Joomla.it Forum

Non solo Joomla... => Sicurezza => : sonnyboy 07 Nov 2011, 19:56:23

: AIUTO!!!! controllercertificate.ru
: sonnyboy 07 Nov 2011, 19:56:23

Salve a tutti, il mio sito è stato bucato e sembra che chrome se ne sia accorto ed avvisa il visitatore, il sito è www.enotecailbarocco.it , compare un avviso di malware che fa riferimento a

controllercertificate.ru,

[/size]

non ho capito cosa sia, ho aggiornato dalla 1.5.22 alla 1.5.24 il problema persiste, in allegato lo stamp della pagina che si apre

[/size]

. Grazie

[allegato vecchio più di un anno eliminato da un amministratore]

: Re:AIUTO!!!! controllercertificate.ru
: xplosion 07 Nov 2011, 20:32:33

Niente, a me si vede benissimo.

[allegato vecchio più di un anno eliminato da un amministratore]

: Re:AIUTO!!!! controllercertificate.ru
: sonnyboy 07 Nov 2011, 20:34:30

L'hai aperto con Chrome? il problema si presenta solo con Chrome

: Re:AIUTO!!!! controllercertificate.ru
: xplosion 07 Nov 2011, 20:36:13

Si, anche con Chrome, tutto regolare.

: Re:AIUTO!!!! controllercertificate.ru
: sonnyboy 07 Nov 2011, 20:37:16

Prova a navigare un pò il sito, viene fuori dopo un pò, ho provato con 5 PC, grazie mille

: Re:AIUTO!!!! controllercertificate.ru
: xplosion 07 Nov 2011, 20:41:24

Gia fatto, cliccato su tutte le voci, ho fatto anche un acquisto :)

: Re:AIUTO!!!! controllercertificate.ru
: tomtomeight 07 Nov 2011, 20:45:29

@xplosion

Non mi dire che hai inserto la tua carta di credito ??? Se vera l' infezione rischi grosso.  :)

: Re:AIUTO!!!! controllercertificate.ru
: sonnyboy 07 Nov 2011, 20:52:03

Grazie per l'acquisto :-) non riesco a venirne fuori, stesso errore continuo, grazie cmq.

: Re:AIUTO!!!! controllercertificate.ru
: mau_develop 07 Nov 2011, 20:57:19

però il malware c'è... dove sia non ne ho idea.


20:51:38.740[988ms][totale 988ms] Stato: 200[OK]
GET http://controllercertificate.ru/cyclone/index.php Azione[LOAD_FROM_CACHE  VALIDATE_NEVER  LOAD_REPLACE  ] Dimensioni del contenuto[-1] Mime Type[text/html]
   Richiesta dell'intestazione:
      Host[controllercertificate.ru]
      User-Agent[Mozilla/5.0 (X11; Linux x86_64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1]
      Accept[text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8]
      Accept-Language[it-it,it;q=0.8,en-us;q=0.5,en;q=0.3]
      Accept-Encoding[gzip, deflate]
      Accept-Charset[ISO-8859-1,utf-8;q=0.7,*;q=0.7]
      DNT[1]
      Connection[keep-alive]
   Risposta dell'intestazione:
      Server[nginx]
      Date[Tue, 08 Nov 2011 05:11:12 GMT]
      Content-Type[text/html]
      Transfer-Encoding[chunked]
      Connection[keep-alive]
      X-Powered-By[PHP/5.3.2]
      Content-Encoding[gzip]

M.

: Re:AIUTO!!!! controllercertificate.ru
: sonnyboy 07 Nov 2011, 20:58:45

Che strumenti hai utilizzato?

: Re:AIUTO!!!! controllercertificate.ru
: mau_develop 07 Nov 2011, 21:07:09

un proxi :)

ma esiste un altro valido strumento, vai quì:
http://www.unmaskparasites.com/

metti l'url del tuo sito e fagli fare uno scan...

è uno scan generico e non troverà risultati e ti porta su un'altra pagina dove se cerchi scorrendo verso il basso ci sono i link per altri 2 test, uno dei quali è un check degli hidden links.
guarda il risultato.

M.

: Re:AIUTO!!!! controllercertificate.ru
: xplosion 07 Nov 2011, 21:13:52

: tomtomeight  07 Nov 2011, 20:45:29

@xplosion
Non mi dire che hai inserto la tua carta di credito ??? Se vera l' infezione rischi grosso.  :)

No, intendevo che ho aggiunto un prodotto al carello.

