Strano codice che compare in più parti del sito

[Angaelus]

Ho provato a fare un secondo backup del sito "infetto". Scompattandolo, lo stesso antivirus mi individuava i vari problemi, cancellandoli.


Ora ho il backup pulito, scansionato, controllato il codice dei vari .js senza trovare nulla. Ricercato in tutte le cartelle file .pl, senza trovarlo.
Ho installato il sito in locale ed è tutto perfetto.


Ora come ora, mi sembra di avere un backup totalmente privo di infezioni.


Oltre a quello che ho già fatto, ovvero:
- Modificato credenziali di accesso a spazio web, ftp e a joomla stesso
- Fatto scansione del pc con: AVG, AD-AWARE, SPYBOT, COMBOFIX
- Permessi cartelle 0755, file 0644
- Cancellato Super Admin con id 62
- Aggiornato tutte le estensioni


Prima di rimettere tutto online, cos'altro posso fare per evitare che, per l'ennesima volta, questa "copia pulita", venga infettata?


Grazie ancora a tutte, specie a maicol che mi sopporta da troppo :p

[nettuno75]

Pei i file php del template usa i permessi 444..

[Angaelus]

Sito nuovamente online, pulito. Eseguito le seguenti scansioni:
- Tool Webmaster di Google
- AVG Threat Labs
- URLVoid
- HackerTarget
- Sucuri


Tutti hanno dato risultato "Clean".


Permessi cartelle a 0755, permessi file a 0644 e permessi .php template e config a 0444.


Posso sperare di vedere il mio sito pulito per più di 5 giorni?

[mau_develop]

se non hai vulnerabilità nelle estensioni, nei template o nelle cose che hai aggiunto direi di si
se non passano dal server direi di si

cambiare i permessi non serve a quasi nulla, nelle normali configurazioni hosting se li puoi cambiare tu li possono cambiare anche loro una volta sul server, e scrivere le modifiche

[Angaelus]

E ovviamente, lato server io non posso fare assolutamente nulla, giusto?

[mau_develop]

no, se non scegliere servizi seri e configurazioni ottimizzate per l'applicazione.

M.

[Angaelus]

Incredibile, il sito pulito è durato circa 12 ore!!! Mi stanno girando in modo incredibile!!


Non so davvero che fare, se non buttare via due anni lavoro...

[Angaelus]

Nuovo aggiornamento.


Ieri sera ho di nuovo messo online il backup pulito, stavolta però ho direttamente disinstallato le estensioni in locale prima (acymailing).
Rimesso tutto online, tutto pulito e scansionato.


Questa mattina è di nuovo infetto... Quando cerco di aprirlo dal browser, l'antivirus blocca dicendo che c'è pericolo trojan.


Boh.. sono senza parole...

[maicolstaip]

Ciao Angaelus,
hai chiesto all'hosting?
Che dicono?

[Angaelus]

Gli ho esposto tutto il problema, e l'unica cosa che mi hanno detto è stata "Vuole che le resettiamo lo spazio?".


Ora sto cercando di andare per vie alternative... Ho disinstallato tutto, acymailing, kunena, il modulo per il log in, gli utenti... tutto in pratica. Ora vediamo quanto dura.

[Angaelus]

E' di nuovo durato poco più di 12 ore. Nuovamente avviso dell'antivirus che visitando la pagina si rischia di essere infettati da un trojan... E ora di estensioni proprio non ne ho, se escludiamo xmap...

[Angaelus]

Nuovo aggiornamento. Ho voluto fare una pazzia e ho rifatto il sito da zero, questa volta però utilizzando Joomla 2.5. Template anche rifatto da zero. Sito online da circa due giorni e, per ora, nessun problema di infezioni strane (ma non voglio dirlo troppo forte :p).


Che il problema fosse la versione 1.5?

[Angaelus]

Mi dichiaro ufficialmente sconfitto... Nonostante abbia rifatto il sito con la versione 2.5 (l'ultima rilasciata), rifatto il template da zero e lasciato il tutto senza mettere alcun componente, se non Akeeba Backup, il sito risulta nuovamente infetto...


Se vado sulla home appare l'avviso del browser che avverte che è stato bloccato l'accesso al sito "thegodperspective.tv "


Non capisco davvero come sia possibile una cosa del genere... se qualcuno ha qualche idea, sono disposto a tutto!!

[mau_develop]

io cambierei hosting