[URGENTE] Problema sicurezza, rimuovere codice dannoso dalla homepage

[John Galt]

Buongiorno,

ho un grosso problema con un sito sviluppato in Joomla

Praticamente è stato inserito codice dannoso nella homepage e tutti i browser ne bloccano l'accesso, così come google.

Guardando il sorgente ho trovato questo codice (sicuramente il codice dannoso)

Codice: [Seleziona]

<noscript><a href=http://smokaz.com/lortab/>lortab</a><a href=http://www.flybar.hr/newsletter/fdhfgjhfgh.php?v=bush+wipes+hand+on+clinton>bush wipes hand on clinton</a> <a href=http://www.flybar.hr/newsletter/fdhfgjhfgh.php?v=leann+rimes>leann rimes</a> <a href=http://www.flybar.hr/newsletter/fdhfgjhfgh.php?v=%2Fsearch+hl+en+q+site+www.youtube.com+youtube>/search hl en q site www.youtube.com youtube</a> <a href=http://www.flybar.hr/newsletter/fdhfgjhfgh.php?v=manila+earthquake>manila earthquake</a> <a href=http://www.flybar.hr/newsletter/fdhfgjhfgh.php?v=music+videos>music videos</a> <a href=http://www.flybar.hr/newsletter/fdhfgjhfgh.php?v=the+shocker>the shocker</a> <a href=http://www.flybar.hr/newsletter/fdhfgjhfgh.php?v=youtube+down>youtube down</a> <a href=http://www.flybar.hr/newsletter/fdhfgjhfgh.php?v=youtube+music>youtube music</a> <a href=http://www.flybar.hr/newsletter/fdhfgjhfgh.php?v=youtube.com%2F>youtube.com/</a> <a href=http://www.flybar.hr/newsletter/fdhfgjhfgh.php?v=richard+finch>richard finch</a> <a href=http://www.flybar.hr/newsletter/fdhfgjhfgh.php?v=robert+culp+death>robert culp death</a> <a href=http://www.flybar.hr/newsletter/fdhfgjhfgh.php?v=dennis+hopper>dennis hopper</a> <a href=http://www.flybar.hr/newsletter/fdhfgjhfgh.php?v=carmen+winstead>carmen winstead</a> <a href=http://www.flybar.hr/newsletter/fdhfgjhfgh.php?v=youtube+not+working>youtube not working</a> <a href=http://www.flybar.hr/newsletter/fdhfgjhfgh.php?v=earthquake+philippines>earthquake philippines</a> <a href=http://www.flybar.hr/newsletter/fdhfgjhfgh.php?v=youtube+movies>youtube movies</a> <a href=http://www.flybar.hr/newsletter/fdhfgjhfgh.php?v=pwn2own>pwn2own</a> <a href=http://www.flybar.hr/newsletter/fdhfgjhfgh.php?v=youtube+broadcast+yourself>youtube broadcast yourself</a> <a href=http://www.flybar.hr/newsletter/fdhfgjhfgh.php?v=kc+and+the+sunshine+band>kc and the sunshine band</a> <a href=http://www.flybar.hr/newsletter/fdhfgjhfgh.php?v=youtube+unavailable>youtube unavailable</a> </noscript>
Come posso rimuovere questo codice? Ho già guardato in index.php e in index2.php oltre che nell'htaccess ma non ho trovato nulla.
Vi ringrazio anticipatamente per l'aiuto!

JG

[maicolstaip]

Ciao John Galt,
spsto il tuo messaggio nella sezione sicurezza dove troverai anche la risposta.
Ciao!

[seflex]

Ciao. Spera solo che non sia codificato...
Comunque per trovare usa l'applicazione total commander (hai 30 giorni di prova)
Scarica il sito sul pc accendi total commander, devi trovare la voce,  TROVA. la vedrai opzione trova testo.
scrivi quel url ad esempio e restringi la ricerca specificando solo la cartella che contiene il tuo sito.
Ti trova il file che contiene quel url, dopo segui il percorso e eliminalo.

[seflex]

Fai sapere.

[John Galt]

Ok provo,
ma normalmente il codice della home da dove viene generato?

[mau_develop]

va che fai prima a sovrascrivere con una nuova .20 ...chettifrega dove sta?

M

ps ... poi senza fare tante stranezze prova a guardare in qs sezione, praticamente il 90% dei post riguardano il tuo problema

[John Galt]

Adesso provo, ma anche per piacere accademico vorrei sapere da dove viene il codice 

[mau_develop]

sarà in includes/defines... o in qualche index ... o da più parti.

nn giocarci troppo con quel codice, perchè è js e rischi di spalmare i problemi mandandolo in esecuzione

M.

[John Galt]

Credo di aver identificato parzialmente il problema.

In particolare cambiando template non c'è più il codice dannoso.

Adesso ho scaricato i template sul computer per analizzarli con più calma, ma per ora non ho trovato nulla.

Per beneficio di altri che possono avere questo problema il template che avevo utilizzato era un RocketTheme gratuito di nome rt_novus che non sembra essere più presente sul sito...

[mau_develop]

... attenzione che js è bastardo...un pezzetto quì ..uno là... e ti si rigenera in un attimo, sovrascrivi con una .20 dai retta ad uno stupido...
e aggiorna tutti gli addons, da qualche parte sono cmq passati.

M.

[mmleoni]

sovrascrivere con la nuova versione di joomla e ripristinare il template risolve momentaneamente, ma non è detto che sia la soluzione. le versioni di joomla fino a 1.5.15 erano bucabili (in caso di estensioni vulnerabili a sql injection) e quindi la falla è chiusa, ma stai attento alle estensioni, da aggiornare anch'esse, e che l'hacker non si sia lasciato un cavallo di troia. in questo caso potrà riprendere il controllo del sito in qualsiasi momento.

la soluzione sicura è rifare l'installazione di joomla (su file system vuoto) e delle estensioni, ripristinare il db attuale e provvedere a tutti gli aggiornamenti.

ciao,
marco

[mmleoni]

cortesemente non mettere [URGENTE] nell'oggetto, ciascuno ha un problema che, hai suoi occhi, è, inevitabilmente, urgente...

grazie
marco