forum infettato :o(

[pollastrello]

Scusatemi ma non so se ad essere infettato è il forum oppure il sito che lo ospita. Fatto sta che visitando il mio forum compare una pagina di avviso ( credo di google) che impedisce ( penso giustamente ) di entrare nel forum per evitare di essere infettati.

Si tenga presente che la pagina http://www.pendoleria.com contiene solo ed unicamente un invito a visitare il forum il quale è l'unica ragione dell'esistenza del sito.
Quindi il sito contiene

• -una pagina ( con immagini e links)
  -il forum

Ho ricevuto una mail da google che recita:( per chi ha voglia , eventualmente di aiutarmi )

Dear site owner or webmaster of pendoleria.com,
We recently discovered that some of your pages can cause users to be infected with malicious software. We have begun showing a warning page to users who visit these pages by clicking a search result on Google.com.

Below are some example URLs on your site which can cause users to be infected (space inserted to prevent accidental clicking in case your mail client auto-links URLs):

http://www.pendoleria .com/y7rw39zg.php?id=540802
http://www.pendoleria .com/y7rw39zg.php?id=1933373
http://www.pendoleria .com/y7rw39zg.php?id=1933384

Here is a link to a sample warning page:
http://www.google.com/interstitial?url= ... d%3D540802

We strongly encourage you to investigate this immediately to protect your visitors. Although some sites intentionally distribute malicious software, in many cases the webmaster is unaware because:

1) the site was compromised
2) the site doesn't monitor for malicious user-contributed content
3) the site displays content from an ad network that has a malicious advertiser
If your site was compromised, it's important to not only remove the malicious (and usually hidden) content from your pages, but to also identify and fix the vulnerability. We suggest contacting your hosting provider if you are unsure of how to proceed. StopBadware also has a resource page for securing compromised sites:
http://www.stopbadware.org/home/security

Once you've secured your site, you can request that the warning be removed by visiting
http://www.google.com/support/webmaster ... swer=45432
and requesting a review. If your site is no longer harmful to users, we will remove the warning.

Sincerely,
Google Search Quality Team

Note: if you have an account in Google's Webmaster Tools, you can verify the authenticity of this message by logging into https://www.google.com/webmasters/tools/siteoverview and going to the Message Center, where a warning will appear shortly.

Cosa faccio????? AIUTOOOOO!!!!!!!!!!!!! ...lo sapete che non sono un informatico...
Abito in Liguria ed una settimana fa mi si è allagato il mio laboratorio di orologi con 80 cm. di acqua, ora il forum di pendoleria è stato infettato...MA CHE ALTRO PUO' MAI SUCCEDERMI....

Grazie per chi vorrà dedicarmi del suo tempo per aiutarmi.

Cordialità.
Carlo

[Angolo]

Così non si capisce niente...

a parte che la lettera dovrebbe essere inserita nei tag di citazione, devi indicare i link che google ti ha segnalato, attraverso il tag code.

Questo link ad esempio:

Codice: Seleziona tutto

http://www.pendoleria.com/y7rw39zg.php?id=540802 

dà un errore 404. Quindi non c'è niente.

Verifica se sulla root (via ftp) è presente questo file:

Codice: Seleziona tutto

y7rw39zg.php

[Micogian]

Sicuramente il sito è compromesso e Google impedisce giustamente di aprirlo.
Ora il problema è che bisogna trovare quali sono i file compromessi, pulirli dall'intrusione e poi chiedere a Google di riconsiderare il sito. Se il sito è pulito google eliminerà il blocco.
Se hai un backup potresti fare un ripristino, altrimenti devi fornire, magari privatamente, i dati di accesso a FTP per poter controllare cosa è stato manomesso.
Potresti sostituire i file da un pacchetto phpbb ma il problema sono le Mod installate.
E' comunque probabile che le intrusioni riguardino i file index, controlla se la data di aggiornamento dei file coincide con la data dell'intrusione, anche se so per certo che ci sono sistemi di intrusione che non alterano la data del file.
In sostanza ti hanno messo un codice malevolo in alcuni file, bisogna trovarlo ed eliminarlo.
Per ovviare a questi problemi sarebbe utile avere un forum in locale, tenerlo aggiornato in modo che se succede qualcosa hai la possibilità di sostituire i file compromessi.

[pollastrello]

Così non si capisce niente...

a parte che la lettera dovrebbe essere inserita nei tag di citazione, devi indicare i link che google ti ha segnalato, attraverso il tag code.

Questo link ad esempio:

Codice: Seleziona tutto

http://www.pendoleria.com/y7rw39zg.php?id=540802 

dà un errore 404. Quindi non c'è niente.

Verifica se sulla root (via ftp) è presente questo file:

Codice: Seleziona tutto

y7rw39zg.php

Carissimo Angolo, mi devi credere, ci metto tutta la mia buona volontà per cercare di spiegare i problemi che mi affliggono e spesso non sono capace di utilizzare le metodiche necessarie...e mi dispiace , ma devi anche capire che in momenti così terribili ( per me ed il mio forum) bisogna anche saper essere toleranti verso i meno preparati in informatica ...

