Nonostante tutto il mio lavoro per rafforzare il mio sito web, qualcuno è riuscito a modificarlo.
Quando si carica la pagina iniziale in IE8, la pagina sembra caricarsi normalmente. Quindi, la barra di stato visualizza brevemente una richiesta a un dominio che è solo un miscuglio di lettere seguito da .com. Apre una finestra di Windows Media Player e, quando questo si apre, lo schermo di IE diventa rosso con un avviso "questo sito è stato segnalato come non sicuro".
In Chrome, il sito si carica normalmente e ricevo un avviso che il plug-in Java richiede la mia autorizzazione per l'esecuzione. Non ho concesso il permesso.
In Firefox, tutto sembra normale, ma nel mio menu NoScript c'è un elemento etichettato " link ", che ovviamente ho bloccato.
La buona notizia è che sono stato in grado di catturare un filmato sullo schermo del problema in IE ed è stato in grado di annotare il dominio del malware per la ricerca.
Quando ho notato per la prima volta il problema, ho avviato Wireshark e da allora ho registrato tutto dentro e fuori il mio PC. Ciò mi ha fornito più richieste DNS con nomi di dominio collegati all'attacco. Ho anche scaricato i log del server. Il nostro intero sito è stato spostato in una directory di attesa e un messaggio "non disponibile" è stato inserito nella radice del nostro dominio. Ho cambiato la nostra password di accesso al server.
Ho scaricato una copia della nostra home page dal server e l'ho analizzata. Il dominio dannoso non si trova da nessuna parte in esso. Io uso alcune librerie JavaScript esterne, come jQuery, che vengono caricate da server remoti. Mi chiedo se qualcosa potrebbe essere successo su uno di quei server?
Ora non sono abbastanza sicuro di cosa fare dopo. Sono un creatore, non un esperto di sicurezza. La mia attuale posizione non ha un dipartimento IT o di sicurezza informatica per ricevere assistenza, quindi cerco aiuto da chiunque possa riconoscere i sintomi di questo attacco.
AGGIORNAMENTO: ho trovato file dannosi nel mio server identici a quelli descritti in link
Aggiornamento 26 ottobre: dopo aver esaminato i file di registro, ho scoperto che l'hack è stato eseguito tramite FTP. Evidentemente il mio login è stato rubato in qualche modo.