+ Rispondi alla Discussione
Risultati da 1 a 18 di 18

Sito Joomla infetto

Ultimo Messaggio di FDA il:
  1. #1
    User Attivo L'avatar di Sermatica
    Data Registrazione
    Sep 2016
    Località
    Maleo
    Messaggi
    1,043
    Aggiungi Sermatica su Facebook

    Sito Joomla infetto

    Ciao
    ho un sito in Joomla infetto con Malware MW:JS:GEN2?rogueads.cookieconsent.1.

    Come lo pulisco?
    Sucuri mi segnala queste righe infette, ma non so da dove toglierle. GRAZIE

    <link rel="stylesheet" type="text/css" href="https://s3-eu-west-1.amazonaws.com/assets.cookieconsent.silktide.com/current/style.min.css"/> <script type="text/javascript" src="https://s3-eu-west-1.amazonaws.com/assets.cookieconsent.silktide.com/current/plugin.min.js"></script>
    Consulente con P.IVA: SEO / SEM / Amazon / Facebook - Sermatica.it

  2. #2
    FDA
    FDA è online
    Moderatore L'avatar di FDA
    Data Registrazione
    Sep 2012
    Località
    Napoli
    Messaggi
    1,872
    Segui FDA su Twitter Aggiungi FDA su Google+ Aggiungi FDA su Facebook
    Ciao Sermatica,
    apparentemente sono 2 file della cookie consent su AWS (S3 di Amazon), il .js e il .css . Non so se siano realmente infetti oppure se Sucuri le segnali erroneamente.
    Attualmente la cookie consent di Silktide si appoggia a cdn su Cloudflare: cookieconsent.insites.com

    Per la loro rimozione, devi capire come sono state aggiunte: con un'estensione? Scrivendo codice in un modulo html? Scrivendo all'interno di un file di template? Sfruttando una funzionalità del template che permette di aggiungere codice all'head della pagina?
    Devi cercare. Buona pesca!

  3. #3
    User Attivo L'avatar di Sermatica
    Data Registrazione
    Sep 2016
    Località
    Maleo
    Messaggi
    1,043
    Aggiungi Sermatica su Facebook
    Ciao
    è quello che stavo facendo.... poi ho pensato... sento un esperto... e mi ha risposto quello che stavo già facendo.

    Visto che il sito deve essere migrato a Wordpress lo lascio così.

    Grazie
    Consulente con P.IVA: SEO / SEM / Amazon / Facebook - Sermatica.it

  4. #4
    User Attivo L'avatar di Sermatica
    Data Registrazione
    Sep 2016
    Località
    Maleo
    Messaggi
    1,043
    Aggiungi Sermatica su Facebook
    Ciao ho tutto il sito in Ftp scaricato. Ho cercato nei file con Notepad ++ "amazonaws" ed ho trovato quel codice nel file cookielaw . php che ho cancellato e sistemato. Può essere che c'è una cache di Joomla o simile? Perché sucurimi da ancora errore. Ora sto scansionando tutto l'Ftp scaricato, prima ho fatto solo la cartella del Template corrente.
    GRAZIE
    Consulente con P.IVA: SEO / SEM / Amazon / Facebook - Sermatica.it

  5. #5
    FDA
    FDA è online
    Moderatore L'avatar di FDA
    Data Registrazione
    Sep 2012
    Località
    Napoli
    Messaggi
    1,872
    Segui FDA su Twitter Aggiungi FDA su Google+ Aggiungi FDA su Facebook
    La cache puoi averla anche online e devi eliminarla, certo. Devi verificare se le due richieste per il file js e il foglio di stile continuano ad esserci, dai un occhio al sorgente html.

    Eliminata la cache, anche quella del browser, se continui a vedere le due richieste allora potrebbero avere inserito il codice in modo errato, all'interno a un file del core di Joomla, oppure in qualche modo con php o javascript.

  6. #6
    User Attivo L'avatar di Sermatica
    Data Registrazione
    Sep 2016
    Località
    Maleo
    Messaggi
    1,043
    Aggiungi Sermatica su Facebook
    Ok risolto con il metodo che ho detto. Era sucuri che non riscansionava il sito e forse anche la cache.

    Ora vorrei sapere se è più probabile che il codice sia stato inserito dal webmaster o se è possibile farlo anche senza avere accesso al sito.
    Consulente con P.IVA: SEO / SEM / Amazon / Facebook - Sermatica.it

  7. #7
    Utente Premium
    Data Registrazione
    Jun 2017
    Località
    Espoo, Finland
    Messaggi
    300
    Ho dato un'occhiata, quel JavaScript e' codificato con Packer e carica un bel po' di altro JavaScript sempre codificato con Packer prima, e poi con chissa' quale metodo. Adesso per curiosita' sto cercando di capire cosa fa. Se vi incuriosisce il sorgente e' qui https :// pastebin.com/fhvvzBF4

