Sito infetto; ci sono tool per cercare i file infettati?

[Zio Crick]

Spero di essere nella sezione giusta.

Come da titolo, non ho il PC infetto ma il sito.

Circa un mese fa collegandosi al sito il PC veniva letteralmente inchiodato da alcuni tentativi di collegamento ad una URL che conteneva la stringa "try-count.net" (che risulta essere un worm).
Lo si vedeva dalle scritte che comparivano nella barra di stato di IE.
Ho coinvolto il mio provider, il quale mi ha risposto che il server che ospita il mio sito utilizza Linux per cui e' esente da virus e che secondo loro il server non aveva problemi, quindi dovevo cercare i file infetti nel mio sito.
Io ho cancellato tutti i file del sito e li ho sostituiti con un backup di Gennaio che funzionava regolarmente, ma il problema si presentava ancora.

Ieri ho provato a ricollegarmi e sembrava funzionare, ma in realta' nella barra di stato vedo che esegue dei collegamenti ad alcune URL tra le quali ne ho vista una che contiene la stringa "google-gw".
In questo caso non inchioda il PC ma il caricamento della HOme-page diventa lento, ed inoltre io non ho alcun riferimento a google, quindi significa che il sito e' comunque ancora infatto.

Mi sapete per favore indicare cosa posso fare?
Io non ho idea di come fare a trovare le pagine infette.

Grazie.
Marco

P.S. Il sito in oggetto e' quello della mia firma.

[Franz.]

Se hai un backup aggiornato ricaricalo, e tieni presente che se il tuo sito dovesse continuare ad essere considerato infetto anche dai vari software (mcafee site advisor, netcraft toolbar, avira ecc.) rischieresti di trovartelo inserito nella black list.
Comunque, l'eventuale infezione che potresti aver contratto, imho è indifferente dal sistema operativo utilizzato, ma piuttosto dal codice e dagli script utilizzati per il sito stesso; in poche parole, potrebbe essere il codice ad essere stato "compromesso", secondo l'ormai consolidata tecnica impiegata ad es. dal mbr rootkit (vedasi 3d specifico) che utilizza per la sua diffusione un iframe inserito nel codice delle pagine dei siti utilizzati per la diffusione ed il download dell'mbr rootkit stesso.

Spero di essere riuscito a spiegarmi.

[Franz.]

Cmq a me sembra pulito.... scarno, ma pulito.

[Zio Crick]

Quote:

Originariamente inviato da Franz.

Se hai un backup aggiornato ricaricalo,

Questa prova l'ho gia' fatta ma il problema e' rimasto.

Quote:

es. dal mbr rootkit (vedasi 3d specifico) che utilizza per la sua diffusione un iframe inserito nel codice delle pagine dei siti utilizzati per la diffusione ed il download dell'mbr rootkit stesso.

Ecco, appunto.
Io chiedevo se esisteva un qualche tool per identificare il file infetto.
Ho provato a verificare le date di modifica dei file ma non ho trovato differenze.
Il fatto e' che il sito e' fatto con Xoops e di file ce ne sono moltissimi, e non riesco a passarli tutti.

Quote:

Cmq a me sembra pulito.... scarno, ma pulito.

Si certo, perche' quello che hai visitato non e' il sito originario.
Appena dopo aver postato il mio messaggio, ho voluto provare a cancellarlo, e a installare ex-novo l'ultima versione di Xoops (solo il kernel senza moduli aggiuntivi) per escludere una causa relativa al server.
Infatti sembra pulito, quindi se esistesse qualche tool in grado di identificare il o i file infetti potrei ripulirli sul mio PC e ricaricarli sul server.

[Bugs Bunny]

Quote:

Originariamente inviato da Zio Crick

Questa prova l'ho gia' fatta ma il problema e' rimasto.


Ecco, appunto.
Io chiedevo se esisteva un qualche tool per identificare il file infetto.
Ho provato a verificare le date di modifica dei file ma non ho trovato differenze.
Il fatto e' che il sito e' fatto con Xoops e di file ce ne sono moltissimi, e non riesco a passarli tutti.


Si certo, perche' quello che hai visitato non e' il sito originario.
Appena dopo aver postato il mio messaggio, ho voluto provare a cancellarlo, e a installare ex-novo l'ultima versione di Xoops (solo il kernel senza moduli aggiuntivi) per escludere una causa relativa al server.
Infatti sembra pulito, quindi se esistesse qualche tool in grado di identificare il o i file infetti potrei ripulirli sul mio PC e ricaricarli sul server.

Cosa significa "tool per individuare files infetti"?

1) carichi una copia di backup pulita
2) Cancelli il codice aggiunto in ogni pagina


penso che sia a causa di una vulnerabilità di una vecchia versione di XOOPS

[Zio Crick]

Quote:

Originariamente inviato da Bugs Bunny

Cosa significa "tool per individuare files infetti"?

Siccome la prova di caricare un backup sicuramente funzionante l'ho gia' fatta, ma non ha funzionato, ho deciso di provare a reinstallare tutto da capo.
Non vorrei che l'infezione fosse avvenuta molti mesi fa e che si sia manifestata solo adesso.
E' plausibile un'infezione che si scatena dopo mesi dal contagio?

