Virus joomla blackhole exploit kit type 2065

Ciao,

Quando accedo al mio sito

http://www.cuscagliaricanoa.com/

l'antivirus mi avvisa della presenza di un virus. Navigando tra le pagine non mi sembra di vedere codice in più. Inoltre ho provato a scaricare via ftp tutte le pagine del sito e a fare la scansione, ma non è stato trovato niente.

E' un problema del server?

Grazie

[angolodicielo]

Sì c'è un virus.
Ma prima di tutto, devi fare una seria e approfondita scansione antivirus e antispyware sul tuo PC.
Quindi, se il problema sussiste, a PC ben controllato, fare un ripristino integrale ftp, dai pacchetti originali (niente backup... salvo che tu non sia ultracerto, dell'integrità di questo).

Presumo che contestualmente AV farà i suoi controlli...

Tu fai quelli indicati.

Grazie della risposta

- Ho scaricato via ftp l'intero sito sul pc.
- Ho fatto una scansione approfondita del pc (cartella contenente il sito compresa) e rimosso tutti i virus.
- Ricaricato con ftp il sito pulito sovrascrivendolo.

Dopo questi passaggi vengo sempre avvisato della presenza di un virus aprendo la pagina.

[angolodicielo]

Io ti consiglio di ripetere tutto avendo cura questa volta, di cancellare prima tutto il contenuto ftp, e dopo aver cancellato tutto, caricare il nuovo.
La sovrascrittura, non è il top.
Inoltre spero tu stia usando un picchiatore, come antivirus.
E ho specificato anche antispyware.

Se c'è un problema lato server, AV sta leggendo questo messaggio.

Rifatto il tutto eliminando prima di ricaricare.
Tra l'altro, prima di ricaricare quando non c'era nessun file nel mio spazio web, il messaggio del virus continuava a comparirmi comunque...

[angolodicielo]

Facciamo il punto...

Tu hai fatto una scansione approfondita antivirus e anitispyware.
Ancora non hai detto quali. Non sono tutti i uguali.

Quindi rigorosamente dai pacchetti originali, (niente backup), hai creato sul tuo PC un nuovo contenuto ftp, facendo molta attenzione a non inserire script, contatori, se non cose ultracollaudate, di certa sicurezza.

Quindi, hai cancellato l'intero contenuto ftp, e caricato il nuovo.

Non è che nel ricaricare, hai reinserito qualche script, in particolare, di qualche contatore??? Ma non solo?

Peraltro questo tipo di virus, non si diffonde tanto come file infetto, ma come codice che richiama file infetto. È forte il sospetto che tu abbia o usato un backup, oppure
abbia comunque reinserito qualche script (contatore o altro).


Se hai fatto bene tutto questo, ripristino integrale ftp, rigorosamente dai pacchetti originali, scansione, cancellazione, caricamento, si deve presumere che il problema sia o nel database o nel server.

AV presumo stia controllando. Ieri c'era un server in manutenzione, non so se era il tuo.

Tieni presente, che se ripristini da un backup, e il backup è infetto, ripristini il virus! Ecco perché si deve ripristinare dai pacchetti originali.

Solo tu puoi chiarire questo dubbio: hai ripristinato da backup? Hai reinserito script, contatori strani?

Allora,
la scansione è stata fatta con AVG e Trojan Killer della Grindinsoft, da altri pc si rileva il virus anche con Kaspersky e Avira..

Non ci sono script particolari nel sito. Inoltre è da mesi che non effettuo modifiche al sito, e il problema si è presentato solo da due settimane.

Il fatto poi, che dopo aver eliminato tutto via ftp (quindi con server vuoto con 0 file tranne quelli gia esistenti di altervista), provando ad accedere al sito, AVG continui a avvisarmi della presenza del virus, credo escluda in partenza la presenza di virus nei file del sito.

...e infatti credo che il problema fosse proprio nei file di altervista. C'era una porzione di codice nel file index.php della root. Eliminandolo pare sia scomparso.

Grazie per le risposte

[angolodicielo]

Bene. Infatti adesso la pagina è accessibile.