Mago Posted May 8, 2012 Posted May 8, 2012 Purtroppo non so dirvi con esattezza ma credo che un sito di una nostra comunita' di volo sia stato infettato con smartfortress 2012, sicuramente il sito non e' tra questi AMVI VIAF 21° tigri potrebbe essere tra questi: 53 gruppo 69 squadrone in ogni caso le pagine del forum, e quindi non e' detto qualche link a siti esterni. controllate. io per il momento mi astengo. ovviamente confermate appena possibile l'esistenza o meno di questo virus, cosi', in caso negativo, cancellero' questo messaggio, inutile procurare allarme per nulla. Moderator
6S.Duke Posted May 8, 2012 Posted May 8, 2012 Mago, oggi pomeriggio ho fatto casualmente un giro su quei due forum come visitatore e non ho riscontrato nulla.. MB339 EFM Coder Frecce Tricolori Virtuali [sIGPIC][/sIGPIC]
_Heater_ Posted May 8, 2012 Posted May 8, 2012 io sul forum del 53° ho avuto un popup di avviso tramite AVG, ma ho ignorato. mio malgrad. Simulatori: DCS A-10C II Warthog - DCS F/A-18C Hornet - DCS F-16C - VRS F/A-18E - HOTAS: TM Warthog - Cougar \ HP Reverb G2 \ WinWing Panels Tally: I see the degenerate commie who wants to ruin our day.
Mago Posted May 8, 2012 Author Posted May 8, 2012 smartfortress 2012 heater? puoi confermare? Moderator
TkER Posted May 8, 2012 Posted May 8, 2012 Se entro sul forum del 53° stormo mi si apre l'icona del java... :noexpression: E' quello ? L'antivirus non mi dice niente.... (avira)
Mago Posted May 8, 2012 Author Posted May 8, 2012 ero piu' propenso a dire che era il sito del 69, mah, forse pero' avevo gia' preso sto virus del cavolo, comunque unose ne accorge se lo ha, sto coso si lancia da solo e sembra che sia un anti virus removal :) Moderator
TkER Posted May 8, 2012 Posted May 8, 2012 ero piu' propenso a dire che era il sito del 69, mah, forse pero' avevo gia' preso sto virus del cavolo, comunque unose ne accorge se lo ha, sto coso si lancia da solo e sembra che sia un anti virus removal :) Allora per toglierlo basta Combofix
Mago Posted May 8, 2012 Author Posted May 8, 2012 boh io ho usato malawarebytes tramite chamaleon, pare funzionare. Moderator
Aviators Posted May 8, 2012 Posted May 8, 2012 ma non usate un antivirus/internet security? L'importante non è stabilire se uno ha paura o meno, è saper convivere con la propria paura e non farsi condizionare dalla stessa. Ecco, il coraggio è questo, altrimenti non è più coraggio ma incoscienza.
