Joomla.it Forum
Non solo Joomla... => Sicurezza => : BigWill 20 Apr 2012, 12:39:26
-
Salve, mi è capitato che ero da un cliente e nel fargli vedere un sito fatto l'antivirus gli ha dato trovato dei malware all'interno dello stesso non facendoglielo aprire.
Per il seguente sito effettuo scansioni continue, bacukup e tutto quello che serve per tenerlo attivo, pulito e funzionale, tutto questo OGNI SINGOLO GIORNO, com'è possibile che non riscontro problemi ed il sito mi funziona perfettamente ma che alcuni antivirus me li trovino?
Addirittura mi trova problemi in alcune pagine che sono semplicemente articoli :S non riesco minimamente a capire quale possa essere il problema. Il dominio è gerrysantorogroup.net
-
io ricevo questo ... prova a seguire il primo post
[allegato eliminato da un amministratore essendo vecchio più di un anno]
-
io ricevo questo ... prova a seguire il primo post
Non ho capito che intendi con seguire il primo post?
-
si scusa, il primo post in evidenza in questa sezione, Sicurezza
-
Si, lo avevo gia letto e seguito...rifaro un altra lettura per sicurezza...ma è tutto preciso e pulito non capisco perche mi da questi problemi :(
-
prendi un nuovo pc, aggiorna l'antivirus (altra versione) e rifai la scansione
-
Ho provato su 3 pc (e due mac ma ovviamente il mac non da problemi) ma mi segnala sempre virus o malware...
Aggiorno continuamente joomla e componenti e controllo ogni giorno tutto ma non capisco da dove se ne viene fuori questo, inoltre non ho aggiunto componenti o altro negli ultimi mesi.
-
Hola
Abbiamo un link al sito?
-
gerrysantorogroup.net ^_^
-
Hola
Effettivamente hay un js di malware che si trasferisce via ftp dal desktop, cerca un codice molto lungo che includa:
.....md='a';e=window['e'+'val'];w=f;s='';fr='fromChar';r=String[fr+'Code'];for(i=0;i-w.length<0;i++){j=i;s=s+r(39+w[j])
-
Cosa posso fare per risolvere?
-
Hola
Nel pc con un anti malware, nel sito cercando il codice ed eliminandolo.
-
Grazie di cuore a tutti per la completa disponibilità :)
Ora cerco di risolvere e vi aggiorno quanto prima...
-
Non riesco a trovare la stringa (non so bene dove cercare) ed ho riscontrato qualche altro piccolo porblemino dello stesso genere... come posso eliminare i problemi?
Se mi copiassi la root del sito sul computer, scansiono e pulisco e ributto tutto online, potrebbe funzionare?
-
Se mi copiassi la root del sito sul computer, scansiono e pulisco e ributto tutto online, potrebbe funzionare?
è quello che avresti dovuto fare dall'inizio ;)
-
Uh, ok allora provvedo...ho rifatto altre volte il procedimento ma non sapevo se era una cosa utile e corretta o una cavolata che mi ero inventato :P
-
..poi magari cercando un po'...
http://forum.joomla.it/index.php/topic,162123.0.html
http://forum.joomla.it/index.php/topic,162044.0.html
M.
-
è quello che avresti dovuto fare dall'inizio ;)
Ho seguito il tuo consiglio ma adesso non riesco piu a visualizzare il template. Mi da questo errore:
Il template per questa pagina non è disponibile. Contatta l'amministratore del sito.
Come posso risolvere?
-
cerca di essere più esplicativo quando esponi un problema.
versione joomla?
in quale fase succede ciò che hai detto?
cosa hai fatto prima?
più aiuti noi a capire, più aiuti te stesso a trovare una soluzione.
-
Come scritto sopra, non ho fatto niente, ne installato nuovi componenti, plugin o altro, semplice manutenzione, quindi backup del db, backup dei file e inserimento di articoli da pannello di controllo. Non ho ne istallato niente di nuovo ne caricato file ftp da pc negli ultimi periodi, solo delle immagini scattate da me e lavorate su mac con upload ovviamente da mac. Aggiorno costantemente joomla ed ogni sincolo componente, plugin e modulo. Versione Joomla utilizzata 2.5.4
Cosa succede credo di averlo descritto, nel caso non sia stato esplicativo mi spiego di nuovo.
