Come trovare l'hack della farmacia in un sito web Joomla?

2

Abbiamo scoperto oggi che il nostro sito Joomla è stato violato da un trojan della farmacia.

È stato difficile scoprirlo perché la maggior parte degli utenti non lo vede visitando il nostro sito Web.

Un utente ha segnalato circa 2 settimane fa che il nostro sito contiene spam di Viagra / farmacia. Abbiamo esaminato il problema, ma non abbiamo trovato nulla. La conclusione è stata che il computer degli utenti era infetto.

Ieri un altro utente ha segnalato questo problema, quindi ho ricominciato a indagare di nuovo.

Un'ora dopo ho scoperto che il sito è effettivamente infetto.

Quando visito questa pagina web con il mio browser tutto va bene:

link

Ma se faccio un google traduttore di questa pagina web vedo l'infezione (link viagra e cialis):

link

Lo stesso accade se uso curl:

curl -L -A "Googlebot/2.1 (+http://www.google.com/bot.html)" http://www.outertech.com/en/bookmark-manager

Come passo successivo ho creato un backup (Akeeba) del sito web e l'ho trasferito su un'installazione locale di xampp per ulteriori indagini.

Anche l'installazione locale di xampp con il sito web ha lo stesso problema, quindi l'installazione di Joomla è infetta.

una visita di

http://localhost/en/bookmark-manager

non mostra problemi, ma a

curl -L -A "Googlebot/2.1 (+http://www.google.com/bot.html)" http://localhost/en/bookmark-manager

contiene i collegamenti di viagra.

Ho cercato ore nei file (principalmente in PHP), ho fatto un sacco di greps ecc., ma non riesco a trovare nulla di sospetto.

Total virus e Google Webmaster riportano il sito come pulito.

Ho effettuato un controllo su myjoomla.com, ma non sono stati rilevati malware.

Sarei davvero grato se qualcuno potesse indicarmi la giusta direzione.

Dove cercare nella mia installazione di Joomla per questo trucco?

    
posta Casady 29.08.2013 - 02:30
fonte

1 risposta

1

We've discovered today that our Joomla website has been hacked by a pharmacy trojan.

No; la tua pagina fornisce quel trojan, ma in che modo il tuo sito è stato violato ... beh ...

Where to look inside my Joomla installation for this hack?

hai controllato la tua pagina con sucuri? quando vedi il materiale dannoso / infetto lo trovi in alto / in basso o, diciamo, all'interno di ogni link? per favore crea un pastebin del tuo codice html infetto

potrebbe essere .htaccess o un require () ontop / end del tuo index.html o sql-injection o ...

per favore vedi questa risposta (prima due link) per il più recente joomla-security-f ck p

    
risposta data 29.08.2013 - 10:26
fonte

Leggi altre domande sui tag