  8. #8
    Utente Premium
    Data Registrazione
    Jun 2017
    Località
    Espoo, Finland
    Messaggi
    300
    Allora il codice e' come le bamboline russe.... codice codificato dentro codice codificato. A quanto pare cio' che fa e' caricare la pagina

    http :// click.thebestoffer.gq/?utm_medium=6a9d4be48f9dd74ece2547f9a7d3ed06810780 9c&utm_campaign=js_1&1=&2=

    se si tratta di un browser desktop, che a sua volta fa redirect a

    http :// daily-offer-club.com/?flux_fts=qioeqxf6d98&flux_cost=0&aff_id=5052&aff_ sub=408&aff_sub2=6443107481307583988

    che pero' da' un 404 (pagina inesistente, il sito sembra vuoto).

    Se si tratta di un mobile, allora carica

    http :// get.imobilecontent.tk/?utm_medium=6a9d4be48f9dd74ece2547f9a7d3ed06810780 9c&utm_campaign=aws_bb_1&1=

    che fa redirect alla stessa pagina di prima. Quel sito sembra sia stato praticamente cancellato.

  9. #9
    User Attivo L'avatar di Sermatica
    Data Registrazione
    Sep 2016
    Località
    Maleo
    Messaggi
    1,043
    Aggiungi Sermatica su Facebook
    Ciao
    Da desktop mai nessun problema. Da mobile apriva un pop up e si vedeva in sito...

    Ora problema risolto. Il codice pensi sia stato messo da un amministratore del sito o iniettato da un esterno?

    Grazie

  10. #10
    Utente Premium
    Data Registrazione
    Jun 2017
    Località
    Espoo, Finland
    Messaggi
    300
    Difficile dirlo ma ho trovato alcune menzioni di quello script e cookieconsent di altre persone con lo stesso problema. Non ho trovato conferme, ma e' probabile che ci sia qualche vulnerabilita' nella versione del plugin che ha consentito forse di modificare il JavaScript. Hai ancora una copia del PHP del plugin?

  11. #11
    User Attivo L'avatar di Sermatica
    Data Registrazione
    Sep 2016
    Località
    Maleo
    Messaggi
    1,043
    Aggiungi Sermatica su Facebook
    Se intendi il file cookielaw . php si la ho
    Consulente con P.IVA: SEO / SEM / Amazon / Facebook - Sermatica.it

  12. #12
    Utente Premium
    Data Registrazione
    Jun 2017
    Località
    Espoo, Finland
    Messaggi
    300
    Noti qualcosa di strano nel plugin che potrebbe dare la possibilita' di modificare qualcosa?

  13. #13
    User Attivo L'avatar di Sermatica
    Data Registrazione
    Sep 2016
    Località
    Maleo
    Messaggi
    1,043
    Aggiungi Sermatica su Facebook
    Ciao
    purtroppo non conosco Joomla ( o meglio lo conosco poco). L'ho migrato sul mio hosting e mi sono trovato questa sorpresa. A settimane migrerò su Wordpress che conosco molto meglio. Quindi non saprei dove guardare. Ma il plugin sui cookie è disabilitato da molto tempo.
    Consulente con P.IVA: SEO / SEM / Amazon / Facebook - Sermatica.it

  14. #14
    User Newbie
    Data Registrazione
    Aug 2017
    Località
    torino
    Messaggi
    2

    Malware su sito jommla template simplicity di Gavickpro

    Citazione Originariamente Scritto da SkyLinx Visualizza Messaggio
    Difficile dirlo ma ho trovato alcune menzioni di quello script e cookieconsent di altre persone con lo stesso problema. Non ho trovato conferme, ma e' probabile che ci sia qualche vulnerabilita' nella versione del plugin che ha consentito forse di modificare il JavaScript. Hai ancora una copia del PHP del plugin?
    Anche io ho avuto lo stesso problema :

    In locale ed espandendo la template dentro a :
    \gk_simplicity_quickstart_J30\templates\gk_simplic ity\layouts\blocks

    il file cookielaw.php e infetto o almeno e costruito in modo tale da fare danni per gli utenti mobile del sito

    <?php if($this->API->get('cookie_consent', '0') == '1') : ?>
    <!-- Begin Cookie Consent plugin by Silktide - *******tide.c*m/cookiec onsent-->
    <!-- cookie conset latest version or not -->
    <?php if($this->API->get('cookie_latest_version', '0') == '0') : ?>
    <?php if($this->API->get('cookiecss', '1') == '1') : ?><link rel="stylesheet" type="text/css" href="https://s3-eu-west-1.amazonaws.com/assets.cookieconsent.silktide.com/1.0.7/style.min.css"/><?php endif; ?>
    <script type="text/javascript" src="https://s3-eu-west-1.amazonaws.com/assets.cookieconsent.silktide.com/1.0.7/plugin.min.js"></script>
    <?php else : ?>
    <?php if($this->API->get('cookiecss', '1') == '1') : ?><link rel="stylesheet" type="text/css" href="https://s3-eu-west-1.amazonaws.com/assets.cookieconsent.silktide.com/current/style.min.css"/><?php endif; ?>
    <script type="text/javascript" src="https://s3-eu-west-1.amazonaws.com/assets.cookieconsent.silktide.com/current/plugin.min.js"></script>
    <?php endif; ?>

    eliminando il file non si corrode la funzionalità del sito e si elimina il problema per gli utenti Mobile

