¿Cómo encontrar el hack de la farmacia en un sitio web de Joomla?

2

Hemos descubierto hoy que nuestro sitio web de Joomla ha sido pirateado por un troyano de farmacia.

Fue difícil de descubrir porque la mayoría de los usuarios no lo ven cuando visitan nuestro sitio web.

Un usuario informó hace aproximadamente 2 semanas que nuestro sitio contiene spam viagra / pharmacy. Lo hemos investigado, pero no hemos encontrado nada. La conclusión fue que la computadora de los usuarios estaba infectada.

Ayer otro usuario reportó este problema, así que comencé a investigar de nuevo.

Una hora después, descubrí que el sitio está realmente infectado.

Cuando visito esta página web con mi navegador web, todo está bien:

enlace

Pero, si hago una traducción de Google de esta página web, veo la infección (enlaces de viagra y cialis):

enlace

Lo mismo sucede si uso curl:

curl -L -A "Googlebot/2.1 (+http://www.google.com/bot.html)" http://www.outertech.com/en/bookmark-manager

Como paso siguiente, realicé una copia de seguridad (Akeeba) del sitio web y la transferí a una instalación local de xampp para una mayor investigación.

La instalación local de xampp con el sitio web también tiene el mismo problema, por lo que la instalación de Joomla está infectada.

una visita de

http://localhost/en/bookmark-manager

no muestra problemas, pero a

curl -L -A "Googlebot/2.1 (+http://www.google.com/bot.html)" http://localhost/en/bookmark-manager

contiene los enlaces de viagra.

He buscado horas en los archivos (en su mayoría, php), he tenido muchos errores, etc., pero no puedo encontrar nada sospechoso.

Virus Total y Google Webmaster informan que el sitio está limpio.

Hice una auditoría en myjoomla.com, pero no se encontró ningún malware.

Estaría muy agradecido si alguien pudiera indicarme la dirección correcta.

¿Dónde buscar dentro de mi instalación de Joomla para este truco?

    
pregunta Casady 29.08.2013 - 02:30
fuente

1 respuesta

1
  

Hemos descubierto hoy que nuestro sitio web de Joomla ha sido pirateado por un troyano de farmacia.

no; su página entrega ese troyano, pero cómo su sitio ha sido hackeado ... bueno ...

  

¿Dónde buscar dentro de mi instalación de Joomla para este truco?

revisaste tu página con sucuri? cuando ve las cosas maliciosas / infectadas, ¿encuentra esto en la parte superior / inferior o, digamos, en cada enlace? por favor haga un pastebin de su código html infectado

podría ser .htaccess, o un require () ontop / end de su index.html o inyección de SQL o ...

consulte esta respuesta (los dos primeros enlaces) para la más reciente joomla-security-f ck p

    
respondido por el that guy from over there 29.08.2013 - 10:26
fuente

Lea otras preguntas en las etiquetas