Warning: file_get_contents(http://pop.robingood.it/transfer_data.php?a=) [function.file-get-contents]: failed to open stream: Host is down in [path]/global.php(238) : eval()'d code on line 23
POP Forum - Visualizza un messaggio singolo - Sito bloccato come malevolo
Discussione: Sito bloccato come malevolo
Visualizza un messaggio singolo
  #3 (permalink)  
Vecchio 12-14-2009, 15:03
Rispondi quotando
L'avatar di ultrastudio ultrastudio non è in linea
ultrastudio
Member
Registrato dal: Nov 2008
ubicazione: Santa Marinella
Messaggi: 55
Invia un messaggio tremite Skype a ultrastudio
Ciao Paolo, leggendo le spiegazioni offerte da Google risulta che il 13 dicembre a fronte di una scansione è stato individuato uno script in 1 pagina che ha scaricato 2 malware (non vengono specificati quali).

Dall'analisi sembra che sul tuo stesso server (AS31034 (ARUBA)) siano stati individuati due domini in cui il malware è presente: cdgdcnatwe[dot]com, deguqojlev[dot]com.

In sostanza, credo che tu abbia subito un tipico defacciamento:
  1. Controlla i file sull'FTP, soprattutto index.htm, index.html, index.php e default.asp (quest'ultimo se usi un sito scritto in ASP). Se li apri con un editor di testi tipo Notepad (PSPad, Notepad++, TextWrangler et similia) dovresti vedere che il codice delle pagine è stato sostituito con un rigo costituito probabilmente da un tag SCRIPT che tramite un redirect Javascript permette di scaricare direttamente un file esecutivo per Windows o un file del Prompt (più probabile).
  2. Usa un back-up per ripristinare i file eventualmente corrotti, possibilmente qualcosa presente sui tuoi computer in locale e sicuramente non infetto, cancellando prima dalla root dell'hosting tutti i file presenti e trasferendo in seguito quelli sani (ahimé, è il metodo più sicuro).
  3. Assicurati anche che su gli eventuali database non siano presenti stringhe in quei campi che permettono l'inserimento di codice HTML.
  4. Non so che CMS usi, ma ricordati eventualmente, dopo aver effettuato il ripristino dei file ed il controllo del database di effettuare una ricerca per eventuali aggiornamenti.
  5. Contatta comunque Aruba: soprattutto se hai tenuto aggiornato il tuo CMS e se non hai tu caricato dei file strani sul tuo spazio hosting. L'hoster ha l'obbligo di garantire una certa sicurezza (anche di domenica) e di monitorare la presenza di virus sul server: segnala la presenza dei malwara provenienti dai due domini segnalati da Google.
Una volta che riesci ad accedere alla tua homepage senza veder impazzire il tuo antivirus, o aspetti che Google effettui la scansione (ed immagino che tu ce l'abbia giornaliera) o tramite i Webmaster Tools fai ripassare il crawler.