Cosa fare se nel blog vi ritrovate trojan e dialer

E' successo anche qui da me un paio di mesi fa:
di punto in bianco, dopo parecchio tempo di onesto funzionamento, uno degli script per contare gli utenti online (che non nomino perché pare che ora sia ritornato nuovamente sulla "retta via") si mette a far comparire la richiesta di installazione di un certo componente ActiveX, non ricordo, non proprio un dialer ma qualcosa di non gradito. L'ho tolto subito.
La domanda sorge spontanea: "come hai fatto a localizzare lo script incriminato?", molto semplice era l'unico script esterno che utilizzavo , dunque per come individuarlo in caso di parecchi script proseguiamo il discorso...

Falconelvento dice:
«non riesco ad aprirlo da ieri,senza beccarmi un virus trioan dialer! Credo sia dovuto ad alcuni servizi che ho sottoscritto recentemente(bravenet e powerstat) ho disdetto e cancellato il codice dal temlpate,ma il problema rimane!!»

Come giustamente sospetta lui, è colpa di qualche servizio o "oggettino", alle volte puramente estetico, che si è inserito nel template del proprio blog. Dunque l'obiettivo è identificare quale dei vari oggetti inseriti crea il problema:
basta entrare nel codice del template e cercare la scritta "script", sì perché come tutti i servizi e strumenti web tipicamente si usa un codice del tipo:

Dunque sercando la parola "script" incontrerete i servizi javascript che avete inserito, nel caso vi foste scordati dove li avevati messi nel template. Con i codici javascript simili a quello sopracitato è possibile far comparire il contenuto del servizio vero e proprio, di solito utile e onesto... oppure nascondere dietro ad un servizio più o meno utile, ma anche banale, come un'immaginetta simpatica, invitante e "carina"... una bastardata come attivare un dialer. A questo punto, specie per chi ne ha molti, è bene cominciare a sospettare dei servizi "meno seri", per esempio non penso proprio che nel caso di falconelvento, il trojan sia dovuto a un servizio di statistiche (di solito piuttosto corretti)... ma non si può mai dar nulla per scontato.
Nel suo caso sospetterei dei servizi come quello dell'umore (unkymoods), è tipico... attraggono con un affaretto simpatico, "caruccio" (o più tecnicamente "puccioso" ), insomma apparentemente innocuo e sotto sotto usano javascript per sparare download di dialer, anche se con Mozilla il download automatico dei dialer non funziona, dunque vai sul sicuro (altro ottimo motivo per non usare sempre Internet Explorer).
Alcuni di questi meccanismi vengono identificati dagli AntiVirus come "Trojan Horse Dialer", cioè non è il classico Virus Trojan di tempo fa che ti ribalta e incasina il pc però, molto più "discretamente" ti installa zitto-zitto il dialer e ti sostituisce la loro connessione a pagamento a quella che stai utilizzando in quel momento: attenzione, rischiano quelli che usano il modem 56k con linea telefonica, chi invece ha ADSL non rischia assolutamente nulla perché si connette via cavo.

Tornando ai javascript, per identificarlo senza star lì a fare Sherlock Holmes per dedurre logicamente chi è il colpevole, è necessario cominciare a isolare uno dopo l'altro (a partire dal più sospetto) tutti gli script; potrebbe essere anche la TagBoard dopotutto è l'unico oggetto in comune con Ayleen che segnala lo stesso problema (altro modo per direzionare i sospetti). L'unica cosa è che le indagini potrebbero durare più giorni, teoricamente un giorno per ogni script perché a meno che non sia uno "spara-dialer incallito" di solito la finestrella di download appare solo una volta ogni 24h, o meglio per "sessione" [più tecnicamente ogni volta che si cambia IP, dunque se hai l'IP assegnato dinamicamente dal provider, come di consueto, puoi disconnetterti e ritentare nuovamente dopo una decina di minuti, per assicurarsi di non avere nuovamente lo stesso IP della connessione precedente, a questo punto seriaprendo il blog il dialer non compare vuol dire che il problema è risolto]. La parentesi tecnica serve proprio ad evitare di attendere il giorno dopo per vedere se lo script "malizioso", il colpevole del trojan, è stato finalmente rimosso.