Ma se trovassi un software (tipo antivirus o antimalware) che scansionasse i file del sito (che mi sono copiato in locale) e fosse in grado di rilevare quali files sono stati infettati, potrei ripulirli e restorare il vecchio sito, risparmiandomi cosi, giorni di lavoro, e credo anche l'impossibilita' di ripristinare completamente i contenuti (ma per altri tipi di problemi).
Tieni presente che l'antivirus classico l'ho gia' utilizzato e non ha rivelato nulla.

Inoltre il sito e' stato realizzato con il CMS Xoops e i file da controllare sono una quantita' enorme, e per me che non sono esperto in queste cose, sarebbe improbabile trovare qualcosa (a mano) che non so nemmeno come si presenta.

[juninho85]

prova a vederlo nella cache di google...
google.gw.info;uokill.zh.od.ua...

[Bugs Bunny]

Quote:

Originariamente inviato da Zio Crick

Siccome la prova di caricare un backup sicuramente funzionante l'ho gia' fatta, ma non ha funzionato, ho deciso di provare a reinstallare tutto da capo.
Non vorrei che l'infezione fosse avvenuta molti mesi fa e che si sia manifestata solo adesso.
E' plausibile un'infezione che si scatena dopo mesi dal contagio?

Ma se trovassi un software (tipo antivirus o antimalware) che scansionasse i file del sito (che mi sono copiato in locale) e fosse in grado di rilevare quali files sono stati infettati, potrei ripulirli e restorare il vecchio sito, risparmiandomi cosi, giorni di lavoro, e credo anche l'impossibilita' di ripristinare completamente i contenuti (ma per altri tipi di problemi).
Tieni presente che l'antivirus classico l'ho gia' utilizzato e non ha rivelato nulla.

Inoltre il sito e' stato realizzato con il CMS Xoops e i file da controllare sono una quantita' enorme, e per me che non sono esperto in queste cose, sarebbe improbabile trovare qualcosa (a mano) che non so nemmeno come si presenta.

Forse mi sono spiegato male...

i files del sito non sono infetti. Probabilmente una vulnerabilità del cms xoops ha permesso di compromettere le pagine,ma nel tuo spazio web non risiede alcun file infetto,semplicemente le pagine reindirizzano a siti infetti

[Zio Crick]

Quote:

Originariamente inviato da juninho85

prova a vederlo nella cache di google...
google.gw.info;uokill.zh.od.ua...

Perdona la mia ignoranza, ma non capisco.
Cos'e' la cache di google?

In realta' nei giorni scorsi ho notato che collegandomi al mio sito, faceva dei collegamenti a degli URL che contevano la stringa google.gw.info.
Che significa?

Quote:

Originariamente inviato da Bugs Bunny

Probabilmente una vulnerabilità del cms xoops ha permesso di compromettere le pagine,ma nel tuo spazio web non risiede alcun file infetto,semplicemente le pagine reindirizzano a siti infetti

Questo significa che qualche pagina del mio sito e' stata modificata per poter reindirizzare un sito infetto, giusto?
E' per questo che chiedevo se esistono dei tool che permettono di identificare le pagine modificate.

[juninho85]

Quote:

Originariamente inviato da Zio Crick

Perdona la mia ignoranza, ma non capisco.
Cos'e' la cache di google?

In realta' nei giorni scorsi ho notato che collegandomi al mio sito, faceva dei collegamenti a degli URL che contevano la stringa google.gw.info.
Che significa?


Questo significa che qualche pagina del mio sito e' stata modificata per poter reindirizzare un sito infetto, giusto?

se provi ad andare su google,mettere il tuo sito come chiave di ricerca e selezionando "copia cache" puoi vedere in cosa consistevano le modifiche apportate.

certo che però gestire un sito internet e non conoscere queste cosa,scusa se te lo dico però...

[diabolik74]

sul tuo sito hai un contatore gratuito? se si molto probabilmente è quello lo script infetto. a me è capitato questo.

[juninho85]

non è questo il caso

[xcdegasp]

@ Zio Crick:
se è il sito in firma io non ci vedo nulla che sia malevolo...
l'unica cosa che porta a siti poco noti è solo questa:

Codice:

theme style by <a href="http://petitoops.net/">PetitOOps</a> & modify by <a href="http://singchi.no-ip.com/hack/">RB</a>

che è più che lecita essendo l'autore del tema usato


cmq per controllare i contenuti, nel tuo caso l'hack non avverrebbe sui contenuti ma sul layout caricato perchè come joomla è strutturato a cipolla con il seguente schema (dall'interno all'esterno):
_ css (regola colori, caratteri, dimensioni font, impaginazione)
_ layout (dispone i contenuti)
_ db (esegue le query per ottenere i dati per comporre le pagine dinamiche)
_ contenuti

i contenuti li devi pensare come fosser semplici txt scorporati dall'impaginazione, dal font usato e da dove disporli.
è solo il testo, nulla di più.

quindi se devi disporre un iframe o link a qualcosa di malevolo devi agire su uno dei strati più bassi, ovvero quei strati che rimango immutati per tutte la pagine, quindi css e layout