Alcuni utenti hanno segnalato che da ieri certi software antivirus segnalano Forumastronautico.it come un sito dannoso.
A partire da questo pomeriggio, anche gli utenti del browser Chrome (e Chromium) ricevono un messaggio simile.
Firefox 3 e IE7, sebbene credo utilizzino liste di verifica malware, non danno allarmi.
Siamo al lavoro per determinare se si tratta di falsi allarmi o di una reale contaminazione dei file presenti sul server.
Nel frattempo, in mancanza di certezze, consigliamo a tutti l’utilizzo delle ultime versioni aggiornate del vostro browser preferito, di un software antivirus aggiornato per i sistemi windows, e della vostra totale discrezione nell’accesso al Forum
tutte le volte che mi collego al Forum Norton mi avvisa che il mio PC e stato attaccato da un trojan.Più esattamente
HTTP trojan Zbot Domain
Url aggressore :governmetfunding.net/unipack/index.php
nella giornata di ieri 13 Agosto alla apertura della Home page del forum, a me compariva una finestrella di segnalazione di Firefox (3.5.2) in cui diceva che non riusciva ad attivare il plug-in di Acrobat reader. Il che mi lasciava perplesso perchè non era mai successo prima.
Siccome non era nulla di allarmante, non ci facevo caso più di tanto (cliccavo su Ok e proseguivo) anzi, pensavo fosse successo qualcosa a Firefox.
Comunque, accadeva solo nella home page e ogni qualvolta che vi si tornava.
Non so se può essere di aiuto ma ho notato che questo Virus cerca di entrare nel PC tutte le volte che vado su una pagina diversa del Forum e quando Aggiorno la pagina.
Adesso che mi ci fai pensare anche a me lo stesso giorno Avira free (non firefox però) mi ha segnalato più volte un messaggio di infezione virus legato al plug-in per i pdf . Io pensando che fosse una normale infezione ho eliminato il file come suggerito dall’antivirus.
Ho recuperato il messaggio di notifica nel caso in cui potesse tornare utile ;):
Nel file 'C:\Documents and Settings\[i]USERNAME[/i]\Impostazioni locali\Temp\plugtmp\plugin-pdf.php'
è stato rilevato un virus o programma indesiderato 'HTML/Rce.Gen' [virus].
Azione eseguita: Elimina file
Il problema non si è più ripresentato fino ad ora. Non so se quetsa storia del plugin PDF abbia a che fare con il problema del forum…
Il forum “pesca” ben pochi componenti dall’esterno. Principalmente le immagini di NASA TV.
Non ci sono file php relativi a plugin pdf…non è la prima segnalazione in merito, ma non ho idea di cosa indichi.
Come avrete notato ho tenuto il forum in manutenzione per buona parte della giornata per le dovute indagini.
Per prima cosa, la verità: si, siamo stati attaccati da qualcosa che ha modificato il sorgente del forum per fare si che i visitatori si collegassero ad un sito che diffondeva un programma malevolo.
Il sito in questione è ora disattivato, per cui a breve termine non ci dovrebbero essere rischi per gli utenti.
E’ improbabile che l’attacco fosse rivolto espressamente verso FA.it o i suoi utenti. Si è trattato semplicemente di un attacco “ad ampio raggio” verso molti siti che utilizzano lo stesso nostro motore.
Tuttavia, non sono stato in grado di isolare l’eventuale (ma probabile) parte di codice modificata e, causa vacanza di Marco, non ho accesso ad un backup per effettuare un confronto.
Dopo un riscontro iniziale non sono riuscito a riprodurre il tentativo di connessione verso il sito malevolo.
Ho scelto di riaprire il forum per avere un riscontro da voi.
Ricevete ancora messaggi dagli antivirus?
Riportate in coda a questo messaggio QUALSIASI INFORMAZIONE RITENIATE UTILE.
Il forum potrebbe andare in manutenzione ancora questa notte o nella giornata di domani per minimizzare i rischi per gli utenti e per effettuare ulteriori controlli. o a seguito di segnalazioni preoccupanti da parte vostra.
A breve informerò il team di SMF (il motore del nostro forum) per informarli di una possibile falla nell’ultima versione, ma non sono in grado di dare informazioni più dettagliate.
Io non ho ricevuro allarmi di sorta dall’antivirus (AVGfree) o dal browser (firefox), ma ieri ricevevo avvisi che il firewall di windows era disattattivato, senza motivo apparente, e questo mi faceva suonare un campanello d’allarme. Non lo avevo associato al forum perchè avevo molte pagine aperte nel browser, e poteva essere una qualsiasi, come una di quelle aperte in precedenza. Un’altra cosa strana è che il resident shield di AVG impegnava il 100% del processore (ora è tornato normale). Al momento, le scansioni di AVG e Spybot non rilevano niente.
Io uso Bubuntu 9.04 64bit e Akregator per leggere. Non ho nessuna segnalazione per favore non chiudete il forum che e’ una delle poche letture interessanti che ho da fare oggi
Ciao!
Io uso Windows Vista, Internet Explorer 8.0, AVG Antivirus e Windows Defender … nessun genere di segnalazione mi è pervenuta navigando sul forum!
Io mi sento “sporco” a farlo, e lo sto facendo solo per avere altro feedback, visto che qui in locale non riesco piu’ a riprodurre il tentativo di connessione al sito “incriminato”.
Ombelix, svuota la cache del browser e riprova. Vediamo se è una cosa “vecchia” oppure tu ancora lo ricevi…
Io uso sia Firefox che Chrome con XP e con Ubuntu e con entrambi i pc mi fa una cosa strana: svuoto la cache e sembra tutto ok, effettuo il login e nuovamente mi riappare la schermata del presunto malware… Strano, no?
Sarà.
Io in qualsiasi condizione (loggato-sloggato-cache-no cache) non ho messaggi su firefox (ma li ho su Chrome). MacOSX.
Tracciando le connessioni con Firebug non vedo piu’ la connessione incriminata. L’ho vista una sola volta, e posto screenshot
Guarda, io l’anomalia l’ho riscontrata lungo l’arco di un solo giorno. Poi non è più successo.
Non ho provato con l’altra macchina (Ubuntu), ma questa (che è quella che mi ha dato la segnalazione) monta XP SP3, Firefox 3.5.2, AVG antivirus e uso ZoneAlarm. Ma come detto, l’unico straccio di evento anomalo è stata la segnalazione, più e più volte, della finestrella plug-in di Firefox.
Dopo il 13/08 ho anche verificato se c’erano cose strane nel Log di ZoneAlarm, svuotato la cache di firefox, aggiornato AVG… ma di segnalazioni, nulla.
Certo che queste cose diventano sempre più infide.
Il mio appoggio morale (per quel che serve) per il tuo lavoraccio in corso
. Io pensando che fosse una normale infezione ho eliminato il file come suggerito dall’antivirus.
Strano, no?