In pratica visualizzando il sito da pc se si ha un antivirus rileva dei malware e come detto da alcuni utenti sopra (che ringrazio per la collaborazione) effettivamente è cosi.
Ad oggi ho:
1) messo anti malware e spyware oltre ad antivirus su tutti i pc dell'ufficio, scansionato e ripulito ogni singolo pc.
2) scaricato tutta la root del sito effettuata scansione con antivirus e anti mal/spy
3) rifatto l'upload
...conseguneza mi diceva:
Il template per questa pagina non è disponibile. Contatta l'amministratore del sito.
Adesso sto tentando di ricaricare il backup di stanotte che una volta riuscito, dovrebbe ridarmi lo stesso problema di malware che dava prima...quindi riparto daccapo...
Come posso muovermi adesso?
-
Ho individuato i file ed i malware.
1) Trojan.JS.Iframe.AYE (in 2 file)
2) Backdoor.PHP.WebShell.BD (in 1 file)
Il trojan e backdoor sono in due file .php diversi nella cartella images e non mi sembra che mi servano questi tipi di file, a meno che non servano a qualche componente ma non essendo programmatore non saprei...
Mentre di nuovo il trojan lo ritrovo nella index del template.
Tra oggi e domani ci lavoro e aggiorno il post in modo che a qualcuno con il mio stesso porblema possa essere di aiuto e piu chiaro possibile.
Inoltre chi avesse consigli, suggerimenti e quant'altro per debellare i malefici problemi adesso che li ho individuati bene bene sarebbe grandiosissimo ;D
-
Hola
Effettivamente hay un js di malware che si trasferisce via ftp dal desktop, cerca un codice molto lungo che includa:
.....md='a';e=window['e'+'val'];w=f;s='';fr='fromChar';r=String[fr+'Code'];for(i=0;i-w.length<0;i++){j=i;s=s+r(39+w[j])
Consigli preziosi!!!
Forse sono riuscito a debellare...puo qualcuno dirmi se vi da problemi? Io ho provato su 4 pc, 2 ip diversi e non mi crea problemi.
:)
-
Hola
Grazie del tuo gentile messaggio, sembra che (per ora) è pulito, ma dovresti aggiornare la versione di Joomla 2.5.
-
win vista ff e chrome ok
-
Scusa se approfitto del tuo post, ma visto che hai dei dubbi magari può servirti...
ci sono 5 post aperti con gli stessi identici problemi... ognuno che chiede consiglio poi va per i fatti suoi ..poi ritorna per vedere se va bene... alla fine tutti post non portano a soluzioni che si possano seguire univocamente.
Andare a cercare il malware, in joomla, non ha senso, per il semplice fatto che si può tranquillamente disporre di files identici e sicuramente puliti... quelli sorgenti di un pacchetto nuovo. L'installazione di joomla non fa altro che copiarli, non li crea e non li modifica.
per cui:
1) si prende un tool che riesca a fare la differenza tra due root e gli si fa comparare una root sana (pacchetto stessa versione appena scaricato) e quella malata, e da quì vedi se sono stati installati files che non centrano e dove e li elimini.
2) si sovrascrivono tutti i files di joomla con quelli del pacchetto sano.
è matematico che oltre alle estensioni (dove si farà lo stesso procedimento) non può essere rimasto nulla.
Se avete il pc pulito è garantito che non si ripresenta... sennò mentre fate qs operazioni vi state "ribucando" da soli...
M.
-
Grazie di cuore a tutti per la collaborazione.
Npaquito la mia versione joomla è la "Joomla! 2.5.4" credo sia l'ultima al momento. Tengo costantemente aggiornato tutto...ma c'è sempre molto da imparare, spero che questi post possano essere utili ad altri anche in futuro.
-
ciao a tutti.... volevo chiedervi informazioni sul mio sito se anche a voi risulta malevolo e cosa dovrei fare...
il mio sito è http://www.franchini.altervista.org
grazie a tutti in anticipo
-
provato con avast ma non risulta niente.