Joomla.it Forum

Non solo Joomla... => Sicurezza => : gmtosin 20 Dec 2013, 10:42:30

: codice sospetto
: gmtosin 20 Dec 2013, 10:42:30

Ciao, ho da poco rimosso del codice dopo un attacco. Premetto che aggiorno costantemente sia Joomla che tutte le estensioni caricate. Continuo a trovare utenti che si registrano molto sospetti e li elimino, ma credo che nel frattempo abbiano già fatto danni. Adesso ho disbilitato il Login e la Registrazione.
Ho trovato ancora del codice sospetto che vi sottopongo per capire cosè e dove cercarlo nel sito per rimuoverlo. Ho già fatto una verifica dei file index principale e del template ma niente.
Il codice è questo: ******
il sito è http://www.sommozzatoribassano.it/ (http://www.sommozzatoribassano.it/)
Grazie
ciao

edit: rimosso codice sospetto
 

: Re:codice sospetto
: giusebos 20 Dec 2013, 10:55:55

se non sbaglio avevi già ripulito il sito da qualche link, e magari joomla è aggiornato insieme alle sue estensioni.

Inizia con il cambiare password agli amministratori joomla
e le credenziali ftp e mysql dello spazio web

Fatti un backup del sito dopo che lo hai ripulito.

: Re:codice sospetto
: gmtosin 20 Dec 2013, 11:17:48

Si, evidentemente si sono affezzionati al mio sito...

Inizia con il cambiare password agli amministratori joomla
e le credenziali ftp e mysql dello spazio web

questo l'ho già fatto

Fatti un backup del sito dopo che lo hai ripulito.

qui invece non so dove cercare per ripulire.. qualche idea? secondo te cosa fà questo codice?
grazie
ciao

: Re:codice sospetto
: giusebos 20 Dec 2013, 11:21:51

nessuna idea

: Re:codice sospetto
: BelinBelan 20 Dec 2013, 11:27:50

: gmtosin  20 Dec 2013, 11:17:48

secondo te cosa fà questo codice?
...

Secondo google:

http://webmasters.stackexchange.com/questions/52059/what-service-could-be-adding-newrelic

monitora....  ???

: Re:codice sospetto
: gmtosin 20 Dec 2013, 11:43:29

Ciao, se non ho capito male quanto riportato nel link che mi hai indicato, il codice è installato nel server e lavora in background, non è codice inserito nel sito. Dovrei contattare il mio servizio di Hosting per chiedere di rimuoverlo? Scusatemi ma non sono molto pratico di queste cose.
Grazie. Ciao

: Re:codice sospetto
: mmleoni 20 Dec 2013, 14:41:35

ciao,
  il codice in questione serve al monitoraggio del sito, è una specie di analytics, vedendo il sito. in realtà te ne è sfuggita una parte che è nella <head> dell'html; nello specifico i due pezzi di codice caricano una libreria remota e inseriscono in coda alla pagina uno script che carica la definizione del token. da questo codice si capisce il riferimento a newrelic.com.

è una buona idea chiedere al tuo provider se ne sa qualcosa, dato che di norma il pacchetto di analisi si installa a livello di zend engine o di framework.

ciao,
marco