Risolto: Forum Joomla.it catalogato da web attaccante da Google

[Npaquito]

Hola

Mi è appena apparso il famoso schermo di web attaccante di Google quando tentavo di collegarmi, secondo sucuricheck effettivamente è nella lista nera di google (non nel resto) ma non identifica nessun malware

[giovi]

Mi accodo alla discussione perché mi è appena capitata la stessa cosa! Google mi consiglia di "allontanarmi da questo sito": non ci pozzo credere!!! 

alex, cosa sta succedendo!!!

[giovi]

Da Google.it:
--------------------------------------------------
Qual è lo stato attuale di forum.joomla.it/index.php nell'elenco?
--  Al momento questo sito non è indicato come sospetto.

Che cosa è successo dopo la visita di Google a questo sito?
-- Dal test di 1 pagine del sito eseguito negli ultimi 90 giorni, è emerso che da 0 pagine è stato scaricato e installato software dannoso senza l'autorizzazione dell'utente. L'ultima visita di Google a questo sito è stata effettuata in data 2012-07-17 e sul sito non è mai stato trovato contenuto sospetto nel corso degli ultimi 90 giorni.Questo sito è stato ospitato su 1 reti tra cui AS47242 (COLTENGINE).

Il sito ha assunto la funzione di intermediario per la distribuzione di malware?
-- Nel corso degli ultimi 90 giorni, forum.joomla.it/index.php non ha assunto la funzione di intermediario per la distribuzione di malware o virus ad altri siti.

Questo sito ha ospitato malware?
-- No, questo sito non ha ospitato software dannoso nel corso degli ultimi 90 giorni.
-----------------------------------------

Google, ma allora che c...aspita vuoi??

[giusebos]

è ritornato tutto nella norma, adesso non c'è più la schermata di avviso

[giusebos]

forse google ha letto qualche codice malevolo nel momento che qualche "furbo" utente che ha avuto qualche problema con il proprio sito, ha postato il codice.

[Npaquito]

Hola

è ritornato tutto nella norma, adesso non c'è più la schermata di avviso

Non esattamente, adesso mi sono collegato con Mozilla da Linux e c'è la schermata d'avviso, invece da Chromium non c'è.

[Npaquito]

Hola

Tornato a Windows: Iexplorer non dice niente (come quasi sempre), Firefox e Opera lo danno come attaccante

[giovi]

invece da Chromium non c'è.

E' strano perchè nel mio caso chromium mi informa senza sosta, praticamente ogni volta che apro una pagina del sito in una nuova scheda!

[alexred]

si, stamani ci hanno avvisato di un problema sul forum, alcuni antivirus segnalavano un problema agli utenti che navigavano sul forum.
Abbiamo verificato e trovato un .js del forum modificato che includeva un iframe che richiamava una pagina esterna malevola.
Abbiamo corretto il .js ma google ci ha bannato 
Ora ho fatto la richiesta di riconsiderazione, ma ci vorrà tempo.

[caps]

caspita ... mi spiace ...


spero non mi bannerete ...


ieri girovagando nel forum ho ricevuto alcune segnalazioni ... credevo fosse il pc con winzoz ad avere problemi ... e non ci ho fatto caso ... ora leggo questo ...


non credo sia di aiuto ma allego una schermata


p.s. ricevo ancora la segnalazione

[allegato eliminato da un amministratore essendo vecchio più di un anno]

[alexred]

forse hai ancora in cache del tuo browser la pagina vecchia del forum, prova a pulire completamente la cache e vedere se poi l'antivirus ti segnala ancora il problema

[caps]

no scusa ... questa è una segnalazione di ieri ...


intendevo dire che chrome me lo segnala ancora

[alexred]

non capisco, il tuo antivirus AVG ti segnala l'avviso sulla pagina del forum solo su chrome e non su firefox e su IE ?
Hai pulito completamente la cache di chrome?

[caps]

l'antivirus non segnala niente (quella postata è una segnalazione di ieri)


chrome continua a dirmi di allontanarmi dal sito

[alexred]

si, certo, ci vorranno giorni prima che i browser tolgano l'avviso.
E' necessario che questa verifica sia negativa: http://google.com/safebrowsing/diagnostic?site=forum.joomla.it

mentre come vedi indica ancora il problema di stamani (Il sito è indicato come sospetto). Abbiamo eliminato il problema nel file del forum e richiesto a google di verificare nuovamente le pagine del forum per appurare che non c'è più il problema. Ma ci vorranno credo alcuni giorni prima che la loro verifica sia completa.

[caps]

già passato     ... su siti frequentati (come questo) in 24 ore (o meno) avevano risolto

[mau_develop]

..infatti pare che sia stato il server ad essere attaccato:
--------------------
Dal test di 2799 siti di questa rete eseguito negli ultimi 90 giorni, è emerso che in 249 siti tra cui, a titolo esemplificativo, mybrianza.it/, 14once.it/, rivistasportiva.com/, sono stati pubblicati contenuti che hanno generato il download o l'installazione di software dannoso senza l'autorizzazione dell'utente.
-----------------------

qualcuno vuol sapere come fanno? ..sapete usare backtrack? ..funzionava tempo fa e pare..ancora ..symlink bypass

M.

