Ancora malware

[masmaz]

Ciao a tutti


per la seconda volta ho subito un attacco malware al sito.


Il sito è con joomla 2.5.11,  l'intrusione avviene sul index.php del template, non so più cosa fare..
ovviamente google me lo mette in quarantena e blacklist quindi devo fare la menata della verifica...


cosa posso fare??
grazie
max
www.terziariare.com

[mau_develop]

Io ti consiglio di riferirti a questo post, senza praticare "eccezioni" tue
http://forum.joomla.it/index.php/topic,201260.0.html

i casi sono 3
1) il server su cui stai è na schifezza
2) Non elimini completamente il malware
3) hai qualcosa di bucabile che non risolvi, magari estensioni all'ultima versione ma abbandonate o di sviluppatori del tubo... stesso vale per i templates.

[masmaz]

grazie per la risposta...


Il server è quello di *******
no il malware è diverso, dai controlli è solo sul file index del template.
ho tolto tutte le estensioni non installate..., le uniche che ho sono
*****
ora mi vado a leggere quel post che mi hai indicato
grazie per ora...
max

edit: rimosso riferimenti commerciali

[katiamotta]

Ciao, anche io sullo stesso provider ho il sito internet aziendale bloccato da stamattina causa malware.
Non è stato però ***** a informarmi, bensì google.

Non riesco ad accedere a niente (né pannello Joomla, né pannello hosting, né FTP) e sto aspettando che mi dicano qlcs tramite ticket assistenza.
Intanto ho fatto scansione dei 2 pc aziendali dai quali potrebbe essere entrato qlcs, ma niente...
Che si fa?
 
edit: rimosso riferimento commerciale.

[masmaz]

cerca su google quei siti che ti scansionano il sito da eventuali malware..


se trovano qualcosa ti dicono che cosa e dove si trova, a questo punto entra via FTP e elimina il malware... una volta che ***** ti ha rispristinato il servizio... 
poi per togliere il sito dalla black list devi richiedere una verifica da parte di google dal webmaster tools


max

[katiamotta]

Grazie max, infatti la scansione mi ha trovato un javascript che non ho certo installato io da xxxindianxxx.
Ovviamente non posso fare niente adesso, ma come lo tolgo?

[masmaz]

devi scaricare il file che ti ha indicato dove è posizionato il malware...  è sicuramente un <iframe></iframe> lo togli, salvi e lo rimetti dove era... poi rifai la scansione


via FTP con filezilla  o cute ftp
o dal pannelo di aruba tramite il file manager

[katiamotta]

Grazie ancora!
Ho sollecitato **** che si prendono sempre quelle 24 ore di tempo (come se uno i siti internet aziendali li facesse per sport invece che metterci su le campagne SEO e GoogleAds, tanto per dire...).
Hanno detto che pensano loro alla pulizia.


Intanto mi chiedo come è possibile che sia entrato questo malware. Ho fatto la scansione dei nostri PC aziendali e non ho trovato niente. Circa 10 gg fa il sito è stato down per un'altra giornata per un errore Parse e anche lì ho contattato **** e poi hanno sistemato loro dicendo che era un problema di versione php, menzionando delle modifiche ad un plug in che non avevo certo fatto io.


Tira aria strana in giro o mi sbaglio?

[masmaz]

cambia la pw di admin di joomla
 e poi fai cambiare le pw  del dbsql...  mentre quella del pannello hosting di **** la puoi cambiare tu...


ovviamente entrano da qualche componente non in uso, qualche file rimasto, qualche plugin disattivato....
possono entrare anche tramite ******* ma ovviamente loro negheranno sempre una cosa del genere...

[mau_develop]

..scusa masmaz... ma se sai come procedere che cosa hai postato a fare?

[tomtomeight]

Chiudo per continuata violazione del regolamento. Mi meraviglio che utenti con 600 e passa post lo ignorano tranquillamente!