Joomla.it Forum

Non solo Joomla... => Sicurezza => Topic aperto da: sonnyboy - 07 Nov 2011, 19:56:23

Titolo: AIUTO!!!! controllercertificate.ru
Inserito da: sonnyboy - 07 Nov 2011, 19:56:23
Salve a tutti, il mio sito è stato bucato e sembra che chrome se ne sia accorto ed avvisa il visitatore, il sito è www.enotecailbarocco.it , compare un avviso di malware che fa riferimento a
controllercertificate.ru,
[/size]
non ho capito cosa sia, ho aggiornato dalla 1.5.22 alla 1.5.24 il problema persiste, in allegato lo stamp della pagina che si apre
[/size]
. Grazie

[allegato vecchio più di un anno eliminato da un amministratore]
Titolo: Re:AIUTO!!!! controllercertificate.ru
Inserito da: xplosion - 07 Nov 2011, 20:32:33
Niente, a me si vede benissimo.

[allegato vecchio più di un anno eliminato da un amministratore]
Titolo: Re:AIUTO!!!! controllercertificate.ru
Inserito da: sonnyboy - 07 Nov 2011, 20:34:30
L'hai aperto con Chrome? il problema si presenta solo con Chrome
Titolo: Re:AIUTO!!!! controllercertificate.ru
Inserito da: xplosion - 07 Nov 2011, 20:36:13
Si, anche con Chrome, tutto regolare.
Titolo: Re:AIUTO!!!! controllercertificate.ru
Inserito da: sonnyboy - 07 Nov 2011, 20:37:16
Prova a navigare un pò il sito, viene fuori dopo un pò, ho provato con 5 PC, grazie mille
Titolo: Re:AIUTO!!!! controllercertificate.ru
Inserito da: xplosion - 07 Nov 2011, 20:41:24
Gia fatto, cliccato su tutte le voci, ho fatto anche un acquisto :)
Titolo: Re:AIUTO!!!! controllercertificate.ru
Inserito da: tomtomeight - 07 Nov 2011, 20:45:29
@xplosion

Non mi dire che hai inserto la tua carta di credito ??? Se vera l' infezione rischi grosso.  :)
Titolo: Re:AIUTO!!!! controllercertificate.ru
Inserito da: sonnyboy - 07 Nov 2011, 20:52:03
Grazie per l'acquisto :-) non riesco a venirne fuori, stesso errore continuo, grazie cmq.
Titolo: Re:AIUTO!!!! controllercertificate.ru
Inserito da: mau_develop - 07 Nov 2011, 20:57:19
però il malware c'è... dove sia non ne ho idea.


20:51:38.740[988ms][totale 988ms] Stato: 200[OK]
GET http://controllercertificate.ru/cyclone/index.php Azione[LOAD_FROM_CACHE  VALIDATE_NEVER  LOAD_REPLACE  ] Dimensioni del contenuto[-1] Mime Type[text/html]
   Richiesta dell'intestazione:
      Host[controllercertificate.ru]
      User-Agent[Mozilla/5.0 (X11; Linux x86_64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1]
      Accept[text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8]
      Accept-Language[it-it,it;q=0.8,en-us;q=0.5,en;q=0.3]
      Accept-Encoding[gzip, deflate]
      Accept-Charset[ISO-8859-1,utf-8;q=0.7,*;q=0.7]
      DNT[1]
      Connection[keep-alive]
   Risposta dell'intestazione:
      Server[nginx]
      Date[Tue, 08 Nov 2011 05:11:12 GMT]
      Content-Type[text/html]
      Transfer-Encoding[chunked]
      Connection[keep-alive]
      X-Powered-By[PHP/5.3.2]
      Content-Encoding[gzip]

M.
Titolo: Re:AIUTO!!!! controllercertificate.ru
Inserito da: sonnyboy - 07 Nov 2011, 20:58:45
Che strumenti hai utilizzato?
Titolo: Re:AIUTO!!!! controllercertificate.ru
Inserito da: mau_develop - 07 Nov 2011, 21:07:09
un proxi :)

ma esiste un altro valido strumento, vai quì:
http://www.unmaskparasites.com/

metti l'url del tuo sito e fagli fare uno scan...

è uno scan generico e non troverà risultati e ti porta su un'altra pagina dove se cerchi scorrendo verso il basso ci sono i link per altri 2 test, uno dei quali è un check degli hidden links.
guarda il risultato.

