Joomla.it Forum
Non solo Joomla... => Sicurezza => : zeromila 26 Apr 2010, 16:34:13
-
Dopo un annetto di vita di un mio sito, oggi mi è stato segnalato che quando lo si andava ad aprire veniva rielvato un trojan-downloader.JS.agent.fhc, deduco che atraverso qualche simpatico bug qualcuno abbia potuto modificare tutti i file index.html, tutti i file .js e i file index.css aggiugnendo alla loro conclusione questo script:
"<script>var Eu=new Array();.... etc. etc. etc.
le domande sono due:
- c'è un modo semplice per rimuovere il tutto senza dover modificare tutti i file uno ad uno?
- c'è un modo x capire che fa questo benedetto script e magari risalire al simpatico amicone che ha fatto lo scherzetto?
grazie a tutti per la disponibilità dimenticavo, il sito in questione è http://www.antenna2.it/rad (ci sono tr diverse isntallazioni di joomla in /web in /rad e in /tv, l'unica intaccata è quella /rad)
-
per cortesia, se è un malware evita di postarlo tutto e usare le tag code..
sposto nella sezione sicurezza
-
le domande sono due:
- c'è un modo semplice per rimuovere il tutto senza dover modificare tutti i file uno ad uno?
No, o meglio dire non ne conosco
- c'è un modo x capire che fa questo benedetto script e magari risalire al simpatico amicone che ha fatto lo scherzetto?
Quello che fa lo dice già il nome evidenziato dal rilevatore ovvero un "trojan-downloader" (una delle tante varianti dei cavalli di troia)... riuscire a capire chi lo ha inserito e come cercare di capire se è nato prima l'uovo o la gallina.
P.S.
Ho rimosso il codice che hai inserito per motivi di sicurezza.
-
ehm e per evitare che la cosa si ripeta che posso fare, dato che ormai ho quasi finito di sistemare tutti i file infetti...
-
ciao,
leggi questo:
http://www.mmleoni.net/ripristinare-joomla-dopo-un-attacco
è un po' la sintesi di tutte le risposte date.
ciao,
marco