Salve a tutti!
Dopo più di 4 anni di calma è arrivato l'immancabile attacco ad uno dei siti che gestisco.
www.insolitaguida.itGrazie ai consigli letti in questo forum ho individuato con TamperData due stringhe "anomale"
17:38:12.109[233ms][totale 233ms] Stato: 304[Not Modified]
GET http://drupaltestare.altervista.org/code.js Azione[LOAD_NORMAL] Dimensioni del contenuto[-1] Mime Type[application/x-unknown-content-type]
Richiesta dell'intestazione:
Host[drupaltestare.altervista.org]
Cookie[__utma=32141806.1700393492.1325845850.1325845850.1325845850.1; __utmz=32141806.1325845850.1.1.utmcsr=facebook.com|utmccn=(referral)|utmcmd=referral|utmcct=/l.php]
Cache-Control[max-age=0]
Risposta dell'intestazione:
Date[Mon, 19 Mar 2012 16:38:18 GMT]
Server[Apache]
Connection[Keep-Alive]
Keep-Alive[timeout=1, max=100]
Etag["13f6ac5-85-4bb9766620bc0"]
17:38:12.351[316ms][totale 316ms] Stato: 499[Request has been forbidden by antivirus]
GET http://popmpqub.in/t/a92b21c45c3ef0827e3dcf9c20972ec7 Azione[LOAD_DOCUMENT_URI ] Dimensioni del contenuto[2728] Mime Type[text/html]
Richiesta dell'intestazione:
Host[popmpqub.in]
User-Agent[Mozilla/5.0 (Windows NT 6.1; WOW64; rv:11.0) Gecko/20100101 Firefox/11.0]
Accept[text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8]
Accept-Language[it-it,it;q=0.8,en-us;q=0.5,en;q=0.3]
Accept-Encoding[gzip, deflate]
Connection[keep-alive]
Referer[http://www.insolitaguida.it/]
Risposta dell'intestazione:
Connection[close]
Content-Length[2728]
Content-Type[text/html]
Server[KIS/9.0]
La seconda di sicuro è un virus ( bello forte pure ) rilevato da kaspersky in fase di navigazione.
Ora che si fa?
Come riesco ad individuare il tutto?
Ho pensato di fare un download dell'intero sito e controllare con kaspersky ....
non saprei cos'altro fare ( visto che dagli ultimi backup puri le modifiche apportate sono tantissime)
