|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
@tamagon :
Probabilmente, anche il tuo pc.
|
|
Rank: AiutAmico
Iscritto dal : 3/6/2009
Posts: 2,913
|
ho analizzato il log di hjt online e risulta ok,domani farò una scansione con malwarebytes e posto il log se trova qualcosa,comunque per ora non noto problemi
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
@tamagon Scarica MBR:EXE direttamente nella Directory C:\ (Devi scaricarlo obligatoriamente in C: ) http://www2.gmer.net/mbr/mbr.exeClicca Start Clicca Esegui... Digita: cmdsi apre la finestra DOS, digita: CD \ premi invio digita: mbr -f (fai il Copia-Incolla) premi invio Poi digita: exitpremi invio Riavvia il pc Posta qui il contenuto del log C:\mbr.log
|
|
Rank: AiutAmico
Iscritto dal : 3/6/2009
Posts: 2,913
|
ho scaricato quello che dici tu,l'ho salvato e devo eseguirlo?perchè mi dice che non è riconosciuto come comando
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Entra in modalità provvisoria. Fai: da Start - Esegui - digita (fai il copia-incolla) C:\mbr.exe -f e clicca su OK Riavvia il pc. Posta il log, che troverai in C: Ecco il mio MBR infetto: Code:Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.netdevice: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK copy of MBR has been found in sector 22 ! copy of MBR has been found in sector 23 !
|
|
Rank: AiutAmico
Iscritto dal : 3/6/2009
Posts: 2,913
|
ciao r16,ci sentiamo domani,per ora non riesco ad eseguire quello che mi dici,non ci riesco 
|
|
Rank: AiutAmico
Iscritto dal : 3/6/2009
Posts: 2,913
|
è questo? Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.netdevice: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK a domani r16 grazie
|
|
Rank: AiutAmico
Iscritto dal : 6/20/2008
Posts: 7,111
|
Ho aperto poco fa con Mint 7 e Firefox il sito "www.silvioizzolino.altervista.org" (naturalmente senza virgolette), battendo l'indirizzo nel browser (non ho perciò usato i link di Google) e sembra che sia tutto regolare.
Cliccando invece sul link di Google "A Daniela" viene caricata una fetecchia!!
Ciao.
|
|
Rank: AiutAmico
Iscritto dal : 10/14/2008
Posts: 2,777
|
ho provato (in cdlive ehehehe)ad entrare tramite google e mi si è subito aperta la finestra del rogue che mi diceva che avevo il pc infetto.ma solo la prima volta,alle successive nulla.temo che chiunque si avvicini tramite google avra' una brutta sorpresa.vorrei provare wot che ne pensa,lo faro' quando tornero' in win,naturalmente senza cliccare nulla.
@r16:ha copiato l mbr sano cosi' ad un analisi risulta a posto?
|
|
Rank: AiutAmico
Iscritto dal : 4/13/2004
Posts: 1,376
|
Ragazzi non so a chi potrà essere utile ma penso che un forum come questo più informazioni abbia meglio è. Scritto sul forum di altervista e mi si risponde: Hai contattato altervista per richiedere assistenza scrivendo qui sul forum.
Il problema comunque non riguarda ne AV ne tantomeno google.
Il tuo sito fa un controllo sul referer il quale, se proveniente da google, fa un redirect verso un dominio esterno: p3p0.com
Facendo una breve ricerca su google ho trovato questo: http://forum.joomla.it/index.php/top...html#msg410414
Qui troverai anche il modo di rimediare. sono andato sul link segnalato, che riguarda il forum di joomla, e che vi posto meglio: http://forum.joomla.it/index.php/topic,93532.0.htmle ora sto vedendo di capirci qualcosa. Potrei nel frattempo piallare lo spazio e reinstallare il vecchio sito per verificare se gli script maligni siano effettivamente riconducibili a joomla. Formattare la macchina (non è un problema ho varie immagini fatte con reflect) pulire tutto il disco dati e rifare tutto il sito joomla di nuovo in locale e poi trasferirlo sul server. Il problema grosso sta proprio in questa ultima operazione. Questo lo dico per qualcuno che avesse la malaugurata idea di installare un sito in joomla su altervista. Nel suo spazio gratis altervista mette a disposizione un database assolutamente insufficiente anche se si porta a livello due. Ma la cosa più grave è che non si può cancellare se non eliminando tabella per tabella e con le limitate query/ora per cancellarlo ci vogliono almeno tre ore. Ora mi leggo bene il forum di joomla e poi stabilisco che fare, nel frattempo mi piacerebbe sapere da r16 se mi consiglia di formattare comunque la macchina indipendentemente dalla decisione che prenda in seguito. Un caro saluto a tutti Silvio ps: ora dal mio pc sia con win sia con mint se clicco sui link incriminati non si apre più la schermata che blocca il computer ma questa schermata:  forse una volta infettato è mosso a pietà! Niente da fare, ho fatto un ulteriore prova dal lavoro con lo stesso pc ma chiaramente cambiando router e il problema persiste sempre.
