mining sul mio server?

[luca1711]

Ciao a tutti, ho un sito nuovo messo su questo mese con nome dominio sempre nuovo, da qualche giorno ho fatto la configurazione di analytics e nel primo rapporto mi sono accorto che nei link delle pagine che visitano gli utenti mi da tra i risultati questo link /?r=http://bitcoin-4038.kxcdn.com

https://prnt.sc/j0sham

digitando https://www.miosito.it /?r=http://bitcoin-4038.kxcdn.com mi ritorna alla pagina home e non restituisce un errore 404, questo mi fa preoccupare, è possibile che il mio server sia stato infettato da qualche visrus o malware che sfrutta le risorse del mio server per fare mining?

Grazie a chiunque possa darmi maggiori informazioni

[fibo]

Ciao.

Strano come errore. L'URL costruita con due dichiarazioni "http" dovrebbe andare in errore.
Comunque non credo che usino il tuo server per fare mining. Ormai data la complessità stanno usando solo hardware ASIC.
Sembra più un problema legato a malware. Il sito gira su hosting Windows?

[luca1711]

Ciao, grazie della risposta.

No windows, ho Linux #1 SMP Debian 3.16.51-3+deb8u1 (2018-01-08) x86_64

Non capisco perché sia già infettato. Hai qualche suggerimento su come fare uno scaning per cercare di capire la natura di questa cosa?

[fibo]

 

No, non ho mai avuto questo tipo di necessità. Non saprei cosa consigliarti.
Naviga nella directory del sito, per capire se è stata aggiunta qualche cartella. 
Altrimenti prova semplicemente ad aggiungere un filtro a Google Analytics:

https://stackoverflow.com/questions/29849182/very-weird-pageviews-in-google-analytics

[fedesib]

Ciao,

hai installato qualche modulo nuovo, magari gratuito? Purtroppo mi è capitato di vedere codice di mining "nascosto" in moduli gratuiti.

Buona giornata,
Federica

[luca1711]

Ciao Federica,

Si, ma solo due, uso la versione 1.7.2.5 e mancava il modulo per generare la sitemap, mi è stato girato in un gruppo facebook famoso su prestashop, e poi solo quello per i pagamenti con postepay prelevato in un topic in italiano qui nel forum, ora non ricordo ma dopo posto il link..dove c'eano già diverse centinaia di download.

Potrebbe essere uno di questi moduli? Ho fatto delle verifiche ma sembra che non venga rilevato alcun malware

Hai qualche consiglio su come scansionare o analizzare un eventuale modulo o file sospetto?

 

 

[flanders]

Probabilmente uno dei due moduli sarà infetto.

[fedesib]

Ciao,

la cosa più semplice che mi viene in mente è cercare la stringa  in tutti i files del codice dei moduli in questione.

22 hours ago, luca1711 said:

http://bitcoin-4038.kxcdn.com

 

Se non la trovi, potresti provare a cercare nel codice "base64_", spesso il codice malevolo viene offuscato in qualche modo. In ogni caso ti consiglio di disattivare (magari anche disinstallare e cancellare) questi moduli e stare a vedere se/come cambiano i dati di Analytics che ti avevano fatto insospettire.

Se non fossero i moduli bisogna andare avanti ad indagare nel server: sei su un hosting condiviso o hai un tuo VPS?

Buona giornata,
Federica

[luca1711]

Grazie mille a tutti per le risposte, ora farò le dovute verifiche e posto i risultati.

Per il momento i moduli sembra apposto o almeno non ho trovato il codice tra i file... vedo di approfondire

[Giuseppe S.]

Ciao, spero di dirti cose sensate:

Il problema è stato rilevato da tantissime persone, ed è stato posto all'attenzione nelle varie community di assistenza di Google. In particolare da quello che leggo chi risponde parla di SPAM (in particolare in più casi di REFERRAL SPAM). Ti allego qualche link, ma ne sono veramente molti, in varie comunità e forum che affrontano questo problema. 

https://productforums.google.com/forum/#!topic/sites/uiyTdU_h7F0

 

https://carloseo.com/removing-google-analytics-spam/

 

Sinceramente, come ti ha scritto fibo è difficile pensare che si faccia mining di Bitcoin in questo modo, data la complessità che oramai l'operazione ha raggiunto. Conta che in tutto il mondo (se parliamo di Bitcoin) ci saranno 400 realtà che fanno mining. E' d'altronde per questo che si è creata una fork (che però mi sembra sia fallita). Le società di miners hanno un potere decisionale enorme sulle decisioni Politiche che chi porta avanti il progetto prende, e c'è chi ha fatto notare che il fatto che siano sempre meno e che si trovino tutte in Cina e Russia magari non è una buona cosa. Poi ovviamente si può fare mining sfruttando molti pc messi in rete, ma se ne scrive molto e non so se questo si può fare e se vale per i bitcoin. Avevo sentito di una sorta di virus che si installava sui PC e li sfruttava per fare mining (appunto in rete), ma non so fino a che punto possa essere vero, soprattutto per i Bitcoin. Probabilmente fare mining per le altre criptomonete (che si basano sulla Blockchain) è facile (visto che nessuna ha un grosso volume di criptomonete create) e quindi minarle non richiede grosse operazioni di calcolo. Però non so se in questi altri casi c'è chi è interessato a minare altre criptomonete che non hanno valore. Tutto questo solo per dirti che difficilmente anche secondo me è  che si sta utilizzando il tuo server per minare Bitcoin.