: Re:AIUTO!!!! controllercertificate.ru
: sonnyboy 07 Nov 2011, 21:16:58

Risposta a Mau_develop, se rifai la stessa procedura con qualsiasi sito ti da sempre gli stessi link nascosti

: Re:AIUTO!!!! controllercertificate.ru
: mau_develop 07 Nov 2011, 21:20:01

si scusa ho sbagliato a scrivere, non sono risultati, leggi cosa dice... clicca sul link accanto per fare una dork con google sulle stringhe più comuni....

...hai trovato nulla col test?

M.

: Re:AIUTO!!!! controllercertificate.ru
: sonnyboy 07 Nov 2011, 21:22:04

Non ho trovato nulla, e gli strumenti per i webmaster nei giorni precedenti non hanno trovato alcuna anomalia, uff

: Re:AIUTO!!!! controllercertificate.ru
: sonnyboy 07 Nov 2011, 21:23:01

Altri 3 amici hanno fatto una visita al sito e tutti e tre hanno lo stesso errore, ma perchè qualcuno non lo visualizza???? ma che è???

: Re:AIUTO!!!! controllercertificate.ru
: xplosion 07 Nov 2011, 21:32:10

Ups! Adesso mi e uscito fuori lo stesso tuo messaggio di errore... ma strano che non è uscito subito...
 :(

: Re:AIUTO!!!! controllercertificate.ru
: sonnyboy 07 Nov 2011, 22:31:07

Booooohhhhh!!!! a me l'errore non compare più dopo il riavvio del PC, mah, qualcuno può provare? Grazie.

: Re:AIUTO!!!! controllercertificate.ru
: mau_develop 07 Nov 2011, 22:49:37

..allora, per esserci c'è ancora... è solo cambiata l'url
Host=programs-storage.ru

e ho trovato anche un modo per fartelo vedere quando viene chiamato.
Prova a scaricare un plugin ffox che si chiama "TamperData" e avvialo prima di chiamare il tuo sito...

a me viene il sospetto di qualche banner

M.

: Re:AIUTO!!!! controllercertificate.ru
: sonnyboy 07 Nov 2011, 23:11:23

Ho provato tamper data ma non ci ho capito molto, forse si dovrebbe utilizzare lato administrator? se ti passo le credenziali ti andrebbe di dargli un'occhiata?

: Re:AIUTO!!!! controllercertificate.ru
: sonnyboy 07 Nov 2011, 23:18:17

Ho spulciato per benino, come host mi vengono fuori solo enotecailbarocco.it e google analytics

: Re:AIUTO!!!! controllercertificate.ru
: mau_develop 08 Nov 2011, 13:36:40

secondo me sta peggiorando tutto... ora mi si allerta il firewall per tentativo di scaricamento di malware... mi sa che se non lo metti offline tra poco te lo bannano.

M.

EDIT: ..un'altra cosina....
clicca quì: http://www.google.com/safebrowsing/diagnostic?site=www.enotecailbarocco.it

dice che non ha rilevato nulla, poi però dice che il sito è stato ospitato su....., non riesco a capire se "è stato" è un errore, perchè nel caso sia su quel server attualmente clicca sul link che ti propone e ti accorgi che è ...impestato!
In qs caso quel problema potrebbe non essere sul tuo sito.

: Re:AIUTO!!!! controllercertificate.ru
: sonnyboy 09 Nov 2011, 18:08:04

Ciao Mau, penso che il problema era nel sito, ho caricato un backup di qualche mese fa ed il problema non si è più presentato, la cosa buffa è che Tamper Data rileva ancora host russi e gli stessi li trovo in altri miei domini, prima o poi farò l'upgrade alla 1.7. Grazie tante per la disponibilità e l'aiuto. Ciao.

: Re:AIUTO!!!! controllercertificate.ru
: mau_develop 09 Nov 2011, 18:29:20

beh, io non la trovo tanto buffa, se li vede è perchè passano negli header e quindi da qualche parte vengono ancora linkati.

Il problema che tu lo veda o meno è semplicemente legato al fatto che il link generato da una lista ti conduca o meno ad un sito segnalato come pericoloso...

Se hai il bottone top 100 hai + o - la stessa cosa che fa quel malware, con la differenza che google non mi allerta per un link a j.it poichè è un sito "sano", se venisse bucato o peggio venisse inserito del malware divenendone distributore probabilmente tutte le volte che apro il mio sito vedrei un avviso.

M.