Rimozione malware: Iframe iniettato javascript

Naviga le tue risposte
2

Il mio Joomla! il sito Web è infetto da un malware iniettato da iframe , secondo Sucuri SiteCheck :

Per rimuovere il malware, è sufficiente rimuovere il file infetto sito / media / system / js / caption.js ? O dovrei, e come, approfondire ulteriormente tutti gli altri file?

Grazie in anticipo per il tuo aiuto.

Aggiornamento:

Prima di tutto, molte grazie a @ begueradj , @ Aurora , a André Daniel e a @ SilverlightFox per i loro commenti e risposte. E per favore perdonami per non aver risposto prima, sono stato coinvolto in un'altra missione urgente e ho appena finito.

Ero così panico che ho cancellato il file infetto, cioè ... / media / system / js / caption.js e ho portato il sito offline. Ora quello che sto pensando di fare sono:

  1. Su localhost: aggiorna Joomla! così come tutte le estensioni installate alle ultime versioni.
  2. Spostare il sito Web in un nuovo hosting.

È sufficiente? Poiché ho cancellato il file javascript infetto, non so come sia il codice iniettato, quindi non sarà in grado di trovare altri file infetti.

    
posta Khue 24.12.2014 - 16:39
fonte

2 risposte

1

È più probabile che l'autore dell'attacco sia riuscito a installare una backdoor. È per sua natura nascosto e abbastanza difficile da rilevare e disattivare.

Devi controllare alcune directory importanti e classiche come quella che usi per caricare immagini o altri file perché di solito ti fidi di tali directory e non controlli mai cosa c'è dentro. Inoltre, se il tuo sito Web Joomla ha inattivi i temi, è meglio eliminarli perché sono presi di mira dagli hacker per incubare le loro backdoor, di solito. Inoltre, è necessario controllare il codice sorgente dei file più sensibili (come i file di configurazione). Alla fine dovrai cambiare le tue credenziali e chiedere agli utenti del tuo sito web di fare lo stesso, ma anche le credenziali che usi per accedere al tuo server.

    
risposta data 24.12.2014 - 18:03
fonte
0

È probabile che, se hai un problema con questo, potresti avere una shell installata sul tuo server. Le shell sono backdoor di php che vengono normalmente installate da un utente malintenzionato attraverso una sorta di vulnerabilità legata all'inclusione di file remoti.

La prima cosa da fare è respirare e non andare nel panico. Trova lo snippet di codice iniettato nel file js e rimuovilo. Le probabilità sono, è stato iniettato in molti altri file. Pertanto, potrebbe essere necessario fare il grep in giro per vedere se è stato inserito altrove.

La prossima cosa che devi fare è trovare la shell e eliminarla il più rapidamente possibile. Ciò comporterà la ricerca attraverso le cartelle e la visualizzazione dei file fuori posto. Molti ti diranno di cercare nella cartella delle immagini, e così via. Anche se a volte possono trovarsi lì, è probabile che l'attaccante abbia spostato la shell quando è entrata. Guardate attraverso tutte le cartelle. Un metodo (non ortodosso) che ho usato in passato è usare una shell backdoor diversa per cercare altre shell. Questa è una pratica comune nel mondo degli attaccanti ed è divertente da usare nel mondo dei difensori. Prova a inserire questo codice php in un file e aprirlo in remoto. Ha alcune funzioni automatizzate per cercare altre shell e potrebbe rivelarsi utile se sei pigro come me. Se scegli questa opzione, rimuovi il guscio che hai inserito il più rapidamente possibile (ricorda che è ancora una backdoor, anche se lo metti tu stesso).

Dopodiché, devi scoprire come la shell è stata in grado di entrare. Controlla se ci sono aggiornamenti a qualsiasi software di forum / blog che stai utilizzando. Se c'è, quindi aggiornarlo tempestivamente. Se stai utilizzando solo il tuo codice, cerca elementi come gli script di caricamento.

Questa non è mai una cosa divertente da affrontare, ma potrebbe essere molto peggio. Non rimandare alcuna azione per proteggere il tuo server.

    
risposta data 24.12.2014 - 18:49
fonte

Leggi altre domande sui tag

Hydra da Kali Linux + Tamper http post sintassi del tentativo di accesso fallito [duplicato] Una VPN con configurazioni di modifica farebbe lo stesso lavoro delle diverse VM