Il mio sito infettato da malware.

[raffica]

Dal 18/06/2010 il sito www.hi-qbullet.com è infettato da un malware.
Io l'ho saputo pochi giorni fà.
Avviso quindi tutti gli utenti di non entrare,cosa peraltro indicata direttamente dal Browser.
Quello che vorrei sapere è:
-Come ca@@o è possibile scoprire le password di accesso e entrare nel codice HTML del sito per combinare guai?
Secondo il gestore dello spazio Web ,il 18/06/2010 "qualcuno" è entrato correttamente con la password è ha combinato il casino,ha infilato un Trojan.JS.Jframe.mv
Porca miseria la password a momenti manco me la ricordavo io ,non l'ho trascritta da nessuna parte nel computer ma in un archivio cartaceo a casa ,proprio per evitare intrusioni.
Stiamo lavorando per riportare tutto alla normalità.

[Pietro66]

Ci sono dei software che cercano le password, e sono abbastanza potenti.
Se la password non e' molto complicata, in una manciata di secondi la trovano.

Alcuni siti che trattano informazioni "preziose", vedi gli home banking o i siti di E-commerce un po' seri, pretendono passwords con maiuscole e minuscole alternate a numeri, e di lunghezza almeno 8 caratteri.

Altri sistemi sostituiscono la password ogni settimana o -addirittura- ogni giorno, ma il piu' sicuro dei sistemi di sicurezza non e' quello con una password mostruosa, che prima o poi verra' comunque scoperta, ma quello che impedisce di arrivare, dall'esterno, a dare una password, e questo si fa con i firewall.

[Blackrifle]

E per di piu magari lo ha fatto quelche studente ebete strafatto che ancora non sa cosa fare della sua vita mentre si annoiava .....

[NdK]

Più facile che abbiano sfruttato qualche vulnerabilità dell'host. Per esempio con sql injection che crea un account "amministratore". A quel punto è semplice entrare con l'account appena creato ed i diritti di amministrazione. Da quanto non veniva effettuata una survey di sicurezza?

[Calico]

Secondo me i reati informatici sono puniti troppo alla leggera.

[Pietro66]

Secondo me i reati informatici sono puniti troppo alla leggera.

Certo, dovrebbero ri-introdurre la gogna e le bastonate...

[Calico]

Secondo me i reati informatici sono puniti troppo alla leggera.

Certo, dovrebbero ri-introdurre la gogna e le bastonate...

Il fatto è che vengono perseguiti solo se sono veicolo di reati gravi. Altrimenti la P.Postale lascia correre. Lo trovo non adeguato ai tempi.

[raffica]

Da quanto non veniva effettuata una survey di sicurezza?

Che tradotto in parole semplici....

[ordotempli]

Crete volte NdK sembra l'Azzeccagarbugli visto da Renzo ... sembro io quando parlo di strutture allo stato limite in campo dinamico ....

[NdK]

Da quanto non veniva effettuata una survey di sicurezza?

Che tradotto in parole semplici....

Da quanto quelli di hostingsolutions.it non davano un'occhiata alla sicurezza dei siti ospitati e del loro sistema? Troppo spesso si dice "funziona e quindi non lo tocco": gli hacker non aspettano altro. Per esperienza personale, se si attiva un servizio "bucabile" su un sito poco frequentato, in 5-6 ore la vulnerabilità viene sfruttata e dopo è necessario reinstallare completamente il sistema.

Mi sembra difficile che siano riusciti a bucare il tuo sito, dato che non mi pare ci siano pagine dinamiche (tutto semplice html, mi pare, senza PHP/ASP).

Ho dato un'occhiata al codice "infettante" e direi che si può rimuovere molto comodamente eliminando la parte tra <script> e </script> verso l'inizio delle pagine.

È comunque un malaware di nuova generazione, che si appoggia ad un sito russo per ottenere il codice effettivo dell'infezione. Bell'esempio di codice offuscato, anche se relativamente semplice da leggere. Probabilmente il dropper usa tecniche di polimorfismo per nascondere meglio l'infezione.

Altra possibilità è che l'infezione avvenga per via virale come faceva il "topa" (virus per DOS che fui tra i primi ad analizzare... aggiungeva, all'interno dei file di testo, al momento della chiusura, un bel "chi non lecca la figa il Signore lo castiga" ), partendo dal PC di chi ti aggiorna il sito -- nel caso, dovrebbe aver infettato tutti i siti che lo stesso tizio ha aggiornato negli ultimi giorni.

[Calico]

Da quanto non veniva effettuata una survey di sicurezza?

Che tradotto in parole semplici....

Da quanto quelli di hostingsolutions.it non davano un'occhiata alla sicurezza dei siti ospitati e del loro sistema? Troppo spesso si dice "funziona e quindi non lo tocco": gli hacker non aspettano altro. Per esperienza personale, se si attiva un servizio "bucabile" su un sito poco frequentato, in 5-6 ore la vulnerabilità viene sfruttata e dopo è necessario reinstallare completamente il sistema.

Mi sembra difficile che siano riusciti a bucare il tuo sito, dato che non mi pare ci siano pagine dinamiche (tutto semplice html, mi pare, senza PHP/ASP).

Ho dato un'occhiata al codice "infettante" e direi che si può rimuovere molto comodamente eliminando la parte tra <script> e </script> verso l'inizio delle pagine.

