Abbiamo scoperto oggi che il nostro sito Joomla è stato violato da un trojan della farmacia.
È stato difficile scoprirlo perché la maggior parte degli utenti non lo vede visitando il nostro sito Web.
Un utente ha segnalato circa 2 settimane fa che il nostro sito contiene spam di Viagra / farmacia. Abbiamo esaminato il problema, ma non abbiamo trovato nulla. La conclusione è stata che il computer degli utenti era infetto.
Ieri un altro utente ha segnalato questo problema, quindi ho ricominciato a indagare di nuovo.
Un'ora dopo ho scoperto che il sito è effettivamente infetto.
Quando visito questa pagina web con il mio browser tutto va bene:
Ma se faccio un google traduttore di questa pagina web vedo l'infezione (link viagra e cialis):
Lo stesso accade se uso curl:
curl -L -A "Googlebot/2.1 (+http://www.google.com/bot.html)" http://www.outertech.com/en/bookmark-manager
Come passo successivo ho creato un backup (Akeeba) del sito web e l'ho trasferito su un'installazione locale di xampp per ulteriori indagini.
Anche l'installazione locale di xampp con il sito web ha lo stesso problema, quindi l'installazione di Joomla è infetta.
una visita di
http://localhost/en/bookmark-manager
non mostra problemi, ma a
curl -L -A "Googlebot/2.1 (+http://www.google.com/bot.html)" http://localhost/en/bookmark-manager
contiene i collegamenti di viagra.
Ho cercato ore nei file (principalmente in PHP), ho fatto un sacco di greps ecc., ma non riesco a trovare nulla di sospetto.
Total virus e Google Webmaster riportano il sito come pulito.
Ho effettuato un controllo su myjoomla.com, ma non sono stati rilevati malware.
Sarei davvero grato se qualcuno potesse indicarmi la giusta direzione.
Dove cercare nella mia installazione di Joomla per questo trucco?