Joomla.it Forum

Non solo Joomla... => Sicurezza => Topic aperto da: squalogu - 10 Lug 2017, 12:24:06

Titolo: [RISOLTO] Possibile Malware - come eliminarlo..
Inserito da: squalogu - 10 Lug 2017, 12:24:06
ciao, su questo sito link (http://www.arcatel.it) mentre si scorre la pagina o al click su qualche link... capita che vengo reindirizzato su altri siti... come posso verificare questa anomalia e eliminare il problema?
Titolo: Re:Possibile Malware - come eliminarlo..
Inserito da: alexred - 10 Lug 2017, 16:09:02
Ciao squalogu,
forse il problema sul tuo PC,
io ho provato ad aprire il sito e scorrere in basso ed accedere alla pagina contatti e non mi ha reindirizzato su altri siti.
Titolo: Re:Possibile Malware - come eliminarlo..
Inserito da: squalogu - 10 Lug 2017, 16:10:44
il problema si presenta solo su smartphone e solo su quel sito...
Titolo: Re:Possibile Malware - come eliminarlo..
Inserito da: danielecr - 10 Lug 2017, 16:52:02
Se puo' dare una mano io ho problemi di popup quando clicco o col destro o col sinistro del mouse sul banner dei cookie (con uno user agent android), quindi inizierei a guardare l!
Titolo: Re:Possibile Malware - come eliminarlo..
Inserito da: danielecr - 10 Lug 2017, 17:14:58
Mi sembra lo stesso malware che descritto qui:
https://www.gavick.com/forums/quark/malware-in-template-source-54291 (https://www.gavick.com/forums/quark/malware-in-template-source-54291)

Anche il tuo sito carica get-js.js

Il codice qui:
http://s3-cdn.com/js/get-js.js (http://s3-cdn.com/js/get-js.js)

Non mi sembra un buon codice..ma magari mi sbaglio..

EDIT: no, non mi sbaglio, se guardi al fondo potrai leggere thebestoffer|gq (parte del malware)
Mi sembra che comunque il tutto parta da qui:
https://s3-eu-west-1.amazonaws.com/assets.cookieconsent.silktide.com/1.0.7/plugin.min.js (https://s3-eu-west-1.amazonaws.com/assets.cookieconsent.silktide.com/1.0.7/plugin.min.js)

plugin.min.js va poi a pescare get-js.js
"s3-eu-west-1.amazonaws.com" non nuovo a distribuire malware.

Potresti provare a rimpiazzare la sorgente di plugin.min.js e style.min.css (anche se il css non dovrebbe dare problema alcuno) con questi che allego, trovati altrove, che puoi metterti direttamente sul server (questi non sono packed, quindi leggendo il codice puoi vedere che non c' codice maligno)
Titolo: Re:Possibile Malware - come eliminarlo..
Inserito da: squalogu - 11 Lug 2017, 10:58:04
epper!




rimpiazzo il codice che mi hai inviato?

Titolo: Re:Possibile Malware - come eliminarlo..
Inserito da: squalogu - 11 Lug 2017, 11:55:23
ok, ho disinstallato il plugin cookieconsent e non so dove caricare quei file che mi hai allegato.. in plugin...dove?
Titolo: Re:Possibile Malware - come eliminarlo..
Inserito da: danielecr - 11 Lug 2017, 14:20:35
Ciao squalogu,
dovresti riuscire ad individuare in che file viene richiamato <script type="text/javascript" src="https://s3-eu-west-1.amazonaws.com/assets.cookieconsent.silktide.com/1.0.7/plugin.min.js (https://s3-eu-west-1.amazonaws.com/assets.cookieconsent.silktide.com/1.0.7/plugin.min.js)">

Potrebbe essere nell'index del template, oppure nel componente dei cookie.

A questo punto potresti alternativamente:

1- disattivare il componente dei cookie, in questo modo non dovrebbe pi venire richiamato il file da s3-eu-west-1.amazonaws.com e gestire i cookie con un altro componente, oppure
2- individuare il file di cui dicevo prima e modificare la stringa <script type="text/javascript" src="https://s3-eu-west-1.amazonaws.com/assets.cookieconsent.silktide.com/1.0.7/plugin.min.js (https://s3-eu-west-1.amazonaws.com/assets.cookieconsent.silktide.com/1.0.7/plugin.min.js)"> in <script type="text/javascript" src="https://tuosito.com/plugins/plugin.min.js (https://tuosito.com/plugins/plugin.min.js)"> e caricare il file plugin.min.js che ho allegato nella cartella del tuo server /plugins/ (allo stesso modo il css); la cartella pu chiamarsi plugins o con il nome che vuoi ovviamente; in questo modo viene richiamato il file js pulito e non quello che risiede su s3-eu-west-1.amazonaws.com; nota che forse la versione del file allegato differente dalla 1.0.7 che indicata nel link originale, da provare; alternativamente potresti cercare altrove i files ovviamente puliti della 1.0.7 (se li trovi) e metterli al posto dei miei.
Titolo: Re:Possibile Malware - come eliminarlo..
Inserito da: a.emax - 28 Lug 2017, 16:49:17
grazie per il post