:
I visrus comunque sono stati eliminati, cosiccome anche gli spyware.
Quello che vi vengo a chiedere....secondo voi posso stare tranquillo ora ?
In caso contrario c'è qualche altra procedura da seguire oltre all'antivirus e all'antispyware da seguire per dormire sogni tranquilli ?
Grazie mille a chi risponderà ! ;)


Avverti l'amministratore, il sito e' ancora bucato.

http://www.zone-h.org/component/option,com_attacks/Itemid,43/filter_defacer,crackers_child/

Aruba....come stanno messi male gli hoster italiani...

Ma si tratta soltanto di un defacement, non hai preso i virus da li'.
Hai forse subito un drive-by ma ad una occhiata veloce non credo quel sito direttamente sia responsabile (intendo www.hobbyuccelli.it)
Sei entrato nel loro sito, per caso, con Internet Explorer? (magari per curiosita')

if (navigator.appName!="Microsoft Internet Explorer")
{
alert("KoDAT'a Microsoft Internet Explorer Disinda Baglanti Yasaktir.")
location="http://datindex.karanliktaoynayanlar.com"
}

chi capisce il turco? :stordita:

A quanto pare e' un mass defacement.
Quel sito condivide l'indirizzo ip con altri siti (multihoming con singolo ip)
povero webx18.aruba.it

edit :D

Sei entrato nel loro sito, per caso, con Internet Explorer? (magari per curiosita')

if (navigator.appName!="Microsoft Internet Explorer")
{
alert("KoDAT'a Microsoft Internet Explorer Disinda Baglanti Yasaktir.")
location="http://datindex.karanliktaoynayanlar.com"
}

chi capisce il turco? :stordita:
Ciao Sisupoika e grazie per la risposta ! ;)
No, utilizzo ormai abitualmente Mozzilla e come ho scritto ad inizio topic durante un copia/incolla per avvisare l'amministratore di hobbyuccelli.it ho cliccato sul link e quindi sono entrato nel sito dell'hacker, appena è successo ho chiuso immediatamente il browser ma la mia preoccupazione è che possa essere stato infettato in qualche modo.
Ora però con tutti i controlli che mi sono stati consigliati direi di essere abbastanza sicuro....ho controllato praticamente tutto quello che potevo ! :p
Ho anche installato la versione trial di Kav al posto di Pc-Cillin che mi ha veramente deluso...e tanto pure !!! :(
L'amministratore l'ho già avvisato da ormai due giorni....ma permane ancora quella schermata inquietante....boh, forse sarà in ferie, fino ad ora mi hanno risposto solo dei moderatori che credo non possano farci niente.
Spiegami una cosa....cosa sarebbe un "drive-by" ?
Grazie delle risposte ! :)

Ciao Sisupoika e grazie per la risposta ! ;)
No, utilizzo ormai abitualmente Mozzilla e come ho scritto ad inizio topic durante un copia/incolla per avvisare l'amministratore di hobbyuccelli.it ho cliccato sul link e quindi sono entrato nel sito dell'hacker, appena è successo ho chiuso immediatamente il browser ma la mia preoccupazione è che possa essere stato infettato in qualche modo.
Ora però con tutti i controlli che mi sono stati consigliati direi di essere abbastanza sicuro....ho controllato praticamente tutto quello che potevo ! :p
Ho anche installato la versione trial di Kav al posto di Pc-Cillin che mi ha veramente deluso...e tanto pure !!! :(
L'amministratore l'ho già avvisato da ormai due giorni....ma permane ancora quella schermata inquietante....boh, forse sarà in ferie, fino ad ora mi hanno risposto solo dei moderatori che credo non possano farci niente.
Spiegami una cosa....cosa sarebbe un "drive-by" ?
Grazie delle risposte ! :)

Detto molto sinteticamente, una pagina caricata, solitamente in un iframe nascosto, sfrutta una o piu' vulnerabilita' appena scoperte dal malintenzionato, per scaricarti del malware nel sistema oppure compiendo azioni su di esso che normalmente verrebbero bloccate dalle caratteristiche del browser e/o del sistema operativo.
Di solito, il malintenzionato fa una scansione di porzioni del web, prendendo di mira hosters - quali Aruba - dei quali ha trovato almeno un webserver non adeguatamente protetto e aggiornato. Una volta guadagnato accesso ad un sistema di quell'hoster, egli puo' (ma e' solo un esempio) compromettere i siti da esso ospitati, spesso ricorrendo a degli script per un "defacciamento di massa".
Nel caso di quel sito, sembra che un include nella cartella del forum sia stato modificato per visualizzare il contenuto aggiunto dal tizio.
Un include e' un file di codice che, sul server, contiene delle funzioni e procedure condivise da piu' pagine; esso e' percio' "incluso" nelle pagine che fanno uso di quel codice, e in questo caso in tutte le pagine del forum.
Questo e' il motivo per cui qualunque pagina accedi del forum, vedi il contenuto aggiunto dal tizio.
Come avrai notato, soltanto la sezione del forum e' stata compromessa, mentre la home page, di solito target di un defacement, non lo e'.
Questo perche' e' stato sfruttato un setup non ottimale dei permessi sulla cartella del forum, quindi il tizio ha potuto modificare quell'include ma niente nelle cartelle superiori perche' non e' riuscito a fare traversal/climbing alle cartelle superiori grazie a una migliore impostazione dei permessi.
Comunque, ho dato solo un'occhiata molto veloce, al momento sto sistemando il mio nuovo laptop :)

Grazie mille per la spiegazione davvero esaudiente Sisupoika !!!
;) ;) ;)

Grazie mille per la spiegazione davvero esaudiente Sisupoika !!!
;) ;) ;)

Sembra abbiano sistemato