Joomla e Virus

**array81** · 14-09-2009, 17:22

Ho un sito realizzato con Joomla e qualche componente.
Un utente mi ha fatto notare che l'antivirus AVG rileva alcune pagine del mio sito come una minaccia, in sostanza si diceva che il mio sito conteneva elementi da socks5.service.cn che è considerato a sua volta una minaccia. Un'altro utente ha avuto un problema con McAfee circa la presenza di malware. Io fino ad oggi non avevo trovato nulla. Fino a che non ho provato a visitare il mio sito con Chrome (visto che l'utente con AVG usava Chrome) e AntiVir mi ha detto che c'era un problema: "HTML/Rce.Gen - Malware";
Sospetto che in qualche modo del codice pericoloso sia finito in qualche modo nel mio sito (o qualcuno è entrato oppure attraverso un componente per Joomla).

Esiste qualche modo per fare dei test? Come faccio a capire dove sta il problema? Grazie.

**mrcnet** · 13-10-2009, 18:09

scarica tutto il sito sul pc e poi confronta il codice del tuo sito con quello della stessa versione di joomla però appena scaricata dal sito ufficiale, poi confronta le cartelle con http://winmerge.org/ vedrai subito le differenze con il codice nelle varie pagine

**array81** · 13-10-2009, 18:51

Gia fatto. Ti ringrazio lo stesso.

**RobinHoood** · 14-10-2009, 14:27

Come hai fatto?

**array81** · 15-10-2009, 10:07

In realtà in maniera un pò più macchinosa: prima ho fatto una copia del sito in locale, quindi ho eleminato uno alla volta componenti e i plugin che avevo installato verificando di volta in volta con l'estensione HTTPFOX di firefox se il sito continuova a comunicare col quel server.
Eliminati tutti i componenti di terze parti ho scaricato Joomla dal sito ufficiale (ovviamente la stessa versione che avevo installato sul mio sito) e con WinMerge (come suggerito da mrcnet) ho confrontato i files. Qualcuno, non so come, era riuscito ad aggiungere una riga "criptata" col comenado base64 nel file index.php.

**RobinHoood** · 19-10-2009, 09:56

questo comando cosa comporta?

**array81** · 19-10-2009, 10:44

Quello che leggi nel primo post: il mio sito contattava il server socks5.service.cn che è considerato da molti siti un sito "cattivo". Di conseguenza il mio sito era mostrato all'utente come un sito potenzialemente pericoloso.

**RobinHoood** · 19-10-2009, 10:53

ok , ho capito!
Potresti postare la riga in questione?

Grazie

**array81** · 20-10-2009, 12:35

NO, in quanto l'ho eliminata dal mio file e non ne ho fatto copie

**RobinHoood** · 04-11-2009, 23:20

ha per caso a che fare con SQL Injection?

Discussione: Joomla e Virus

Strumenti discussione

Ricerca discussione

Visualizza

Joomla e Virus

Permessi di invio