Warning: file_get_contents(http://pop.robingood.it/transfer_data.php?a=) [function.file-get-contents]: failed to open stream: Host is down in [path]/global.php(238) : eval()'d code on line 23
POP Forum - Sito bloccato come malevolo
POP Forum

POP Forum (http://forum.masternewmedia.it/)
-   Penalizzazione Google (http://forum.masternewmedia.it/penalizzazione-google/)
-   -   Sito bloccato come malevolo (http://forum.masternewmedia.it/penalizzazione-google/1146-sito-bloccato-come-malevolo.html)

Paolo Guidonia 12-14-2009 11:21
Sito bloccato come malevolo
 
Ragazzi, stamattina bella sortita:
il mio sito di punta pop blues : piano : jazz improvisation : music harmony è bloccato da google e da stopbadaware perché ritenuto malevolo.
Presumo che dipenda dal hosting su cui si trova (aruba). Infatti dice che ci sono su quel server parecchi siti infetti.
:(

Dategli una occhiata e se potete, aiutatemi a capire

Grazie

Paolo Guidonia 12-14-2009 14:32
Incredibile:
nella home c'era un codice javascript che non ho inserito io!
Vedo che su quel server di aruba ce ne sono a centinaia di siti bucati così!
Speriamo che era quello i problema, comunque, se fosse quello, quelli di aruba stanno bene così...30 minuti e sono oltre oceano.
Per ora ancora non rispondono al mio ticket e io sto rischiando di bruciaro un sito a cui lavoro da quasi 5 anni: il mio miglior sito!

ultrastudio 12-14-2009 15:03
Ciao Paolo, leggendo le spiegazioni offerte da Google risulta che il 13 dicembre a fronte di una scansione è stato individuato uno script in 1 pagina che ha scaricato 2 malware (non vengono specificati quali).

Dall'analisi sembra che sul tuo stesso server (AS31034 (ARUBA)) siano stati individuati due domini in cui il malware è presente: cdgdcnatwe[dot]com, deguqojlev[dot]com.

In sostanza, credo che tu abbia subito un tipico defacciamento:
  1. Controlla i file sull'FTP, soprattutto index.htm, index.html, index.php e default.asp (quest'ultimo se usi un sito scritto in ASP). Se li apri con un editor di testi tipo Notepad (PSPad, Notepad++, TextWrangler et similia) dovresti vedere che il codice delle pagine è stato sostituito con un rigo costituito probabilmente da un tag SCRIPT che tramite un redirect Javascript permette di scaricare direttamente un file esecutivo per Windows o un file del Prompt (più probabile).
  2. Usa un back-up per ripristinare i file eventualmente corrotti, possibilmente qualcosa presente sui tuoi computer in locale e sicuramente non infetto, cancellando prima dalla root dell'hosting tutti i file presenti e trasferendo in seguito quelli sani (ahimé, è il metodo più sicuro).
  3. Assicurati anche che su gli eventuali database non siano presenti stringhe in quei campi che permettono l'inserimento di codice HTML.
  4. Non so che CMS usi, ma ricordati eventualmente, dopo aver effettuato il ripristino dei file ed il controllo del database di effettuare una ricerca per eventuali aggiornamenti.
  5. Contatta comunque Aruba: soprattutto se hai tenuto aggiornato il tuo CMS e se non hai tu caricato dei file strani sul tuo spazio hosting. L'hoster ha l'obbligo di garantire una certa sicurezza (anche di domenica) e di monitorare la presenza di virus sul server: segnala la presenza dei malwara provenienti dai due domini segnalati da Google.
Una volta che riesci ad accedere alla tua homepage senza veder impazzire il tuo antivirus, o aspetti che Google effettui la scansione (ed immagino che tu ce l'abbia giornaliera) o tramite i Webmaster Tools fai ripassare il crawler.

ultrastudio 12-14-2009 15:14
Beh, in somma, mentre scrivevo la risposta, che ti avevano defacciato il sito lo hai capito da solo. Sono troppo lento a scrivere...

Comunque i defacciamenti possono capitare a qualsiasi hosting e non solo a quelli, anche ai server virtuali o a quelli dedicati: sono una delle forme di attacco più diffuse ai siti internet e colpiscono un po' tutti. Quindi non è detto che se trasferisci i tuoi servizi negli USA la cosa migliori, anzi ti ritroveresti che in caso di controversia con l'hoster non sapresti come sbattere la testa: in Italia, per quel che vale, se ti fanno un danno, non devi pagare un volo d'aereo per procurarti un legale.

Aruba non ti risponde? Se otterrai risposta sarà sul tipo "problema risolto", oppure "legga la tale knowledge page e si arrangi un po' da solo", o peggio "ha pensato di passare ad un nostro server dedicato a partire da 300 euro l'anno...". Ci sono tanti hoster in Italia...

Paolo Guidonia 12-14-2009 20:36
Sei gentilissimo claudio, grazie

Cross side scripting.

In un sito trusted (il mio, che onore!:() un cattivone inserisce (e qui il vero problema! capito aruba? ...ce ne sono a dozzine sulla mia macchina! che coincidenza!:eek:) del codice malware che scarica troiani e simili tramite altri siti.

Google sgama tutto e blocca il sito in collaborazione con stopbadaware.

Ho trovato il codice (ce l'ho qui salvato ma non lo pubblico ---forse domani con delle modifiche per renderlo innocuo -mo robin me banna! :D ) e l'ho rimosso.
Chiesta revisione a google e stopbadaware, promosso :p e ora aspetto.
Nel webmaster tool è scomparso il messaggio in rosso di errore ma nella serp ancora è bloccato.
Intanto sto facendo le valigie...
Sapete quale è stata la risposta del vero protagonista (a mio avviso) della spiacevole vicenda che può capitare a chiunque?
Visita la guida a questo link.
Il lnk porta anche ad una pagina non trovata!

Sto preparando le valigie.
Bah!

Secondo me qualcuno ha avuto accesso alla root della macchina e può fare e sta facendo come vuole.

Paolo Guidonia 12-14-2009 21:05
Ore 21 sito ributtato dentro!
Lui è stato clemente, rendiamo omaggio


Tutti gli orari sono GMT +2. Attualmente sono le 06:02.


Copyright IKONOS sas 2008-{2}


Content Relevant URLs by vBSEO 3.2.0