Autore Topic: codice sospetto (Letto 2381 volte)

gmtosin · « **il:** 20 Dic 2013, 10:42:30 »

Ciao, ho da poco rimosso del codice dopo un attacco. Premetto che aggiorno costantemente sia Joomla che tutte le estensioni caricate. Continuo a trovare utenti che si registrano molto sospetti e li elimino, ma credo che nel frattempo abbiano già fatto danni. Adesso ho disbilitato il Login e la Registrazione.
Ho trovato ancora del codice sospetto che vi sottopongo per capire cosè e dove cercarlo nel sito per rimuoverlo. Ho già fatto una verifica dei file index principale e del template ma niente.
Il codice è questo: ******
il sito è http://www.sommozzatoribassano.it/
Grazie
ciao

edit: rimosso codice sospetto

giusebos · « **Risposta #1 il:** 20 Dic 2013, 10:55:55 »

se non sbaglio avevi già ripulito il sito da qualche link, e magari joomla è aggiornato insieme alle sue estensioni.

Inizia con il cambiare password agli amministratori joomla
e le credenziali ftp e mysql dello spazio web

Fatti un backup del sito dopo che lo hai ripulito.

gmtosin · « **Risposta #2 il:** 20 Dic 2013, 11:17:48 »

Si, evidentemente si sono affezzionati al mio sito...

Citazione

Inizia con il cambiare password agli amministratori joomla
e le credenziali ftp e mysql dello spazio web

questo l'ho già fatto

Citazione

Fatti un backup del sito dopo che lo hai ripulito.

qui invece non so dove cercare per ripulire.. qualche idea? secondo te cosa fà questo codice?
grazie
ciao

giusebos · « **Risposta #3 il:** 20 Dic 2013, 11:21:51 »

nessuna idea

BelinBelan · « **Risposta #4 il:** 20 Dic 2013, 11:27:50 »

Citazione da: gmtosin - 20 Dic 2013, 11:17:48

secondo te cosa fà questo codice?
...

Secondo google:

http://webmasters.stackexchange.com/questions/52059/what-service-could-be-adding-newrelic

monitora....

gmtosin · « **Risposta #5 il:** 20 Dic 2013, 11:43:29 »

Ciao, se non ho capito male quanto riportato nel link che mi hai indicato, il codice è installato nel server e lavora in background, non è codice inserito nel sito. Dovrei contattare il mio servizio di Hosting per chiedere di rimuoverlo? Scusatemi ma non sono molto pratico di queste cose.
Grazie. Ciao

mmleoni · « **Risposta #6 il:** 20 Dic 2013, 14:41:35 »

ciao,
il codice in questione serve al monitoraggio del sito, è una specie di analytics, vedendo il sito. in realtà te ne è sfuggita una parte che è nella <head> dell'html; nello specifico i due pezzi di codice caricano una libreria remota e inseriscono in coda alla pagina uno script che carica la definizione del token. da questo codice si capisce il riferimento a newrelic.com.

è una buona idea chiedere al tuo provider se ne sa qualcosa, dato che di norma il pacchetto di analisi si installa a livello di zend engine o di framework.

ciao,
marco

Autore Topic: codice sospetto (Letto 2381 volte)

gmtosin

codice sospetto

giusebos

Re:codice sospetto

gmtosin

Re:codice sospetto

giusebos

Re:codice sospetto

BelinBelan

Re:codice sospetto

gmtosin

Re:codice sospetto

mmleoni

Re:codice sospetto