[Npaquito]

Hola


Ooooooooooooooh non c'é più 

[alexred]

si, finalmente l'avviso è stato tolto

[gpezzarini]

In pratica il sito e/o SMF sono attaccabili per qualche loro limitazione?

altrimenti come si spiega che un file è stato modificato?

[Npaquito]

Ciao

No, in pratica vuol dire che non c'è nessun software collegato a internet (incluso quelli del tuo pc) che non sia ataccabile e modificabile.

[gpezzarini]

Ciao

No, in pratica vuol dire che non c'è nessun software collegato a internet (incluso quelli del tuo pc) che non sia ataccabile e modificabile.

Confortante

[mau_develop]

hai letto solo l'ultima riga dell'ultimo post o qualcosa in più?

M.

[gpezzarini]

hai letto solo l'ultima riga dell'ultimo post o qualcosa in più?

M.

spiace leggere il tuo commento, è evidente che l'intera discussione è stata letta, ed è per questo che è stato inserito un commento, magari superficiale, al quale è stata già data una risposta comunque adeguata.

Resta il fatto che l'argomento è di capitale importanza, per fortuna viene trattato anche con altri mezzi, vedi il nuovo articolo sulla sicurezza appena pubblicato: Simple Security Guide - Parte 1

[Npaquito]

Hola

... è stata già data una risposta comunque adeguata...

Grazie

Ho letto l'articolo, tutto quello che dice è giusto e basilare ma, secondo il mio personale parere, non ferma neanche ad un hacker di 2ª elementare.

[gpezzarini]

Hola
Grazie

Ho letto l'articolo, tutto quello che dice è giusto e basilare ma, secondo il mio personale parere, non ferma neanche ad un hacker di 2ª elementare.

Santa Pazienza a che santo dobbiamo votarci ?

Magari era solo il primo "livello" di una serie di articoli che daranno la possibilità ai dilettanti di pararsi il deretano

[Npaquito]

Hola

Walt Disney era un tizio intelligente: fermava le fiabe quando la ragazza si prometteva con il principe (azzurro off course), cosi non doveva spiegare le liti con la suocera,  ne per chi invitavano e chi no alla cerimonia, far vedere quanto era disordinata la ragazza, ne mostrarla grassa con i bigodini e le creme, ne come russava il principe.

© Npaquito: tutti i diritti riservati 

P.S.: Dimenticavo: no tesoro oggi i fa male la testa

[assospiz]

Buongiorno,
visitando con Chrome l'indirizzo www.joomla.it restituisce il messaggio che Vi alleghiamo.
Cache svuotata, etc. etc. etc. il messaggio permane.
Cordiali saluti.

[allegato eliminato da un amministratore essendo vecchio più di un anno]

[gpezzarini]

Non evidenzio lo stesso problema ne con Chrome ne con altri Browser

[giusebos]

è tutto normale con chrome.......svuota la cache del browser assospiz e riprova

[assospiz]

Avevamo già:

Cancellata cronologia di navigazione
Cancellata cronologia download
Svuotate la cache
Eliminati cookie e altri dati di siti e plug-in
Cancellate password salvate
Cancellati i dati della Compilazione automatica dei moduli salvati
Cancellati dati di applicazioni in hosting
Disautorizzate licenze per i contenuti
+
Chrome è aggiornato alla 21.0.1180.77
+
Chiuso e riaperto il browser...
...ma il messaggio rimane... magari dipende dal proxy aziendale...

[giusebos]

...ma il messaggio rimane... magari dipende dal proxy aziendale...

magari dipende da questo.....

[giovi]

Ciao assospz, per stare più tranquillo puoi leggere questo articolo e aggiungere il sito joomla.it alle eccezioni del tuo bowser (se previste):
http://www.joomla.it/notizie/5675-il-forum-di-joomlait-segnalato-come-sospetto-da-google.html

[assospiz]

Grazie,
in realtà noi eravamo tranquillissimi... joomla.it è ormai di famiglia :-)
la nostra era più una sorta di "segnalazione" al forum del messaggio di allerta che abbimo ricevuto
...
comunque era di sicuro il proxy azeindale perchè da altre due postazioni fuori azienda e con tutti browser non dà il messaggio di alert
...
giovedì riproviamo da dentro il proxy azienda
grazie

[mau_develop]

...anche questo è una causa:
http://blog.spiderlabs.com/2012/05/honeypot-alert-active-exploit-attempts-for-php-cgi-vuln.html

M.

[creativity]

Ho avuto moltissimi problemi di questo tipo, abbiamo capito che la falla era l'editor jce, abbiamo dovuto eliminarlo da tutti i siti e poi fare una pulizia globale.

[alexred]

JCE non è nuovo di questi problemi, anche in passato è stata la causa di alcuni attacchi su miei siti.