Risposte nei forum create
-
AutorePost
-
steffPartecipante
Oggi mi ha preso un colpo, per caso controllo la data di modifica di index2.html (un vecchio file backup) e lo trovo modificato 10 minuti fa. Ma confrontandolo con il backup vedo che ha perso 6,5 kb di javascript, era infetto pure quello.
Succo: sembra che Aruba hanno fatto uno scan sul server oggi e pulito i file a tutti (spero)
http://safebrowsing.clients.google.com/safebrowsing/diagnostic?site=AS:31034
steffPartecipanteHanno risposto dicendo che non hanno riscontrato niente e che sarebbe un problema solo del mio dominio, con i soliti consiglio tipo cambia passwd ftp.
MA ATTENZIONE: non ho controllato la cgi-bin, e lଠche ho trovato due file modificati poco tempo dopo:
chat.pl
e lo script vecchio
counter.cgi
con inserito la riga
use MIME::Base64 ();eval MIME::Base64::decode(“JGMgPSAkRU5Wey… più un file mailcheck.php nella root sempre con il codice.
Conosco poco perl, ma chat.pl serve per connettersi al server, apre una pagina con “<b>Connected to $ServerName</b> e contiene bottoni per s/caricare file o usare comandi.
steffPartecipanteHo scoperto dove risiedeva il codice sopravissuto alla reinstallazione: avevo wordpress in una sottocartella e aggiornandolo non aggiorna index.php nel indirizzo del blog che – infettato il 29.3.10 alle 19.17 -contiene lo stesso script e pesa 6 kb incece di 104 byte.
Di aruba silenzio totale dopo 24 ore di ticket aperto….
steffPartecipanteStesso problema, 5 blog wordpress infetti e dominio bloccato da google; ho aperto un ticket e aggiornati tutti blog, il codice è sparito dall’indice ma è presente in coda al feed ancora, il mio lettore non lo legge, con arora ottengo un
This page contains the following errors:
error on line 341 at column 30: Extra content at end of document.
che sarebbe lo famoso javascript, si vede bene scaricandolo con un editor di testo.
Domanda: Ma da dove viene adesso il codice, come mai viene ancora attaccato al feed (non ci ho fatto caso se prima era uguale ma credo di sà¬). Dal database mysql?
Grazie in anticipo a eventuali risposte.
-
AutorePost