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Ciao Silvio. Dunque, cliccando sul link da te postato, ho preso il Rootkit al MBR (Master Boot Record). Il Rootkit, entra in azione, anche se non si scarica niente. E' nascosto nella pagina principale del sito. (script nascosto) Potresti fare una verifica, se hai l'MBR infetto, facendo l'operazione che ho consigliato a tamagon : Scarica MBR:EXE direttamente nella Directory C:\ (Devi scaricarlo obligatoriamente in C: ) http://www2.gmer.net/mbr/mbr.exeda Start - Esegui - digita (fai il copia-incolla) C:\mbr.exe -f e clicca su OK Riavvia il pc. Posta il log, che troverai in C:@tamagonIltuo MBR, è a posto. @paolopa Non ho capito la domanda.
|
|
Rank: AiutAmico
Iscritto dal : 4/13/2004
Posts: 1,376
|
Caro r16 non so come farmi perdonare... se vieni a Berlino hai birra pagata e tour per la città.
Farò quanto consigliatomi però se riesco bene se no ciccia (non sono un falco in queste cose per questo lavoro preferibilmente con linux). Se ho grossi problemi formatto tutto, in genere faccio sempre così invece di perdere tempo in mezz'ora ho tutto come nuovo grazie a reflect. E questa volta gli farò soprascrivere anche l'mbr tanto poi da linux mi recupero il dualboot.
Ho ripulito però il server e ci ho reinstallato il vecchio sito per cui alla controprova i link sono perfettamente funzionanti e senza rischio. Risulta evidente che qualche ospite indesiderato si era introdotto in joomla. Strano perchè ho esaminato il backup dell'installazione con malawarebytes e non risultava nulla.
Ti ringrazio infinitamente della pazienza e della disponibilità.
Ti farò sapere il risultato di quanto mi hai consigliato di fare.
Ciao e.... ricordati della birra
Silvio
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Commenta:Caro r16 non so come farmi perdonare... Ma và......non c'è niente da perdonare !  Sono cose che succedono, e non è colpa tua. E in ogni caso, il problema l'ho risolto in 10 minuti. Comunque, se l'MBR è a posto, e il pc non ti dà problemi, inutile formattare. Aspeta a rompertela, la testa, prima di fasciartela. Però, fai quella operazione che ti ho consigliato. La scansione, dura pochi secondi.
|
|
Rank: AiutAmico
Iscritto dal : 10/14/2008
Posts: 2,777
|
ciao r16
"copy of MBR has been found in sector 22 !"
"copy of MBR has been found in sector 23 !"
mi riferisco a questo che ti ha trovaro gmer,e mi chiedevo se quelle copie dell mbr fossero state fatte dal rootkit per far sembrare tutto a posto ad un analisi sommaria.
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
@paolopa .
Sì sono state fatte dal rootkit.
Nel mio caso, non ha avuto molto tempo a disposizione, e cosa molto importante, non ho riavviato il pc, che avrebbe confermato, le modifiche all'MBR.
Infatti, quando hai visto l'infezione che partiva,la tentazione di spegnere il pc, viene d'istinto.
Se avessi spento il pc, il danno sarebbe stato superiore.
|
|
Rank: AiutAmico
Iscritto dal : 4/13/2004
Posts: 1,376
|
Il responso: Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.netdevice: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK .... Ich habe angst!
|
|
Rank: AiutAmico
Iscritto dal : 4/13/2004
Posts: 1,376
|
Ecofive mi ha confermato che adesso i link sono puliti ma temo per il mio mbr ...
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
ilrestodiniente ha scritto:Ecofive mi ha confermato che adesso i link sono puliti ma temo per il mio mbr ... No, niente paura, l'MBR è a posto. Puoi eliminare MBR da C: compreso il log. Però, una cosa mi chiedo: perchè è successo a me? Se fosse possibile, mi riscriveresti quel link in privato? (MP)
|
|
Rank: AiutAmico
Iscritto dal : 4/13/2004
Posts: 1,376
|
Non saprei r16 dal momento che io i due link li ho aperti anche con win e tu mi dici che non mi è successo niente. Ti posso rimandare i link ma temo (spero) siano puliti oramai. Come ti ho detto ho piallato il server e ho messo il mio vecchio sito realizzato solo con i fogli di stile e senza joomla. Adesso aprono regolarmente le pagine. Te li invio qui scritti in maniera che non possano provocare danni se ancora infetti:  digitando nella casella di google "silvio izzolino" i link incriminati erano i primi due che vedi nella lista "A Daniela" e "Index" Grazie ancora e la birra vale sempre Silvio con up ho tentato già tre volte di inserire l'immagina ma non la inserisce... non saprei dirti l'ho sempre fatto! Comunque puoi raggiungere i link come ti ho spiegato
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
I link adesso sono puliti. Và beh....vallo a capire perchè il fottuto rootkit ce l'aveva con me.... Forse voleva che mi bevessi una birra alla tua salute..... 
|
|
|
Guest |