Sito non visibile per Infezione:JS:Iframe-XJ [Trj]

[mamozio]

Salve!Improvvisamente oggi, se vado su tre siti che ho fatto, Avast mi da il messaggio che il sito risulta infettato! :-(
In pratica mi dice:
Processo:   C:\Program Files (x86)\Mozilla Firefox\f...
Infezione:   JS:Iframe-XJ [Trj]
Nell'oggetto www.miosito.com/{gzip}
Che diavolo di virus è?? :-(Come fare per capire dove si è insidiato? In quali files?
E' un falso positivo?
Devo contattare anche il provider??

Aiuto!Grazie|

[jeck_ara]

Anch'io ho subito la stessa infezione su 2 siti da me realizzati.
Essendo due versioni diversi, suppongo che il virus sfrutti le credenziali ftp per infettare i files.
Il virus aggiunge del codice su tutti i files con estensione .js su tutti html della cartella help e sugli index.php
Il codice che aggiunge, quasi sempre alla fine del file è:

****

Ho ripulito tutti i files, ma evidentemente ha infettato anche altri files che fin'ora mi sfuggono.
Spero almeno che non abbia infettato il DB.
Se qualcuno può darci una mano, ci eviterebbe di buttare mesei e mesi di lavoro.
Grazie infinite

edited by tt8: rimosso codice malevolo.

[tomtomeight]

Ripulite i vostri siti e venite a buttare la spazzatura nel forum?

[jeck_ara]

Ho postato il codice poiché pensavo potesse essere di aiuto anche agli altri che hanno subito la stessa infezione per ripulire il sito. Il problema è che non riesco a ripulire del tutto.
Caro moderatore, anziché scaldarsi e offendere, spuntando sentenze, perché non ti prodighi per risolvere il problema? Dato che, cercando su internet, i siti più colpiti sono basati su joomla.

[tomtomeight]

Da cosa deduci che il moderatore deve risolvere i tuoi problemi?  Ho esternato  il mio pensiero in merito alla cattiva abitudine di postare codice malevolo nel forum e se leggevi con attenzione capivi che era un richiamo generale e non personale  nei tuoi confronti. La soluzione stà nelle linee guida del topic in evidenza. I siti più colpiti saranno pure quelli joomla forse anche perché è il più diffuso e quello più utilizzato e qelli infettati quelli di chi proprio non si preoccupa della sicurezza demandando il compito ai moderatori?

[jeck_ara]

Non mi aspetto di certo l'aiuto dal cielo del moderatore.
Ripeto, ho postato PARTE del codice,  poiché pensavo potesse essere utile anche agli altri a
per risolvere il problema.
Non sono così sprovveduto da postare il codice malevolo completo. Se sono venuto contro al regolamento del forum, non posso che chiedere scusa, ma sta di fatto che stiamo montando un inutile polemica e il problema rimane irrisolto

[tomtomeight]

Io non sto montando nessuna polemica, se invece di ribattere punto su punto segui quanto ti ho detto (post in evidenza e aggiungo ricerca nel forum per questioni simili) forse riesci anche a risolvere ed evitare di ricadere.

[Vulpiani]

Potresti ripostare di nuovo parte di questo dannato codice? Non lo trovo in nessun file...o almeno, potresti dirmi dov'era e come hai risolto?

[mau_develop]

non serve

[Vulpiani]

Ah bene... quindi come potrei fare per eliminarlo?

[mau_develop]

sovrascrivendo i files

[Vulpiani]

Perciò va bene fare soltanto questo, non c'è bisogno di estirpare il codice manualmente (magari sostituendolo con una linea bianca tramite notepad++...) ?

[ofiuco78]

ragazzi, ho avuto lo stesso problema su una decina di miei siti a cui sto disperatamente lavorando quotidianamente poiché purtroppo alcuni sono stati messi in black list da google.
Credo, dico a bassa voce, di aver risolto.

Il malware ruba le credenziali di accesso ftp e inietta tutti i siti presenti con quel iframe javascrip.
Soluzione? come già detto da altri, sperare di avere un backup pulito e sovrascrive tutti i file, nel caso contrario tocca ripulirseli a mano...lo so, sono tantissimi file....
secondo, notificare quanto successo al proprio fornitore di hosting e chiedere aiuto anche a loro....gli hosting più scarsi mi hanno solo risposto che il problema risiedeva nei miei file altri invece si sono rivelati disponibili indicandomi anche qualche file infetto che avevo tralasciato.
una volta sicuri di aver ripulito tutto passare al cambio password sia ftp e amministrazione...
se andati in blacklist notificare a google che il sito è pulito e in breve tempo effettueranno loro stessi ulteriore controllo che in caso positivo vi sbloccherà il sito dall'avviso di sito potenzialmente dannoso..
spero di esser stato di aiuto..