Autore Topic: Sito attaccato da phishing, che fare? (Letto 7264 volte)

hjoomlait · « **il:** 28 Mag 2013, 20:03:52 »

Il mio hosting mi ha comunicato ieri che un mio sito è stato oggetto di un attacco di phishing. In pratica, sembra che qualcuno lo abbia bucato per inviare spam. Io ho cancellato tutto, sia la directory FTP che il database SQL, ho ripristinato il sito dal mio ultimo backup e ho cambiato le password. Al controllo di Sucuri Malware Removal il sito risulta adesso pulito, ma quando tento di aprirlo Avast mi segnala ancora l'URL infetto e me lo blocca. E soprattutto non so come rimuoverlo dalle blacklist in cui è stato inserito. Cercando su Google blacklist + nome del dominio finisco su directory e subdirectory che non portano da nessuna parte, e inoltre ho paura che adesso chi ha segnalato il sito possa rivalersi su di me o accusare me di essere il truffatore. Che fare? Per favore evitiamo risposte del tipo "te l'avevo detto", "la sicurezza non s'improvvisa" o "dovevi pensarci prima, peggio per te".

mau_develop · « **Risposta #1 il:** 28 Mag 2013, 20:10:15 »

http://forum.joomla.it/index.php/topic,201260.0.html

hjoomlait · « **Risposta #2 il:** 28 Mag 2013, 20:18:10 »

Io ho cancellato TUTTO il sito corrotto, inoltre quelli della compagnia di hosting dicono che sulla loro macchina riescono ad aprirlo.... strano... mi hanno detto che dopo aver rimosso tutti i file malevoli, avrei dovuto essere io a ripristinarlo risettando i permessi della cartella FTP a 755. Beh, i permessi della nuova cartella (perché ne ho installata una nuova di zecca) sono esattamente a 755, solo che il sito dal mio PC ancora non parte.... può esserci qualcosa legato all'URL, all'IP su cui magari io non possa intervenire direttamente?

mau_develop · « **Risposta #3 il:** 28 Mag 2013, 21:01:08 »

si capisce nulla ne di quello che hai fatto ne di che problemi hai ora
non si capisce se hai problemi con joomla o con l'hosting

hjoomlait · « **Risposta #4 il:** 28 Mag 2013, 21:21:16 »

Ho cancellato tutta la directory FTP e il database SQL e li ho reinstallati dal mio utimo backup. Il sito all'esame di Sucuri Malware Removal risulta ora pulito, quelli del servizio assistenza dell'hosting dicono che riescono ad aprirlo, io no perché Avast continua a segnalarmi l'URL come infetto. Chiaro adesso?

mau_develop · « **Risposta #5 il:** 28 Mag 2013, 21:44:04 »

di più...
quindi o hai un virus in locale o qualcosa si è "memorizzato" in avast.
o qualcosa si è memorizzato nella cache del tuo browser e viene restituito dalla cache invece che dal sito

attenzione ai cookies di flash

hjoomlait · « **Risposta #6 il:** 28 Mag 2013, 23:18:18 »

il virus in locale posso tranquillamente escluderlo, perché ho già effettuato una scansione del PC. Idem per la cache del browser, che ho già svuotato. Non riesco ad accedere nemmeno via proxy....

mau_develop · « **Risposta #7 il:** 29 Mag 2013, 09:18:41 »

prova con burp suite a vedere cosa succede negli headers o a mettere un proxi su uno spazio web per vedere se da li lo raggiungi.
Non hai qualche blocco nel router... magari ha un Fw
Hai provato a pingarlo o a fare un traceroute? .. su un server condiviso non ti da una risposta "completa" ma vedi dove arriva la tua richiesta e se viene dirottata

hjoomlait · « **Risposta #8 il:** 29 Mag 2013, 13:32:17 »

E il blocco del router capiterebbe giusto e solo con QUEL sito appena attaccato e poi ripristinato? Strano... Boh.... per il momento ho segnalato l'URL ad Avast come falso positivo, la cosa più probabile è che avendolo trovato infetto una volta lo abbia "memorizzato" come tale e ora me lo blocchi sempre... dovrebbe tener conto dell'esclusione ai prossimi aggiornamenti automatici... vediamo fra qualche giorno che succede....

cimbali · « **Risposta #9 il:** 05 Ott 2013, 11:14:57 »

ciao come ti è finita poi? anche sto avendo un problema ma solo con google, nel pannello di controllo mi spuntani amministratori in più e se clicco su di essi google mi dice
Attenzione: possibile tentativo di phishing!
Il sito web all'indirizzo www.cimbalicoperture.altervista.org contiene elementi di siti segnalati come siti "di phishing". I siti di phishing sono siti che inducono gli utenti a rivelare informazioni personali o finanziarie, spacciandosi spesso per istituzioni affidabili, come delle banche.

[/size]Phishinghttp://www.cimbalicoperture.altervista.org/administrator/index.php?option=com_users&view=user&layout=edit&id=132 Sono consapevole che accedendo a questo sito potrei danneggiare il mio computer. [color=rgba(33, 33, 33, 0.490196) !important]Procedi comunque[/color][/color]Indietro[/font][/font][/size]

hjoomlait · « **Risposta #10 il:** 05 Ott 2013, 18:08:24 »

Dopo aver ripulito tutto, mi sono rivolto a un servizio online (a pagamento) per la rimozione dalle blacklist, cerca su Google "website malware removal" e ne escono tanti

hjoomlait · « **Risposta #11 il:** 05 Ott 2013, 18:10:03 »

Se dal pannello di Joomla ti spuntano amministratori in più cancellali tutti e poi cambia tutte le password compresa quella del database SQL.

Autore Topic: Sito attaccato da phishing, che fare? (Letto 7264 volte)

hjoomlait

Sito attaccato da phishing, che fare?

mau_develop

Re:Sito attaccato da phishing, che fare?

hjoomlait

Re:Sito attaccato da phishing, che fare?

mau_develop

Re:Sito attaccato da phishing, che fare?

hjoomlait

Re:Sito attaccato da phishing, che fare?

mau_develop

Re:Sito attaccato da phishing, che fare?

hjoomlait

Re:Sito attaccato da phishing, che fare?

mau_develop

Re:Sito attaccato da phishing, che fare?

hjoomlait

Re:Sito attaccato da phishing, che fare?

cimbali

Re:Sito attaccato da phishing, che fare?

hjoomlait

Re:Sito attaccato da phishing, che fare?

hjoomlait

Re:Sito attaccato da phishing, che fare?