Ho un virus sul mio sito ospitato?

Naviga le tue risposte
3

Qualche settimana fa ho assunto qualcuno per costruire per me un sito PHP molto semplice. Ho comprato PHP hosting e un nome di dominio, e gli ho dato tutte le credenziali insieme alle specifiche dei suoi compiti.

Quando la scadenza era finita (era un compito molto semplice), l'ho contattato per vedere alcuni risultati e mi ha chiesto più tempo. Alla fine, mi sono reso conto che non era in grado di farlo, quindi gli ho detto che non avevo più bisogno dei suoi servizi.

Oggi ho avuto accesso alla pagina principale del sito solo per vedere se potevo usare un po 'di quello che ha fatto, ma il mio antivirus mi ha bloccato con un avviso di un virus chiamato VBS: Agent-KZ [Trj] . (Vedi l'immagine qui sotto).

Ho contattato il mio provider di hosting e mi hanno detto che non hanno rilevato nulla.

Le mie domande sono:

  1. Pensi che questo ragazzo abbia fatto qualcosa con l'obiettivo di farmi del male?
  2. Come può questo virus farmi del male? Quanto è pericoloso?
  3. Sono preoccupato per la mia password di posta elettronica, perché ho effettuato l'accesso al mio account Gmail in una scheda diversa mentre tentavo di accedere al sito. Devo cambiare la mia password?

Apprezzerei il tuo consiglio sul mio problema. Dai un'occhiata all'immagine qui sotto per vedere l'avviso antivirus.

Aggiorna

Sono alle prese con questo problema, finora questo è quello che ho fatto:

  1. Ho contattato l'azienda, ma continuano a dirmi che non trovano nulla nella mia radice dei documenti. Sono scettico su questo, perché poiché si tratta di un hosting condiviso, penso che il virus potrebbe essere ovunque.

  2. Ho disabilitato la configurazione del server DNS dal mio pannello di amministrazione di GoDaddy, quindi se qualcuno va a quell'URL, non verrà infettato.

  3. Ho scansionato l'intero sistema infetto con Avast e ho trovato un file chiamato f3PSSavr.src nella directory System32. Sono riuscito a cancellarlo e attualmente sto eseguendo una scansione all'avvio anche con Avast. Sono curioso di cosa si trattasse? E come è arrivato lì? Eseguo la scansione dei miei sistemi alla ricerca di virus almeno una volta al mese e questo è nuovo. Pensi che potrebbe arrivare tramite l'URL infetto?

  4. Il mio prossimo passo, una volta terminata la scansione di avvio nel mio laptop, è cancellare tutti i cache del browser.

Quindi, secondo te, quali sono i processi per risolvere il problema?

    
posta sfrj 23.05.2012 - 20:15
fonte

3 risposte

3

  1. Forse - provare che lo sviluppatore ha caricato un "dropper" sarebbe difficile. Considerando che allo sviluppatore sono state fornite credenziali, è possibile che le credenziali fossero passate o altrimenti compromesse (il sistema dello sviluppatore avrebbe potuto essere già stato compromesso). Indipendentemente da ciò, a meno che non si desideri avviare un'azione legale, concentrandosi sul punto che il sito è compromesso e lavorare per ripulirlo è più efficiente.

  2. Il "malware" può essere dannoso. La differenza nel termine è che l'app dropper rilevata da Avast è un modo per accedere al tuo sistema . Se il malware ha compromesso il tuo sistema, è possibile che un utente malintenzionato abbia installato una backdoor. Detto questo, sembra che Avast abbia rilevato il contagocce, quindi è possibile che il tentativo di infezione sia stato bloccato.

Potresti provare a eseguire altri rilevatori di malware per vedere se il tuo sistema è stato compromesso. Altrimenti, se conosci un buon professionista della sicurezza, potresti sempre dare loro un'occhiata. Consiglierei di andare nei grandi magazzini di computer - i lavoratori spesso hanno poca conoscenza o esperienza in questo settore (ottieni quello per cui paghi).

In alternativa, se il compromesso è un problema, la re-imaging del sistema e la reinstallazione del software solo da fonti verificate (ad es. media, siti Web del fornitore, ecc.) ridurranno la probabilità di reinfestazione. Le reinfezioni sono comuni quando le persone eseguono il backup dei file binari e reinstallano quelli su un sistema pulito. Ancora una volta, questa misura è se sei sicuro che il tuo sistema è compromesso e vuoi maggiore sicurezza che il tuo sistema sia pulito.

FYI, se sei interessato a saperne di più sul dropper, guarda qui per altri nomi assegnati a questa app da altri fornitori di AV / malware.

  1. YES! Dovresti cambiare la tua password immediatamente e mentre ci sei, assicurati che nessun'altra app sia stata autorizzata, che le funzionalità di recupero della password non siano state modificate, ecc. Anche altri siti che utilizzano la stessa password dovrebbero essere motivo di preoccupazione - cambia anche la password (ad es. bancaria, VPN, ecc.) preferibilmente a qualcosa di diverso. I gestori di password (ad esempio Lastpass, KeePass, ecc.) Consentono di gestire l'utilizzo di più password per ciascun account.

Buona fortuna

    
risposta data 23.05.2012 - 23:26
fonte
3

Supponendo di avere ancora le credenziali per accedere al sito di hosting, accedere e scaricare i file, quindi eliminarli dal server. Tu, o un altro, puoi guardare attraverso i file per trovare trojan o codice nelle pagine che fanno riferimento a siti esterni che potrebbero essere la fonte dei file.

Quindi cambia le tue password sul sito, e-mail, ecc., se non lo hai già fatto.

Se il tuo antivirus ha catturato il trojan, allora non ti ha infettato. Quello che dovresti cercare sono altri virus che il tuo AV potrebbe non aver catturato. Guardare attraverso i file e il codice del sito renderà tutto più facile e sarà più definitivo.

Spero che questo aiuti.

    
risposta data 24.05.2012 - 02:58
fonte
2

bene ... è meglio aspettarsi lo scenario peggiore e pensare che il ragazzo (o qualcun altro) stia cercando di farti del male, in tal caso potrebbe installare quello che viene chiamato "downloader" sul sito che scaricherà un cavallo di Troia sul tuo computer ...

Ho cercato su google il nome del virus, ma non ho avuto una buona risposta, quindi non sono sicuro di cosa faccia questo virus, il mio consiglio:

1- cambia ogni password precedentemente salvata sul tuo computer DA UN ALTRO PC

2- prova ad accedere al tuo account da un sistema Linux, il virus sarà paralizzato e innocuo lì (in realtà è meglio fare il punto 1 da qui)

3- contatta nuovamente la società di hosting e riferisci l'intera storia con il nome del virus o lo screenshot

4 esegui una scansione completa sul tuo PC solo per assicurarti che fosse la sola minaccia

buona fortuna ...

    
risposta data 23.05.2012 - 23:41
fonte

Leggi altre domande sui tag

I flash cookie sono ancora una minaccia e persistenti? Migliorare la privacy di un utente Web occasionale