È comunque un malaware di nuova generazione, che si appoggia ad un sito russo per ottenere il codice effettivo dell'infezione. Bell'esempio di codice offuscato, anche se relativamente semplice da leggere. Probabilmente il dropper usa tecniche di polimorfismo per nascondere meglio l'infezione.

Altra possibilità è che l'infezione avvenga per via virale come faceva il "topa" (virus per DOS che fui tra i primi ad analizzare... aggiungeva, all'interno dei file di testo, al momento della chiusura, un bel "chi non lecca la figa il Signore lo castiga" ), partendo dal PC di chi ti aggiorna il sito -- nel caso, dovrebbe aver infettato tutti i siti che lo stesso tizio ha aggiornato negli ultimi giorni.

Az! AHAHAHAHAH Ecco, allora, investigatore Ndk, in questo caso le responsabilità giuridiche di chi sono? Se Raffica volesse fare un bell'esposto alla polizia postale, chi dovrebbe indicare come responsabile doloso, visto che il colposo farà mea culpa a lungo, dopo la tua spiegazione?

[raffica]

Quasi risolto.
Ho una copia dell'ultima varsione salvata in back up su disco fisso esterno.
Eliminata totalmente l'infettata e stiamo reinserendo quella "pulita" identica alla precedente.

[NdK]

Az! AHAHAHAHAH Ecco, allora, investigatore Ndk, in questo caso le responsabilità giuridiche di chi sono? Se Raffica volesse fare un bell'esposto alla polizia postale, chi dovrebbe indicare come responsabile doloso, visto che il colposo farà mea culpa a lungo, dopo la tua spiegazione?

Mah... Dipende da qual'è il caso esatto verificatosi. Quasi sicuramente qualcosa di fuori regola, comunque, c'era. Ma da questo all'arrivare a capire di chi sia la colpa la strada è lunga, e solo la Polizia Postale può percorrerla (e forse neanche tutta: come dicevo quel malaware si appoggiava ad un sito russo... infettato o connivente?).

[Max10Auto]

in questo caso le responsabilità giuridiche di chi sono? Se Raffica volesse fare un bell'esposto alla polizia postale, chi dovrebbe indicare come responsabile doloso

Ma è chiaro...NdK

[Max10Auto]

Tutto risolto vedo...

In ogni caso è successo anche ad Apple e YouTube

http://www.ilsoftware.it/articoli.asp?id=6385

[raffica]

Sì ,per fortuna è andato tutto bene.
Piccola soddisfazione:
Se faccio una ricerca con Palle in lega o palle in piombo il sito è arrivato in prima pagina.......

[Max10Auto]

Dovresti mettere un blog o qualcosa in cui scrivere così risali ancora!!!

[Calico]

Risale ancora? Oltre la prima posizione? E che si è iscritto al CAI?

[Max10Auto]

Guarda un po' chi c'è in cima se digiti forum glock



mentre la freccia blu indica un vecchio forum non più in funzione!!!

[raffica]

Guarda un po' chi c'è in cima se digiti forum glock



mentre la freccia blu indica un vecchio forum non più in funzione!!!

[Max10Auto]

grazie,se inserisci un piccolo blog dove scrivi (oppure altri scrivono) palle in piombo...ecc.nei motori di ricerca dopo si trova più facilmente...per lo stesso motivo proponevo di chiamare IS semplicemente Forum Armi perchè le persone che cercano tali forum lo trovassero subito mentre non salta mai fuoi da nessuna parte.

[JigenGiò]

grazie,se inserisci un piccolo blog dove scrivi (oppure altri scrivono) palle in piombo...ecc.nei motori di ricerca dopo si trova più facilmente...per lo stesso motivo proponevo di chiamare IS semplicemente Forum Armi perchè le persone che cercano tali forum lo trovassero subito mentre non salta mai fuoi da nessuna parte.

Oggi su questo forum siamo poco più di 80 persone perchè le utenze vengono cancellate spesso da parte degli amministratori a chi è sotto di pochi msg o a chi non accede regolarmente, questo credo che sia un male,
il mio amico Jonny55 invitato da me e Walther non ha tanto tempo per accedere, è stato cancellato,
il mitico fratello Capone...... se è stata decisa la politica pochi ma buoni non dobbiamo aspettarci di avere
mille utenti registrati

[Max10Auto]

Oltre a scrivere,la cosa veramente importante è il nome perchè se su Google digiti "Forum Armi" il primo che salta fuori è Armi e Tiro e questo perchè quando salvi la loro pagina nei preferiti hanno messo "Forum Armi New"



se IS si fosse chiamato così ora con tutta probabilità ci saremmo noi e questo perchè una persona che cerca qualcosa su un motore di ricerca digita quello e non Italianshooters (chiaramente digitando Italianshooters appare subito al primo posto )... come appunto se qualcuno cerca un forum che parli di Glock digita "forum glock".....non me ne intendo abbastanza per dire cosa si può fare per migliorare la nostra posizione nei motori di ricerca ma evidentemente si può fare eccome.

[NdK]

Per avere ranking elevati è necessario essere linkati da molti siti. Sarebbe utile se chi frequenta attivamente altri forum linkasse questo in firma. Il resto è spesso molto poco efficace.

[Max10Auto]

Direttamente dalla firma di radioamerica su Forum Glock Italia (cliccare grazie)



e il codice da copiare e incollare nella propria firma per inserire questo logo è :

Codice: Seleziona tutto

   [url=http://www.italianshooters.org/forum/][img]http://www.iouppo.com/life/pic1/0a93f30910bb560114856c0c800c8247.gif[/img][/url]