Joomla.it Forum
Non solo Joomla... => Sicurezza => : proton 12 Nov 2012, 11:55:26
-
Mi è capitato su un paio di siti che ho realizzato... di trovarmi come da titolo del codice pseduo javascript al posto del tag img con relativa immagine.... ho scaricato il sito in locale ho fatto una scansione ed ho trovato come file sospetti due js contenuti in media core.js e caption.jps. ho ripristinato i file da locale e funzionava tutto correttamente finchè stamtattina il codice è ricomparso. vi posto l'html del file index.php del template
---------------
da cosa può dipendere. ho letto sul forum che potrebbe essere anche un problema partito da locale tramite filezilla. effettivamente nei giorni scorsi ho avuto problemi con il così detto virus della polizia.... come mi consigliate di procedere. sul sito joomla e tutte le estensioni sono aggiornate .
grazie
------------------
ilvanni - edit: rimosso codice.
-
Ciao mi è capitata la stessa cosa... stesso codice
devi pulire tutti i file index.php e index.html
Prima però pulisci il tuo pc perchè sicuramente sarà invirussato....
se usi filezilla e hai altri siti registrati controllali perchè sicuramente anche quelli saranno infettati...
-
solo un'altra cosa... con cosa hai tolto il virus della polizia? perchè servono dei programmi particolari altrimenti il virus rimane...
-
Buongiorno, cortesemente si invita a non postare codice (soprattutto se di dubbia natura) nei post e/o topic, peraltro con chiamate verso l'esterno, questo per la sicurezza del forum stesso e per evitare di pubblicare codice manomesso (in chissà quale maniera) da chichessia.
Grazie per la collaborazione.
-
intanto mi scuso per aver postato del codice, ma non ci ho pensato. il virus della polizia pensavo di averlo rimosso con una procedura indicata sul sito della Polizia stessa ma a quanto pare è ormai residente sul pc. il problema è proprio che uso filezilla e mi sa che la cosa si è diffusa su un bel po di lavori. ammazza che casotto. inizio con formattare il pc e proseguo con la verifica di tutti i siti
grazie
-
non serve formattare il pc basta passargli combofix in modalita provvisoria con rete e il virus sparisce GARANTITO
-
Hola
non serve formattare il pc basta passargli combofix in modalita provvisoria con rete e il virus sparisce GARANTITO
E quale sarebbe la garanzia nel caso che non funzioni?
-
per mia abitudine, da quando lavoro quotidianamente con il pc davanti a problemi del genere l'unica soluzione è il format, non ci piove. questa volta lo avevo evitato trattandosi di un pc dell'ufficio con lavoro 12 ore al giorno e non posso permettermi di passare la giornata a formattare, ma magari lo avessi già fatto, mi sarei limitato a quello anzichè dover controllare oltre dieci siti....
-
Ciao io sono un tecnico Sistemista e mi diletto a fare qualche sito ogni tanto...
Ti posso garantire che la formattazione non è una soluzione è solo un'alternativa a chi non sa risolvere un problema... Il programma che ho suggerito di passare è un tool specifico per questi tipi di virus...
Lavoro da anni con molte aziende grosse dove i loro problemi non sono rifare un sito ma perdere dati di grossi utenti e tanti ma tanti soldi!
Questa è la garanzia... Poi ogni persona e libero di fare come vuole... ci mancherebbe.
;)
-
dopo aver scaricato il contenuto di un sito sul sia avira che mse continuano a rilevare minacce in quasi tutti i file js di joomla, che dite sono tutti infettati o sono dei falsi positivi?
-
un'altra domanda: visto che pare che il casotto sia anche in parte colpa di filezilla che salva i dati di accesso in chiaro, che alternative buone abbiamo freeware?
grazie
-
Ti do un consiglio... so che è pesante e parecchio fastidioso ma non salvare mai le password MAI...
-
bhe dopo questa sicuramente non lo farò più.... eppure non mi è mai capitato nulla del genere
-
E lo so può capitare, poi in questo periodo girano tante di quelle m...
Ciaoo buona serata
-
la formattazione non è una soluzione è solo un'alternativa a chi non sa risolvere un problema...
----------------------------------------------------------------------
esiste anche l'analisi delle chiavi di registro... un sistemista non dovrebbe usare tool a priori.
anche perchè solo una verifica di queste ti da la sicurezza che intendeva npaquito... i tool sono sempre dei di più, la base è la conoscenza del sistema.
M.
-
@Sansoweb
ma quando dici di controllare tutti i file index intendi proprio tutti.... perchè avevo riscontrato il codice nell'index del template e lo avevo rimosso ma oggi su un sito è ricomparso.....
devo riguardarmeli uno ad uno su tutti i siti?
-
si, ... oppure puoi sovrascriverli
M.
-
ma solo gli index o tutti i file di joomla?
un'altra cosa ho notato due file jquery.effects.scale.min.js e jquerymini.js che sembrano essere responsabili di tutto e che riportano lo stesso codice che mi appare al posto del logo, li ho trovati su un sito che ho cancellato per controllarlo e praticamente erano nella root soli soletti....
potrebbe essere, e secondo voi dove li trovo negli altri siti?
-
sovrascrivi tutto con pacchetti della stessa versione.
...continuate ad aprire nuovi post, a sparare teorie e soluzioni, ma avete tutti lo stesso identico problema per cui vale o non vale la stessa soluzione.
Il successo non è garantito, il successo è il backup.
M.
-
ma se ci sono dei js da qualche parte sovrascrivendo rimangono li e il problema si ripropone. o sbaglio?
-
riscontrate tracce dello stesso codice anche in media/system/js nei file core e caption ed in tutti i js che fanno parte del template.... la vedo dura....
-
ascolta... joomla ha delle "regole" di implementazione di estensioni script modifiche di ogni tipo, se si seguono tu dovresti sempre avere i files che hai installato del pacchetto base uguali a quelli di uno stesso pacchetto che scaricheresti in qualsiasi momento (stessa versione).
Se esiste un file in uno esiste anche nell'altro e viene sovrascritto.
Stessa regola vale per i pacchetti di estensione aggiuntivi installati e per il template (che però se sovrascrivi cancelli le modifiche)
Quindi non si sovrascrivono solo i files aggiunti in altro modo o le immagini caricate
prima di ogni operazione è necessario assicurarsi di lavorare su una macchina "pulita"
M.
-
scusa mau ma non ho capito bene cosa vuoi dire. la mia riflessione era: se io sovrascrivo i file in remoto bene ho eliminato le modifiche che sto stramaledetto script ha fatto. ma se sempre lo script ha caricato sul sito file suoi, anche andando a sovrascrivere non li elimino ed il problema ricomincia....
spero ora di essere stato più chiaro
-
basta che guardi se la directory remota contiene gli stessi file di quella locale e quali sono i files che differiscono, lo fanno un sacco di strumenti... io uso un mio script per cui nn saprei consigliarti
M.