+ Rispondi alla Discussione
Risultati da 1 a 13 di 13

Sito Joomla infetto

Ultimo Messaggio di Sermatica il:
  1. #1
    User L'avatar di Sermatica
    Data Registrazione
    Sep 2016
    Località
    Maleo
    Messaggi
    667
    Aggiungi Sermatica su Facebook

    Sito Joomla infetto

    Ciao
    ho un sito in Joomla infetto con Malware MW:JS:GEN2?rogueads.cookieconsent.1.

    Come lo pulisco?
    Sucuri mi segnala queste righe infette, ma non so da dove toglierle. GRAZIE

    <link rel="stylesheet" type="text/css" href="https://s3-eu-west-1.amazonaws.com/assets.cookieconsent.silktide.com/current/style.min.css"/> <script type="text/javascript" src="https://s3-eu-west-1.amazonaws.com/assets.cookieconsent.silktide.com/current/plugin.min.js"></script>
    Webmaster e Consulente SEO Sermatica.it

  2. #2
    FDA
    FDA è offline
    Moderatore L'avatar di FDA
    Data Registrazione
    Sep 2012
    Località
    Napoli
    Messaggi
    1,870
    Segui FDA su Twitter Aggiungi FDA su Google+ Aggiungi FDA su Facebook
    Ciao Sermatica,
    apparentemente sono 2 file della cookie consent su AWS (S3 di Amazon), il .js e il .css . Non so se siano realmente infetti oppure se Sucuri le segnali erroneamente.
    Attualmente la cookie consent di Silktide si appoggia a cdn su Cloudflare: cookieconsent.insites.com

    Per la loro rimozione, devi capire come sono state aggiunte: con un'estensione? Scrivendo codice in un modulo html? Scrivendo all'interno di un file di template? Sfruttando una funzionalità del template che permette di aggiungere codice all'head della pagina?
    Devi cercare. Buona pesca!

  3. #3
    User L'avatar di Sermatica
    Data Registrazione
    Sep 2016
    Località
    Maleo
    Messaggi
    667
    Aggiungi Sermatica su Facebook
    Ciao
    è quello che stavo facendo.... poi ho pensato... sento un esperto... e mi ha risposto quello che stavo già facendo.

    Visto che il sito deve essere migrato a Wordpress lo lascio così.

    Grazie
    Webmaster e Consulente SEO Sermatica.it

  4. #4
    User L'avatar di Sermatica
    Data Registrazione
    Sep 2016
    Località
    Maleo
    Messaggi
    667
    Aggiungi Sermatica su Facebook
    Ciao ho tutto il sito in Ftp scaricato. Ho cercato nei file con Notepad ++ "amazonaws" ed ho trovato quel codice nel file cookielaw . php che ho cancellato e sistemato. Può essere che c'è una cache di Joomla o simile? Perché sucurimi da ancora errore. Ora sto scansionando tutto l'Ftp scaricato, prima ho fatto solo la cartella del Template corrente.
    GRAZIE
    Webmaster e Consulente SEO Sermatica.it

  5. #5
    FDA
    FDA è offline
    Moderatore L'avatar di FDA
    Data Registrazione
    Sep 2012
    Località
    Napoli
    Messaggi
    1,870
    Segui FDA su Twitter Aggiungi FDA su Google+ Aggiungi FDA su Facebook
    La cache puoi averla anche online e devi eliminarla, certo. Devi verificare se le due richieste per il file js e il foglio di stile continuano ad esserci, dai un occhio al sorgente html.

    Eliminata la cache, anche quella del browser, se continui a vedere le due richieste allora potrebbero avere inserito il codice in modo errato, all'interno a un file del core di Joomla, oppure in qualche modo con php o javascript.

  6. #6
    User L'avatar di Sermatica
    Data Registrazione
    Sep 2016
    Località
    Maleo
    Messaggi
    667
    Aggiungi Sermatica su Facebook
    Ok risolto con il metodo che ho detto. Era sucuri che non riscansionava il sito e forse anche la cache.

