Hemos descubierto hoy que nuestro sitio web de Joomla ha sido pirateado por un troyano de farmacia.
Fue difícil de descubrir porque la mayoría de los usuarios no lo ven cuando visitan nuestro sitio web.
Un usuario informó hace aproximadamente 2 semanas que nuestro sitio contiene spam viagra / pharmacy. Lo hemos investigado, pero no hemos encontrado nada. La conclusión fue que la computadora de los usuarios estaba infectada.
Ayer otro usuario reportó este problema, así que comencé a investigar de nuevo.
Una hora después, descubrí que el sitio está realmente infectado.
Cuando visito esta página web con mi navegador web, todo está bien:
Pero, si hago una traducción de Google de esta página web, veo la infección (enlaces de viagra y cialis):
Lo mismo sucede si uso curl:
curl -L -A "Googlebot/2.1 (+http://www.google.com/bot.html)" http://www.outertech.com/en/bookmark-manager
Como paso siguiente, realicé una copia de seguridad (Akeeba) del sitio web y la transferí a una instalación local de xampp para una mayor investigación.
La instalación local de xampp con el sitio web también tiene el mismo problema, por lo que la instalación de Joomla está infectada.
una visita de
http://localhost/en/bookmark-manager
no muestra problemas, pero a
curl -L -A "Googlebot/2.1 (+http://www.google.com/bot.html)" http://localhost/en/bookmark-manager
contiene los enlaces de viagra.
He buscado horas en los archivos (en su mayoría, php), he tenido muchos errores, etc., pero no puedo encontrar nada sospechoso.
Virus Total y Google Webmaster informan que el sitio está limpio.
Hice una auditoría en myjoomla.com, pero no se encontró ningún malware.
Estaría muy agradecido si alguien pudiera indicarme la dirección correcta.
¿Dónde buscar dentro de mi instalación de Joomla para este truco?