Buonasera a tutti, sono nuovo sia del forum che nell'utilizzo di Joomla, seguo alcuni siti fatti da terza persona e uno di questi ha una versione vecchia di joomla la 1.5.26 ultimamente presa di mira dai soliti Bimbo M...... inseriscono codice malware nei file .html e .php in modo automatico sono riuscito a beccare la shell e il file che partiva ogni tot e leggeva tutti i file inserendo il codice maligno ma mentre mi sto preparando a migrare lo scriptboy di turno continua a usare un bug XSS e inserisce il suo codice che non fa altro che redirct verso siti di medicinali.
Nella ricerca e pulitura ho trovato un file che penso sia infetto facente parte di altro sito ma con joomla 2.5 essendo poco esperto e non conoscendo tutti i file chiedo a voi se il seguente file modules/mod_gtranslate/tmpl/default.php ha normalmente questo codice dentro.
" <script type="text/javascript">
/* <![CDATA[ */
eval(function(p,a,c,k,e,r){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('6 7(a,b){n{4(2.9){3 c=2.9("o");c.p(b,f,f);a.q(c)}g{3 c=2.r();a.s(\'t\'+b,c)}}u(e){}}6 h(a){4(a.8)a=a.8;4(a==\'\')v;3 b=a.w(\'|\')[1];3 c;3 d=2.x(\'y\');z(3 i=0;i<d.5;i++)4(d
.A==\'B-C-D\')c=d;4(2.j(\'k\')==E||2.j(\'k\').l.5==0||c.5==0||c.l.5==0){F(6(){h(a)},G)}g{c.8=b;7(c,\'m\');7(c,\'m\')}}',43,43,'||document|var|if|length|function|GTranslateFireEvent|value|createEvent||||||true|else|doGTranslate||getElementById|google_translate_element2|innerHTML|change|try|HTMLEvents|initEvent|dispatchEvent|createEventObject|fireEvent|on|catch|return|split|getElementsByTagName|select|for|className|goog|te|combo|null|setTimeout|500'.split('|'),0,{}))
/* ]]> */
</script> "
lo chiedo perché è codato in eval(function(p,a,c,k,e,r) lo stesso metodo del malware ma decriptandolo non sembra un redirect.
Grazie per l'aiuto.