spinter Posted May 8, 2012 Posted May 8, 2012 Come si fa a sapere se se lo ha preso? ====VIAF==== Spinter 155° "Pantere Nere" TsSimComms My Site aiupgrade.net
Mago Posted May 8, 2012 Author Posted May 8, 2012 puo' essere che lo abbia preso da un altra parte, ma visto che e' apparso oggi e la cronologia era solo sui quei siti, ho pensato bene di avvisare, se poi e' un problema che ho riscontrato solo io meglio :) Moderator
Mago Posted May 8, 2012 Author Posted May 8, 2012 la pagina del forum del 53° a me risulta down? ragazzi del 53 potete confermare? Moderator
Mago Posted May 8, 2012 Author Posted May 8, 2012 ok. ora e' su e sembra non dare problemi, ottimo!!! Moderator
Gaanalma Posted May 8, 2012 Posted May 8, 2012 Vi posto la News che il Comando di Stormo del 53° ha messo on line questa sera! English translation below. Da segnalazioni da parte di vari utenti e in parte anche per riscontro personale, pare che il forum sia stato compromesso da un malware che altera il JavaScript e scarica sul pc un trojan downloader. Ho controllato il codice del forum e aggiornato un paio di cose, ma non posso garantire che il problema sia risolto perchè non ho informazioni precise su cosa cercare. Vi chiedo di prestare attenzione e di annotare tutti i dettagli che posaono essere utili a individuare la causa del problema. Se la situazione non si risolve o non ci sono conferme in merito alla ripulitura del forum, provvederò a reinstallarlo (salvando il database, ovviamente e sperando che i problemi non stiano proprio li dentro, nel qual caso son dolori) --- After being noticed by various users and by personal verification, it seems this forum has been compromised by some malware altering the JavaScript and downloading a trojan downloader on the user's pc. I briefly checked the forum code and updated a few things, but i cannot guarantee the problem has been solved since i'm lacking the needed details. I'm asking you to pay attention visiting the forum and write down all useful details to track down the problem. If i will be missing any confirmation on the cleanup of the forum, i will proceed to reinstall (saving the database and hoping the infection is not there). [sIGPIC][/sIGPIC] www.36stormovirtuale.net
Mago Posted May 8, 2012 Author Posted May 8, 2012 secondo me e' risolta, la cosa che non capisco e' che avast mi ha bloccato il sito dicendo che era tutto a posto (come fa di solito) ma stranamente il mio pc a posto non era :) Moderator
TCKnight Posted May 8, 2012 Posted May 8, 2012 (edited) ero piu' propenso a dire che era il sito del 69, mah, forse pero' avevo gia' preso sto virus del cavolo, comunque unose ne accorge se lo ha, sto coso si lancia da solo e sembra che sia un anti virus removal :) Mago e per quale intercessione stellare l'avresti dovuto prendere da noi?? Edited May 8, 2012 by TCKnight The more you sweat in peacetime, the less you bleed in war. www.69squadrone.it [url="https://www.facebook.com/operationadriaticsea1[/url] S.O: Win7 64bit,MB: ASUS Formula IV ,CPU: AMD 965BE 3.4 @ 4.0 + Corsair Hidro H70 ,GPU: sli 2xGainward 570GTX "Golden Sample" HTC, HD: Raptor 10.000 rpm 500gb,RAM: DDR3 Corsair Extreme 1800Mhz 12gb ,Accessories:TrackIR4 6DOF, Hotas Cougar mod cubby, pro pedals, mfd pack + samsung led 8". Hotas Warthog serial 05629.
UWBuRn Posted May 8, 2012 Posted May 8, 2012 Grazie per la segnlazione ragazzi! Ero sulle costole del problema da una decina di giorni, perchè ha me ha tirato giù il virus della guardia di finanza, ma questo malware si era cautelato contro gli strumenti di scansione di Google & co., dunque non riuscivo ad avere conferma del problema. Armato di santa pazienza ho aperto il codice del forum e beccato l'inserimento di alcune stringe codificate e controlli che escludevano l'esecuzione del codice malevolo in caso di accesso di alcuni user agent, tra cui i vari bot di google, yahoo. Per sicurezza ho reinstallato il forum e salvato a parte il codice infetto per successive indagini. Ora dovrebbe essere tutto a posto. Non appena ne saprò di più vi metterò al corrente perchè abbiamo sempre fatto una gestione oculata del sito e non è chiaro come sia stato modificato il codice del forum, anche se immagino la colpa sia da imputare a un baco di SMF o di PHP, dunque il problema potrebbe colpire altri in futuro e arginarlo tempestivamente evita un sacco di rogne a tutti. Mi scuso per il disagio arrecato ai nostri visitatori. Per chi sospettasse di essere infetto il suggerimento è di passare malware bytes e super anti spyware, che di solito riconoscono le infezioni subdole, e in casi estremi combofix.