Il file

Codice: Seleziona tutto

y7rw39zg.php

nella root non c'è.
Tieni presente che tophost mi ha scritto:
Abbiamo intanto bloccato l'accesso web al sito, lasciando attivo quello FTP, onde evitare ulteriori problemi al server.

Una cordiale stretta di mano e grazie per l'interessamento.

Carlo

[Angolo]

In tal caso, devi necessariamente:

1 - Effettuare una seria e approfondita scansione antivirus e antispyware sul tuo PC (posto che tu acceda sempre e soltanto da un solo PC). Preferibilmente con dei picchiatori.
2 - Modificare tutte le password amministrative, inclusa quella relativa all' email, utilizzando password molto complesse

I primi due punti li devi eseguire necessariamente tu. Gli altri, o li fai tu, o qualcuno li deve fare per te, ma qualcuno deve eseguirli per bene. Necessariamente.

3 - Preparare in locale un nuovo contenuto ftp (ripristino integrale ftp). Ovviamente, se di recente sono stati inseriti codici di dubbia provenienza, tali codici, non devono essere reinseriti.
4 - Cancellare, eliminare, distruggere, tutto l'attuale contenuto ftp
5 - Caricare il nuovo contenuto ftp (in modalità binaria).

Se il database non è compromesso, così dovresti risolvere. Se non hai pratica, devi fare un paio di prove in locale. Ma almeno una prova in locale, io la farei anche avendo pratica.
Se fatto questo per bene, non risolvi, c'è qualcosa anche o solo a livello di database. Ma un passo alla volta.


P.S.
Il ripristino integrale ftp, non deve essere circoscritto al phpBB3; devi riguardare tutto il contenuto ftp.

[Barrnet]

mi pare strano che sia in phpBB la fala sfruttata per infettare il sito. La homepage è solo una "landing page" statica o è stata scritta in phpBB?

Magari potrebbe essere un problema di permessi lato FTP, considera che ripristinare il forum allo stato precedente non chiuderà la falla sfruttata, bisogna quindi capire se il forum è attualmente in uno stato di pericolo.
Personalmente ho visto casi di infezione dello spazio web anche a causa di permessi sballati della directory di appartenenza degli script, come dei permessi fin troppo permissivi.

Per ripristinare l'accesso al sito da google e siti che si basano sulla sua blacklist (firefox e chrome) dovrai, una volta risanato il forum, agire tramite strumenti del webmaster o tramite il sito stopbadware.org, è evidente che delle due è molto più veloce google a toglierti dalla blacklist.

[pollastrello]

Capisco che forse non è il posto adatto per chiederlo, ma se cancello tutto, TUTTO

cancellare.jpg

via FTP, poi posso ripartire con un nuovo forum. ( anche la cartella <...> ? )

Ho provato più volte a cancellare sia le cartelle forum_vecchio, sia phpBB3 , ma continuano a ripresentarsi ( uso core ftp)

O forse è meglio che acquisti un nuovo dominio? Bohhhh!!!

Scusate lo sfogo.

Cordialità.
Carlo

[Barrnet]

Se cancelli tutti i dati via FTP perdi allegati ed allegati.
Se non riesci a risolvere - e soprattutto ti fidi - sentiti pure libero di mandami le credenziali di accesso via FTP e vedo che posso fare per aiutarti, tanto oramai a disinfettare forum ci ho fatto il callo

[Micogian]

Barrnet, ho provato a controllare il contenuto FTP ma non ho trovato nulla di anomalo, il Sito ha pochi file che non contengono codice malevolo. Anche nel forum non ho trovato nulla. Ci sono un sacco di backup nella cartella store ma non penso sia lì il problema. Nei file di sistema non ho scoperto nulla. Di solito le intrusioni le ho sempre trovate, anche perchè nei miei siti ho messo un file che controlla se i principali file vengono modificati e ti avvisa subito.
Guardando la data di aggiornamento dei file quelli modificati di recenti sono alcuni nella cache.
Importando in locale i file di sistema il controllo antivirus non ha trovato nulla.
Mi domando se il problema non possa essere nel database.

[Barrnet]

Barrnet, ho provato a controllare il contenuto FTP ma non ho trovato nulla di anomalo, il Sito ha pochi file che non contengono codice malevolo. Anche nel forum non ho trovato nulla. Ci sono un sacco di backup nella cartella store ma non penso sia lì il problema. Nei file di sistema non ho scoperto nulla. Di solito le intrusioni le ho sempre trovate, anche perchè nei miei siti ho messo un file che controlla se i principali file vengono modificati e ti avvisa subito.
Guardando la data di aggiornamento dei file quelli modificati di recenti sono alcuni nella cache.
Importando in locale i file di sistema il controllo antivirus non ha trovato nulla.
Mi domando se il problema non possa essere nel database.

Conosco quello script, lo uso pure io poiché non posso usare il modsecurity
Negli ultimi casi di infezione che ho rilevato le modifiche venivano fatte direttamente ai template e il loro restore non porta risultati fino a che non viene pulita la cache, salvo il forum non sia impostato per rilevare aggiornamenti degli stili.