Eliminación de malware: Iframe inyectó javascript

Navega tus respuestas
2

Mi Joomla! El sitio web está infectado por un malware iframe inyectado , según Sucuri SiteCheck :

Para eliminar el malware, ¿es suficiente eliminar el archivo infectado site / media / system / js / caption.js ? ¿O debería, y cómo, investigar más a fondo todos los demás archivos?

Gracias de antemano por su ayuda.

Actualizar:

En primer lugar, muchas gracias a @ begueradj , @ Aurora , @ André Daniel y @ SilverlightFox por sus comentarios y respuestas. Y, por favor, perdóneme por no responder antes, he estado involucrado en otra misión urgente y acabo de terminar.

Estaba tan asustado que borré el archivo infectado, es decir, ... / media / system / js / caption.js , y desconecté el sitio. Ahora lo que planeo hacer es:

  1. En localhost: actualiza Joomla! así como todas las extensiones instaladas a las últimas versiones.
  2. Mover el sitio web a un nuevo alojamiento.

¿Es suficiente? Como eliminé el archivo javascript infectado, no sé cómo se ve el código inyectado, por lo que no podré encontrar otros archivos infectados.

    
pregunta Khue 24.12.2014 - 16:39
fuente

2 respuestas

1

Es más probable que el atacante haya logrado instalar una puerta trasera. Está oculto por naturaleza, y es bastante difícil de detectar y deshabilitar.

Debe revisar algunos directorios importantes y clásicos, como el que usa para cargar imágenes u otros archivos, ya que generalmente confía en dichos directorios y nunca verifica qué hay dentro de ellos. Además, si su sitio web Joomla tiene temas inactivados, es mejor eliminarlos porque los piratas informáticos los atacan para incubar sus puertas traseras, por lo general. Además, deberá verificar el código fuente de sus archivos más sensibles (como los archivos de configuración). Al final, deberá cambiar sus credenciales y pedir a los usuarios de su sitio web que hagan lo mismo, pero también las credenciales que utiliza para acceder a su servidor.

    
respondido por el user45139 24.12.2014 - 18:03
fuente
0

Es probable que, si tiene un problema con esto, es posible que tenga un shell instalado en su servidor. Los shells son puertas traseras de php que normalmente son instaladas por un atacante a través de algún tipo de vulnerabilidad de inclusión remota de archivos.

Lo primero que debes hacer, es respirar y no entrar en pánico. Busque el fragmento de código inyectado en el archivo js y elimínelo. Es probable que haya sido inyectado en muchos otros archivos. Por lo tanto, es posible que necesite revisar alrededor para ver si se ha colocado en otro lugar.

Lo siguiente que debes hacer es encontrar el shell y eliminarlo lo más rápido posible. Esto implicará mirar a través de sus carpetas y ver qué archivos están fuera de lugar. Muchos le dirán que busque en la carpeta de imágenes, y tal. Aunque a veces pueden estar allí, es probable que el atacante haya movido la carcasa al introducirla. Revise todas las carpetas. Un método (poco ortodoxo) que he usado en el pasado es usar un shell de puerta trasera diferente para buscar otros shells. Esta es una práctica común en el mundo de los atacantes y es divertido de usar en el mundo de los defensores. Intente colocar este código php en un archivo y abrirlo de forma remota. Tiene algunas funciones automatizadas para buscar otros shells, y podría ser útil si eres perezoso como yo. Si elige esta opción, retire la cubierta que colocó lo más rápido posible (recuerde que todavía es una puerta trasera, incluso si la coloca allí mismo).

Después de esto, debes averiguar cómo el shell pudo deslizarse. Mira si hay actualizaciones para algún foro / blog que estés usando. Si hay, entonces actualícelo rápidamente. Si solo está utilizando su propio código, busque cosas como cargar scripts.

Esto nunca es algo divertido de tratar, pero podría ser mucho peor. No posponga ninguna acción para proteger su servidor.

    
respondido por el Aurora 24.12.2014 - 18:49
fuente

Lea otras preguntas en las etiquetas

JWT como un nonce en backends sin sesión ¿Qué pueden aprender los sitios web sobre mí cuando deshabilito las cookies?