    Ora vorrei sapere se è più probabile che il codice sia stato inserito dal webmaster o se è possibile farlo anche senza avere accesso al sito.
    Webmaster e Consulente SEO Sermatica.it

  7. #7
    Utente Premium
    Data Registrazione
    Jun 2017
    Località
    Espoo, Finland
    Messaggi
    212
    Ho dato un'occhiata, quel JavaScript e' codificato con Packer e carica un bel po' di altro JavaScript sempre codificato con Packer prima, e poi con chissa' quale metodo. Adesso per curiosita' sto cercando di capire cosa fa. Se vi incuriosisce il sorgente e' qui https :// pastebin.com/fhvvzBF4

  8. #8
    Utente Premium
    Data Registrazione
    Jun 2017
    Località
    Espoo, Finland
    Messaggi
    212
    Allora il codice e' come le bamboline russe.... codice codificato dentro codice codificato. A quanto pare cio' che fa e' caricare la pagina

    http :// click.thebestoffer.gq/?utm_medium=6a9d4be48f9dd74ece2547f9a7d3ed06810780 9c&utm_campaign=js_1&1=&2=

    se si tratta di un browser desktop, che a sua volta fa redirect a

    http :// daily-offer-club.com/?flux_fts=qioeqxf6d98&flux_cost=0&aff_id=5052&aff_ sub=408&aff_sub2=6443107481307583988

    che pero' da' un 404 (pagina inesistente, il sito sembra vuoto).

    Se si tratta di un mobile, allora carica

    http :// get.imobilecontent.tk/?utm_medium=6a9d4be48f9dd74ece2547f9a7d3ed06810780 9c&utm_campaign=aws_bb_1&1=

    che fa redirect alla stessa pagina di prima. Quel sito sembra sia stato praticamente cancellato.

  9. #9
    User L'avatar di Sermatica
    Data Registrazione
    Sep 2016
    Località
    Maleo
    Messaggi
    667
    Aggiungi Sermatica su Facebook
    Ciao
    Da desktop mai nessun problema. Da mobile apriva un pop up e si vedeva in sito...

    Ora problema risolto. Il codice pensi sia stato messo da un amministratore del sito o iniettato da un esterno?

    Grazie

  10. #10
    Utente Premium
    Data Registrazione
    Jun 2017
    Località
    Espoo, Finland
    Messaggi
    212
    Difficile dirlo ma ho trovato alcune menzioni di quello script e cookieconsent di altre persone con lo stesso problema. Non ho trovato conferme, ma e' probabile che ci sia qualche vulnerabilita' nella versione del plugin che ha consentito forse di modificare il JavaScript. Hai ancora una copia del PHP del plugin?

  11. #11
    User L'avatar di Sermatica
    Data Registrazione
    Sep 2016
    Località
    Maleo
    Messaggi
    667
    Aggiungi Sermatica su Facebook
    Se intendi il file cookielaw . php si la ho
    Webmaster e Consulente SEO Sermatica.it

  12. #12
    Utente Premium
    Data Registrazione
    Jun 2017
    Località
    Espoo, Finland
    Messaggi
    212
    Noti qualcosa di strano nel plugin che potrebbe dare la possibilita' di modificare qualcosa?

  13. #13
    User L'avatar di Sermatica
    Data Registrazione
    Sep 2016
    Località
    Maleo
    Messaggi
    667
    Aggiungi Sermatica su Facebook
    Ciao
    purtroppo non conosco Joomla ( o meglio lo conosco poco). L'ho migrato sul mio hosting e mi sono trovato questa sorpresa. A settimane migrerò su Wordpress che conosco molto meglio. Quindi non saprei dove guardare. Ma il plugin sui cookie è disabilitato da molto tempo.
    Webmaster e Consulente SEO Sermatica.it

+ Rispondi alla Discussione

^ Permessi di Scrittura

  • Tu non puoi inviare nuove discussioni
  • Tu non puoi inviare risposte
  • Tu non puoi inviare allegati
  • Tu non puoi modificare i tuoi messaggi
  •  
  • Il codice BB è Attivato
  • Le faccine sono Attivato
  • Il codice [IMG] è Attivato
  • Il codice [VIDEO] è Attivato
  • Il codice HTML è Disattivato
  • Trackbacks Attivato
  • Pingback Attivato
  • Refback Attivato

SEO by vBSEO 3.6.0 PL2 ©2011, Crawlability, Inc.