L'importante è esser certi di aver rimosso quello giusto prima di arrivare a conclusioni affrettate, a discapito magari di altri servizi onesti. Nell'indecisione consultare sempre chi ha esperienza per esser certi.

L'ho tirata particolarmente per le lunghe ma mi sembrava il caso di fornire più dettagli possibili.

dritte

E' possibile denunciare un locale pubblico per abuso di aria condizionata?
Che dite?

Io non capisco, ci si lamenta del freddo invernale e quando finalmente arriva il caldo si vuole a tutti i costi rigenerare artificialmente proprio lo stesso clima invernale. A zone tra l'altro, dunque se in una giornata ad esempio decidi di fare un salto alla "giesse" e da "meddònal" sei rovinato, distrutto fisicamente dalle escursioni termiche, ancor prima di accusare traumi per l'insana alimentazione dell'ultimo, ma è un altro discorso.
Almeno regolatelo come si deve, trovate un equilibrio, porcapupazza.

Ecco, magari abuso di refrigerio pubblico aggravato non sollecitato... non so, ci sarà un capo d'accusa adeguato.

varie

Damina: Per evitare che la Referrer List forzi la larghezza di colonne o altro del layout, insomma per contenere indirizzi particolarmente lunghi, c'è l'apposito Editor: heracleum.altervista.org/res/refs/editor.php. Oltre a definire colori, bordi, etc.. serve principalmente proprio per assegnargli delle dimensioni fisse.

Sonjia: Almeno per ora la Referrer List è fatta proprio per mostrare pubblicamente gli accessi e le parole chiave dei motori di ricerca.

absinthfreespirit: Mozilla, in quanto browser, c'entra parecchio con l'HTML, ovvero una pagina può risultare in modo scorretto su Mozilla (o altri browser) se si usa un html un po' troppo "di parte", per es. che piace solo ad I.Explorer (e non segue le "esortazioni" del W3C [http://www.w3c.org]). Consiglio a chi vuole realizzare pagine con buona compatibilità, oltre a visitare w3c, di controllare come appaiono su Explorer, Mozilla e Opera.

Forsa Pupasso la vendetta è ad un passo!
Riassunto: il premier chittivo invidioso del successo di suo noto avversario Pupasso, dopo tutto il lavoro di chimpagna lettorale fruttuosa ma faticosa, ha sabotato la stampa delle schede facendo cancellare il faccione asuro di suo temibile avversario. La mattina del voto Pupasso si è recato alle urne e con gran stupore e disperassione si è accorto del vile tranello, poi corso subito ad avvertire gli sii. Pupasso pianto molto, anche perché non hanno annullato elessioni, e ora si prepara a pregustare la vendetta!

varie

Per le designer interessate ai commenti Drop-Down (a discesa):

i relativi codici da aggiungere per implementare questi commenti li trovate nel blog di test:
http://temptest.splinder.it

Il template caricato in temptest ovviamente utilizza i codici e per qualsiasi curiosità basta che sbirciate il source HTML del blog.

annunciazione

Commenti a scomparsa

L'estate si appropinqua, le sedie a sdraio cominciano ad essere sempre più sdraiate... e allora sapete che vi dico, io intanto vi sdraio i commenti
Più precisamente, come potete facilmente notare, si aprono in fondo al post nella pagina stessa del blog: magari nel caso non vi funzionasse il "meccanismo" vi sarei molto grato se mi comunicaste su quale browser accade ciò, preferibilmente anche il numero di versione. Su Explorer e Mozilla pare andare bene mentre su Opera fa le bizze.
Per la serie "non si sa mai" spiego: il browser è quel "coso" che vi permette di navigare su internet, come Internet Explorer per capirsi.

Oh invece per la serie "mica pizza e fichi": ringrazio i viandanti incuriositi che mi hanno lasciato i complimenti riguardo i commenti "a scomparsa" e tra questi - dico vero...- anche l'Illustrissima Signora Redazione scusate se strombazzo l'evento ai 4 formaggi ma capirete...
sono soddisfazioni.

annunciazione