Un saluto a tutto il forum, quella che segue è una mia personale esperienza che voglio condividere con voi, nel caso un qualche vostro sito venga hackerato e vi mettiate a controllare i file manualmente oltre alle procedure automatiche di ricerca di file infetti.

La persona che ha hackerato un mio sito ha avuto un'idea geniale, ma allo stesso tempo stupida, questa persona inseriva in file collegati alla pagina index un codice che controllava se esisteva un certo file e nel caso negativo lo creava richiamando un altro file da altro sito dove appoggiava si vede i ferri del mestiere, direte voi sono cose che si sanno, si vero ma il codice inserito era preceduto da questo:

Plugin Name: Akismet
Plugin URI: http://akismet.com/
Description: Used by millions, Akismet is quite possibly the best way in the world to <strong>protect your blog

from comment and trackback spam</strong>. It keeps your site protected from spam even while you sleep. To

get started: 1) Click the "Activate" link to the left of this description, 2) <a

href="http://akismet.com/get/">Sign up for an Akismet API key[/url], and 3) Go to your Akismet configuration

page, and save your API key.
Version: 3.0.0
Author: Automattic
Author URI: http://automattic.com/wordpress-plugins/
License: GPLv2 or later
Text Domain: akismet
*/

/*
This program is free software; you can redistribute it and/or
modify it under the terms of the GNU General Public License
as published by the Free Software Foundation; either version 2
of the License, or (at your option) any later version.

This program is distributed in the hope that it will be useful,
but WITHOUT ANY WARRANTY; without even the implied warranty of
MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
GNU General Public License for more details.

You should have received a copy of the GNU General Public License
along with this program; if not, write to the Free Software
Foundation, Inc., 51 Franklin Street, Fifth Floor, Boston, MA  02110-1301, USA.
*/

in questo modo cercava di camuffare il tutto come se fosse codice normale rilasciato da Akismet
evito d'inserire tutto il codice per ovvi motivi, chiedo a voi nel caso conosciate la mail di Akismet di fornirmela
perché io in giro non ho trovato nulla, vorrei metterli a conoscenza di questo uso improprio.

Altra informazione che vorrei darvi, nel caso non abbiate fatto caso, se cercate stringhe o codici nei file apriteli con notepad++
perché un altro sistema per nascondere i codici malevoli a una visione manuale è quello di inserirli nella LINEA 1 senza mai andare
a capo e distante dal segno di apertura <?php di circa 200/300 spazi, in questo modo se aprite il file per cercare qualcosa non ve ne
accorgete immediatamente in quanto il file vi sembrerà normale.

Mi auguro che questa mia disavventura possa aiutarvi.

Salve a tutti ho provato a cercare nel forum ma non ho trovato nulla, espongo il problema.

Ho installato il plugin pdf-embed e non è la prima volta che lo faccio su un sito, ma su questo ho un problema il file pdf che dovrebbe visualizzare non si apre alle dimensioni inserite ma appare una piccola finestrella inoltre se apro il plugin sulla destra trovo nell'ordinamento un altro plugin e non quello del pdf e se provo a selezionare Content  PDF embed dopo aver salvato torna di nuovo l'altro plugin.

Buonasera a tutti, sono nuovo sia del forum che nell'utilizzo di Joomla, seguo alcuni siti fatti da terza persona e uno di questi ha una versione vecchia di joomla la 1.5.26 ultimamente presa di mira dai soliti Bimbo M...... inseriscono codice malware nei file .html e .php in modo automatico sono riuscito a beccare la shell e il file che partiva ogni tot e leggeva tutti i file inserendo il codice maligno  ma mentre mi sto preparando a migrare lo scriptboy di turno continua a usare un bug XSS e inserisce il suo codice che non fa altro che redirct verso siti di medicinali.

Nella ricerca e pulitura ho trovato un file che penso sia infetto facente parte di altro sito ma con joomla 2.5 essendo poco esperto e non conoscendo tutti i file chiedo a voi se il seguente file modules/mod_gtranslate/tmpl/default.php ha normalmente questo codice dentro.

" <script type="text/javascript">
/* <![CDATA[ */
eval(function(p,a,c,k,e,r){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('6 7(a,b){n{4(2.9){3 c=2.9("o");c.p(b,f,f);a.q(c)}g{3 c=2.r();a.s(\'t\'+b,c)}}u(e){}}6 h(a){4(a.8)a=a.8;4(a==\'\')v;3 b=a.w(\'|\')[1];3 c;3 d=2.x(\'y\');z(3 i=0;i<d.5;i++)4(d.A==\'B-C-D\')c=d;4(2.j(\'k\')==E||2.j(\'k\').l.5==0||c.5==0||c.l.5==0){F(6(){h(a)},G)}g{c.8=b;7(c,\'m\');7(c,\'m\')}}',43,43,'||document|var|if|length|function|GTranslateFireEvent|value|createEvent||||||true|else|doGTranslate||getElementById|google_translate_element2|innerHTML|change|try|HTMLEvents|initEvent|dispatchEvent|createEventObject|fireEvent|on|catch|return|split|getElementsByTagName|select|for|className|goog|te|combo|null|setTimeout|500'.split('|'),0,{}))
/* ]]> */
</script>  "

lo chiedo perché è codato in eval(function(p,a,c,k,e,r) lo stesso metodo del malware ma decriptandolo non sembra un redirect.

Grazie per l'aiuto.