    Vi ringrazion moltissimo perchè grazie a voi ho risolto un problemaccio che rischiava di portarmi via parecchie ore , invece in ftp ho eliminato il file e fine della fiera
    Grazie ancora
    Ultima modifica di beppe9027; 28-08-17 alle 00:45 Motivo: tolto rf al mio sito locale

  15. #15
    User Attivo L'avatar di Sermatica
    Data Registrazione
    Sep 2016
    Località
    Maleo
    Messaggi
    1,043
    Aggiungi Sermatica su Facebook
    Ciao sono felice di esserti stato utile... potresti essermi utile anche tu. Il file è stato infettato ma hai idea di come sia accaduto?
    Consulente con P.IVA: SEO / SEM / Amazon / Facebook - Sermatica.it

  16. #16
    User Newbie
    Data Registrazione
    Aug 2017
    Località
    torino
    Messaggi
    2
    Ho comprato un paio di anni fà da Gavickpro un po di loro template , la template simplicity ( gk_simplicity ) era nel pacchetto ma non l'avevo mai usata.

    Un paio di giorni fà l'ho utilizzata per un sito di amici che hanno una societa sportiva , appena ho testato il sito sul mio smartphone mi sono partite le pagine di redirect ai siti xxx
    Il file non è stato infettato da nessuno , era semplicemente gia infetto dentro il pacchetto di installazione che mi hanno venduto.....
    Ciao

  17. #17
    User Newbie
    Data Registrazione
    Sep 2017
    Località
    Roma
    Messaggi
    1
    Citazione Originariamente Scritto da beppe9027 Visualizza Messaggio
    Ho comprato un paio di anni fà da Gavickpro un po di loro template , la template simplicity ( gk_simplicity ) era nel pacchetto ma non l'avevo mai usata.

    Un paio di giorni fà l'ho utilizzata per un sito di amici che hanno una societa sportiva , appena ho testato il sito sul mio smartphone mi sono partite le pagine di redirect ai siti xxx
    Il file non è stato infettato da nessuno , era semplicemente gia infetto dentro il pacchetto di installazione che mi hanno venduto.....
    Ciao
    Salve a tutti,
    mi sono iscritto al forum (che in verità già avevo avuto modo di leggere) per segnalare che anch'io sono incorso nello stesso spiacevole caso di redirect: sto lavorando a un sito Joomla su cui ho installato il template GavickPro GK Hotel acquistato alcuni mesi fa sul sito dello sviluppatore. Ieri ho trasferito il sito da locale al server di destinazione ed oggi, volendo verificarne il funzionamento da telefono cellulare, mi sono visto dirottare su un sito di gadget tecnologici

    Ringrazio tutti per aver condiviso l'esperienza e in particolare beppe9027, che ha fornito il suggerimento per individuare il file responsabile dell'anomalia, ovvero cookielaw.php, che nel mio caso è "confezionato" in questo modo:

    <?php if($this->API->get('cookie_consent', '0') == '1') : ?>
    <!-- Begin Cookie Consent plugin by Si****de - ht_p://********.com/cookieconsent -->
    <!-- cookie conset latest version -->
    <script type="text/javascript" src="ht_ps://s3-eu-west-1.amazonaws.com/assets.cookieconsent.********.com/current/plugin.min.js"></script>

    Eliminato questo file, eliminato il problema... sperando non ci siano altre sorprese.

  18. #18
    FDA
    FDA è online
    Moderatore L'avatar di FDA
    Data Registrazione
    Sep 2012
    Località
    Napoli
    Messaggi
    1,872
    Segui FDA su Twitter Aggiungi FDA su Google+ Aggiungi FDA su Facebook
    Ciao Alan Ford, benvenuto, sul Forum GT.
    Grazie per avere condiviso la tua esperienza e grazie a beppe9027.

+ Rispondi alla Discussione

^ Permessi di Scrittura

  • Tu non puoi inviare nuove discussioni
  • Tu non puoi inviare risposte
  • Tu non puoi inviare allegati
  • Tu non puoi modificare i tuoi messaggi
  •  
  • Il codice BB è Attivato
  • Le faccine sono Attivato
  • Il codice [IMG] è Attivato
  • Il codice [VIDEO] è Attivato
  • Il codice HTML è Disattivato
  • Trackbacks Attivato
  • Pingback Attivato
  • Refback Attivato

SEO by vBSEO 3.6.0 PL2 ©2011, Crawlability, Inc.