quello che non hanno detto è che se anche aggiorni ma non pulisci tutti e dico tutti gli index.html e php non ci fai nulla

non è scritto ufficialemente, un accenno a questo problema c'è in un thread di chi credeva di aver bonificato e poi .......

comunque

da un po di tempo non compare più l'avviso

Non so se vi è utile, di tanto in tanto metto un report

*

* Avviato: giovedì 8 novembre 2012 15:44:38
*
08/11/2012 23:34:29 http://adonclick.net/t/vc.php?go=2 [L] URL:Mal (0)
08/11/2012 23:43:43 http://adonclick.net/t/vc.php?go=2 [L] URL:Mal (0)
08/11/2012 23:48:24 http://adonclick.net/t/vc.php?go=2 [L] URL:Mal (0)
08/11/2012 23:48:58 http://adonclick.net/t/vc.php?go [L] URL:Mal (0)
08/11/2012 23:52:51 http://adonclick.net/t/vc.php?go=2 [L] URL:Mal (0)
09/11/2012 00:00:12 http://adonclick.net/t/vc.php?go=2 [L] URL:Mal (0)
09/11/2012 00:03:17 http://adonclick.net/t/vc.php?go=2 [L] URL:Mal (0)
*
*
* Avviato: venerdì 9 novembre 2012 12:36:25
*
09/11/2012 12:38:33 http://adonclick.net/t/vc.php?go=2 [L] URL:Mal (0)
09/11/2012 12:58:04 http://adonclick.net/t/vc.php?go=2 [L] URL:Mal (0)
09/11/2012 14:04:31 http://adonclick.net/t/vc.php?go=2 [L] URL:Mal (0)
09/11/2012 14:06:33 http://getestore.org/t/vc.php?go=2 [L] URL:Mal (0)
09/11/2012 15:28:03 http://adonclick.net/t/vc.php?go=2 [L] URL:Mal (0)
*

*
* Avviato: sabato 10 novembre 2012 11:02:17
*
10/11/2012 11:02:40 http://wallmountedsubprojects.info/t/vc.php?go=2 [L] URL:Mal (0)
10/11/2012 13:33:24 http://adonclick.net/t/vc.php?go=2 [L] URL:Mal (0)
10/11/2012 13:33:46 http://adonclick.net/t/vc.php?go [L] URL:Mal (0)
10/11/2012 13:33:46 http://www.adonclick.net/t/vc.php?go [L] URL:Mal (0)
10/11/2012 13:33:58 http://www.adonclick.net/ [L] URL:Mal (0)
10/11/2012 20:06:39 http://zgtlohzofi.kwik.to/t/vc.php?go=2 [L] URL:Mal (0)
10/11/2012 22:32:48 http://adonclick.net/t/vc.php?go=2 [L] URL:Mal (0)
*

*
* Avviato: domenica 11 novembre 2012 10:34:29
*
11/11/2012 10:40:02 http://brokenearparent.info/t/vc.php?go=2 [L] URL:Mal (0)
11/11/2012 11:37:37 http://brokenearparent.info/t/vc.php?go=2 [L] URL:Mal (0)
11/11/2012 13:28:06 http://brokenearparent.info/t/vc.php?go=2 [L] URL:Mal (0)

Non ci sono notizie per quanto riguarda questo malware e IPB, a differenza di questo malware e wordpress dove ci sono un pò di guide. Ma il modo di infettare è diverso l'unica cosa che dice il team di IPB è aggiornare alla security patch, quello che non hanno detto è che se anche aggiorni ma non pulisci tutti e dico tutti gli index.html e php non ci fai nulla, quindi chi ha preso questo virus consiglio di aprire cartella per cartella(TUTTE LE CARTELLE) e cancellare il malware che di solito è proprio nelle prime 3 righe del file racchiuso tra <? e ?> per ora pare l'unico modo di sistemare questo malware.

non possiamo neanche metterci a controllare a mano tutte le cartelle. la cosa è molto semplice. Spiano tutto, e ricarico il software pulito. Se non c'è stata una intrusione nel database allora si risolve.

Ma devo prima separare la cartella invisionita dal resto dell'FTP

Ho dato una guardata veloce e da me sembra tutto OK.

ho guardato qualche index.php e sembra tutto OK.

Ho notato però una cosa strana nei log. c'è un indirizzo IP che viene da un server dedicato di aruba che nelle ultime due settimane mi ha fatto un sacco di trasfeeriemento...

mahhh

se hai qualche programma di statistiche installato, awstats ecc... puoi vedere gli agents

possono essere grabbers che pescano dalla tua cartella uploads

Esatto, lo vedo da li. vedo solo un ip statico che arriva da un server dedicato (di un noto gestore italiano) che fa un sacco di trasferimento.

Presa visione di questa discussione domando ai più esperti quali sono, in sequenza, le operazioni da svolgere a livello di verifica e successivamente di prevenzione.

Grazie.