UWBuRn Posted May 9, 2012 Posted May 9, 2012 Aggiornamento... Purtroppo non solo il forum è stato compromesso, ma il codice di tutti gli script presenti sul nostro dominio, compresa roba che ho scritto io e quindi assolutamente custom, dunque o il problema è dovuto a PHP (ed effettivamente ci sono state gravi segnalazioni in merito) o è dovuto al nostro host, che è Aruba. Nei vari index.php è stato aggiunto un blocco di codice che recupera un javascript malevolo e che a sua volta scarica immondizie varie... ofrtunatamente il codice è ripetitivo, quindi posso cercarlo ed eliminarlo, ma mi ci vorrà del tempo. Per precauzione metto off-line la home di joomla.
UWBuRn Posted May 9, 2012 Posted May 9, 2012 Ho confrontato i files presenti sul sito con una copia di backup ed eliminato le differenze, dovremmo essere a posto... il sito è di nuovo up. 'notte.
Karon Posted May 9, 2012 Posted May 9, 2012 Bene per la risoluzione del problema. Comunque basta usare noscript per evitare il 90% dei problemi, anche se immagino che un sito considerato sicuro possa venire abilitato. "Cogito, ergo RIO" Virtual Backseaters Volume I: F-14 Radar Intercept Officer - Fifth Public Draft Virtual Backseaters Volume II: F-4E Weapon Systems Officer - Scrapped Phantom Articles: Air-to-Air and APQ-120 | F-4E Must-know manoevure: SYNC-Z-TURN
Nightmare Posted May 9, 2012 Posted May 9, 2012 Grazie della segnalazione Anche se dubito ci siano dei problemi nel nostro, per scrupolo faremo dei controlli con il WM. [sIGPIC][/sIGPIC] http://www.69squadrone.it S.O: Win7 64bit MB: ASUS 1366 P6X58D-E (Audio card integrated) CPU: INTEL Core i7 950 3.06Ghz 8MB GPU: GTX470 Gainward 1280MB GDDR5 "Golden Sample" HD: Western Digital 500GB WD5000AAKS 7200rpm 16MB RAM: DDR3 1333Mhz PC10666 6GB Kingston Accessories:TrackIR5 6DOF, Hotas Cougar.
TCKnight Posted May 9, 2012 Posted May 9, 2012 si si io lo farei fare per scrupolo anche agli esclusi a priori perchè dotati di santità qui non conosciute... The more you sweat in peacetime, the less you bleed in war. www.69squadrone.it [url="https://www.facebook.com/operationadriaticsea1[/url] S.O: Win7 64bit,MB: ASUS Formula IV ,CPU: AMD 965BE 3.4 @ 4.0 + Corsair Hidro H70 ,GPU: sli 2xGainward 570GTX "Golden Sample" HTC, HD: Raptor 10.000 rpm 500gb,RAM: DDR3 Corsair Extreme 1800Mhz 12gb ,Accessories:TrackIR4 6DOF, Hotas Cougar mod cubby, pro pedals, mfd pack + samsung led 8". Hotas Warthog serial 05629.
Nightmare Posted May 9, 2012 Posted May 9, 2012 Sono convinto che un po' tutti nel dubbio stiano controllando il proprio. Non credo che i Virus facciano eccezioni per nessuno. ;) [sIGPIC][/sIGPIC] http://www.69squadrone.it S.O: Win7 64bit MB: ASUS 1366 P6X58D-E (Audio card integrated) CPU: INTEL Core i7 950 3.06Ghz 8MB GPU: GTX470 Gainward 1280MB GDDR5 "Golden Sample" HD: Western Digital 500GB WD5000AAKS 7200rpm 16MB RAM: DDR3 1333Mhz PC10666 6GB Kingston Accessories:TrackIR5 6DOF, Hotas Cougar.
TkER Posted May 9, 2012 Posted May 9, 2012 Ma cosa dovrebbe venirmi fuori se sono infetto ? Io lo visito sempre il forum del 53° stormo...
Recommended Posts