M.
Titolo: Re:AIUTO!!!! controllercertificate.ru
Inserito da: xplosion - 07 Nov 2011, 21:13:52
@xplosion
Non mi dire che hai inserto la tua carta di credito ??? Se vera l' infezione rischi grosso.  :)
No, intendevo che ho aggiunto un prodotto al carello.
Titolo: Re:AIUTO!!!! controllercertificate.ru
Inserito da: sonnyboy - 07 Nov 2011, 21:16:58
Risposta a Mau_develop, se rifai la stessa procedura con qualsiasi sito ti da sempre gli stessi link nascosti

Titolo: Re:AIUTO!!!! controllercertificate.ru
Inserito da: mau_develop - 07 Nov 2011, 21:20:01
si scusa ho sbagliato a scrivere, non sono risultati, leggi cosa dice... clicca sul link accanto per fare una dork con google sulle stringhe più comuni....

...hai trovato nulla col test?

M.
Titolo: Re:AIUTO!!!! controllercertificate.ru
Inserito da: sonnyboy - 07 Nov 2011, 21:22:04
Non ho trovato nulla, e gli strumenti per i webmaster nei giorni precedenti non hanno trovato alcuna anomalia, uff
Titolo: Re:AIUTO!!!! controllercertificate.ru
Inserito da: sonnyboy - 07 Nov 2011, 21:23:01
Altri 3 amici hanno fatto una visita al sito e tutti e tre hanno lo stesso errore, ma perchè qualcuno non lo visualizza???? ma che è???
Titolo: Re:AIUTO!!!! controllercertificate.ru
Inserito da: xplosion - 07 Nov 2011, 21:32:10
Ups! Adesso mi e uscito fuori lo stesso tuo messaggio di errore... ma strano che non è uscito subito...
 :(
Titolo: Re:AIUTO!!!! controllercertificate.ru
Inserito da: sonnyboy - 07 Nov 2011, 22:31:07
Booooohhhhh!!!! a me l'errore non compare più dopo il riavvio del PC, mah, qualcuno può provare? Grazie.
Titolo: Re:AIUTO!!!! controllercertificate.ru
Inserito da: mau_develop - 07 Nov 2011, 22:49:37
..allora, per esserci c'è ancora... è solo cambiata l'url
Host=programs-storage.ru

e ho trovato anche un modo per fartelo vedere quando viene chiamato.
Prova a scaricare un plugin ffox che si chiama "TamperData" e avvialo prima di chiamare il tuo sito...

a me viene il sospetto di qualche banner

M.
Titolo: Re:AIUTO!!!! controllercertificate.ru
Inserito da: sonnyboy - 07 Nov 2011, 23:11:23
Ho provato tamper data ma non ci ho capito molto, forse si dovrebbe utilizzare lato administrator? se ti passo le credenziali ti andrebbe di dargli un'occhiata?
Titolo: Re:AIUTO!!!! controllercertificate.ru
Inserito da: sonnyboy - 07 Nov 2011, 23:18:17
Ho spulciato per benino, come host mi vengono fuori solo enotecailbarocco.it e google analytics
Titolo: Re:AIUTO!!!! controllercertificate.ru
Inserito da: mau_develop - 08 Nov 2011, 13:36:40
secondo me sta peggiorando tutto... ora mi si allerta il firewall per tentativo di scaricamento di malware... mi sa che se non lo metti offline tra poco te lo bannano.

M.

EDIT: ..un'altra cosina....
clicca quì: http://www.google.com/safebrowsing/diagnostic?site=www.enotecailbarocco.it

dice che non ha rilevato nulla, poi però dice che il sito è stato ospitato su....., non riesco a capire se "è stato" è un errore, perchè nel caso sia su quel server attualmente clicca sul link che ti propone e ti accorgi che è ...impestato!
In qs caso quel problema potrebbe non essere sul tuo sito.
Titolo: Re:AIUTO!!!! controllercertificate.ru
Inserito da: sonnyboy - 09 Nov 2011, 18:08:04
Ciao Mau, penso che il problema era nel sito, ho caricato un backup di qualche mese fa ed il problema non si è più presentato, la cosa buffa è che Tamper Data rileva ancora host russi e gli stessi li trovo in altri miei domini, prima o poi farò l'upgrade alla 1.7. Grazie tante per la disponibilità e l'aiuto. Ciao.
Titolo: Re:AIUTO!!!! controllercertificate.ru
Inserito da: mau_develop - 09 Nov 2011, 18:29:20
beh, io non la trovo tanto buffa, se li vede è perchè passano negli header e quindi da qualche parte vengono ancora linkati.

Il problema che tu lo veda o meno è semplicemente legato al fatto che il link generato da una lista ti conduca o meno ad un sito segnalato come pericoloso...

Se hai il bottone top 100 hai + o - la stessa cosa che fa quel malware, con la differenza che google non mi allerta per un link a j.it poichè è un sito "sano", se venisse bucato o peggio venisse inserito del malware divenendone distributore probabilmente tutte le volte che apro il mio sito vedrei un avviso.

M.