Cristina

si legge se trasferisce via http ?

se continua puoi inserire in htaccess Deny from xxx.xxx.xxx.xxx

la sintassi esatta dovresti cercarla, ma sarebbe interessante sapere perchè

Io di solito queste cose le segnalo al mio hosting provider se il fenomeno non cessa

una curiosità: si qualifica come istella ?

no non è identificato con quel nome. questa sera da casa ti dico bene come è, ora sono al lavoro e non ricordo la password di awstat.

.. cut .. è proprio nelle prime 3 righe del file racchiuso tra <? e ?> per ora pare l'unico modo di sistemare questo malware.

Qualsiasi codice php inizia con <?

Forse una soluzione potrebbe essere scaricare in locale le cartelle, i files, del sito (escluso le cartelle vostri documenti e upload).

Facendo un ricerca veloce per index.php si dovrà controllare circa 16 files.

Se poi si cerca il codice preciso, aprendo i files con un normale file di testo, dovrebbe essere un lavoro di non più di 10 minuti.

in linea di massima comunque è importante, prima di inibire l'accesso a certi IP, verificare con certezza il proprio access_log dal pannello di controllo del sito

Se sono crawlers autenticati maglio lasciarli fare, va a vantaggio della presenza sul web. Io mi sono deciso a bloccare alcuni IP di Bejing perchè erano troppi i tentativi di registrazione a raffica e poi perchè sicuramente, per il mio sito, il traffico generato dalla Cina non mi interessava.

Conviene pertanto valutare attentamente "caso per caso"

Qualsiasi codice php inizia con <?

Forse una soluzione potrebbe essere scaricare in locale le cartelle, i files, del sito (escluso le cartelle vostri documenti e upload).

Facendo un ricerca veloce per index.php si dovrà controllare circa 16 files.

Se poi si cerca il codice preciso, aprendo i files con un normale file di testo, dovrebbe essere un lavoro di non più di 10 minuti.

in ciascuna cartella è contenuto un file index.html, e sono tutti stati violati, sono come minimo 100 cartelle

saremo offline per un po, perchè cambiamo IP e spostiamo tutto

buon lavoro

cucu

è normale che non vediate le foto perchè non le ho caricate

una curiosità: si qualifica come istella ?

host177-13-37-46.serverdedicati.axxxa.it

@kentarro

se quello è l'IP siamo in Brasile

tra l'altro axxxa,it è libero alla registrazione

qualcosa non torna

giampiero cosa ci dici siamo ancora malati?

Qualsiasi codice php inizia con <?

Forse una soluzione potrebbe essere scaricare in locale le cartelle, i files, del sito (escluso le cartelle vostri documenti e upload).

Facendo un ricerca veloce per index.php si dovrà controllare circa 16 files.

Se poi si cerca il codice preciso, aprendo i files con un normale file di testo, dovrebbe essere un lavoro di non più di 10 minuti.

16 files? Beh, noi ne abbiamo controllati molti di più eppure ci è scappato qualcosa purtroppo. Lo so che tutti i file php iniziano con quelle stringhe ma era per dire che sono di solito le prime 3 righe dell'index sia php che html che vengono riacchiuse in quei tag... era per spiegare ai meno addetti ai lavori che vanno cancellate solo le prime tre righe. Comunque una cosa abbiamo capito che la security patch rilasciata da invision se sei già stato infetto non serve a nulla.

giampiero cosa ci dici siamo ancora malati?

Pare di no finora non mi segnala niente

sei soddisfatto della bonifica ?

no è piena Italia, gli host invertono l'ip che perciò è 46.37.13.177 quelle x non sono l'host ho coperto il nome dell'host per non fare pubblicità

quale è l'host italiano che inizia per a e finisce per a?

Pare di no finora non mi segnala niente

sei soddisfatto della bonifica ?

bhe soddisfatto..... ho cancellato tutto. stiamo girando esclusovamente con i file di base del software......

no è piena Italia, gli host invertono l'ip che perciò è 46.37.13.177 quelle x non sono l'host ho coperto il nome dell'host per non fare pubblicità

quale è l'host italiano che inizia per a e finisce per a?

ora ho capito, .... me l'avevi già scritto in effetti

cosa ne dite oggi?

sempre puliti?

ciao

oggi sono su un altra postazione non ho avvisi, ti faccio sapere nel pomeriggio.

Ma qui ho un altro antivirus, e questa è bella: ho visitato altri forum comtaminati ed il celeberrimo KASPERSKY INTERNET SECURITY non ha segnalato niente

Ci sentiamo nel pomeriggio, comunque dopo l'intervento massiccio di ricarica files ieri non ho avuto segnalazioni. RM ONLINE invece ieri sera piangeva ancora

si , rm online per ora non l ho toccato, perchè voglio vedere se la procedura usata qui va a buon fine, perchè l intervento su quello è un po piu indaginoso

a me i vari index risultano puliti

ora carico una parte di immagini