- Home
- Categorie
- Coding e Sistemistica
- CMS & Piattaforme Self-Hosted
- Sito Joomla infetto
-
Ciao Sermatica,
apparentemente sono 2 file della cookie consent su AWS (S3 di Amazon), il .js e il .css . Non so se siano realmente infetti oppure se Sucuri le segnali erroneamente.
Attualmente la cookie consent di Silktide si appoggia a cdn su Cloudflare: cookieconsent.insites.comPer la loro rimozione, devi capire come sono state aggiunte: con un'estensione? Scrivendo codice in un modulo html? Scrivendo all'interno di un file di template? Sfruttando una funzionalità del template che permette di aggiungere codice all'head della pagina?
Devi cercare. :bho: Buona pesca!
-
Ciao
è quello che stavo facendo.... poi ho pensato... sento un esperto... e mi ha risposto quello che stavo già facendo.Visto che il sito deve essere migrato a Wordpress lo lascio così.
Grazie
-
Ciao ho tutto il sito in Ftp scaricato. Ho cercato nei file con Notepad ++ "amazonaws" ed ho trovato quel codice nel file cookielaw . php che ho cancellato e sistemato. Può essere che c'è una cache di Joomla o simile? Perché sucurimi da ancora errore. Ora sto scansionando tutto l'Ftp scaricato, prima ho fatto solo la cartella del Template corrente.
GRAZIE
-
La cache puoi averla anche online e devi eliminarla, certo. Devi verificare se le due richieste per il file js e il foglio di stile continuano ad esserci, dai un occhio al sorgente html.
Eliminata la cache, anche quella del browser, se continui a vedere le due richieste allora potrebbero avere inserito il codice in modo errato, all'interno a un file del core di Joomla, oppure in qualche modo con php o javascript.
-
Ok risolto con il metodo che ho detto. Era sucuri che non riscansionava il sito e forse anche la cache.
Ora vorrei sapere se è più probabile che il codice sia stato inserito dal webmaster o se è possibile farlo anche senza avere accesso al sito.
-
Ho dato un'occhiata, quel JavaScript e' codificato con Packer e carica un bel po' di altro JavaScript sempre codificato con Packer prima, e poi con chissa' quale metodo. Adesso per curiosita' sto cercando di capire cosa fa. Se vi incuriosisce il sorgente e' qui https :// pastebin.com/fhvvzBF4
-
Allora il codice e' come le bamboline russe.... codice codificato dentro codice codificato. A quanto pare cio' che fa e' caricare la pagina
http :// click.thebestoffer.gq/?utm_medium=6a9d4be48f9dd74ece2547f9a7d3ed068107809c&utm_campaign=js_1&1=&2=
se si tratta di un browser desktop, che a sua volta fa redirect a
che pero' da' un 404 (pagina inesistente, il sito sembra vuoto).
Se si tratta di un mobile, allora carica
http :// get.imobilecontent.tk/?utm_medium=6a9d4be48f9dd74ece2547f9a7d3ed068107809c&utm_campaign=aws_bb_1&1=
che fa redirect alla stessa pagina di prima. Quel sito sembra sia stato praticamente cancellato.
-
Ciao
Da desktop mai nessun problema. Da mobile apriva un pop up e si vedeva in sito...Ora problema risolto. Il codice pensi sia stato messo da un amministratore del sito o iniettato da un esterno?
Grazie
-
Difficile dirlo ma ho trovato alcune menzioni di quello script e cookieconsent di altre persone con lo stesso problema. Non ho trovato conferme, ma e' probabile che ci sia qualche vulnerabilita' nella versione del plugin che ha consentito forse di modificare il JavaScript. Hai ancora una copia del PHP del plugin?
-
Se intendi il file cookielaw . php si la ho
-
Noti qualcosa di strano nel plugin che potrebbe dare la possibilita' di modificare qualcosa?
-
Ciao
purtroppo non conosco Joomla ( o meglio lo conosco poco). L'ho migrato sul mio hosting e mi sono trovato questa sorpresa. A settimane migrerò su Wordpress che conosco molto meglio. Quindi non saprei dove guardare. Ma il plugin sui cookie è disabilitato da molto tempo.
-
@SkyLinx said:
Difficile dirlo ma ho trovato alcune menzioni di quello script e cookieconsent di altre persone con lo stesso problema. Non ho trovato conferme, ma e' probabile che ci sia qualche vulnerabilita' nella versione del plugin che ha consentito forse di modificare il JavaScript. Hai ancora una copia del PHP del plugin?
Anche io ho avuto lo stesso problema :
In locale ed espandendo la template dentro a :
\gk_simplicity_quickstart_J30\templates\gk_simplicity\layouts\blocksil file cookielaw.php e infetto o almeno e costruito in modo tale da fare danni per gli utenti mobile del sito
<?php if($this->API->get('cookie_consent', '0') == '1') : ?>
<!-- Begin Cookie Consent plugin by Silktide - ******tide.cm/cookiec onsent-->
<!-- cookie conset latest version or not -->
<?php if($this->API->get('cookie_latest_version', '0') == '0') : ?>
<?php if($this->API->get('cookiecss', '1') == '1') : ?><link rel="stylesheet" type="text/css" href="https://s3-eu-west-1.amazonaws.com/assets.cookieconsent.silktide.com/1.0.7/style.min.css"/><?php endif; ?>
<script type="text/javascript" src="https://s3-eu-west-1.amazonaws.com/assets.cookieconsent.silktide.com/1.0.7/plugin.min.js"></script>
<?php else : ?>
<?php if($this->API->get('cookiecss', '1') == '1') : ?><link rel="stylesheet" type="text/css" href="https://s3-eu-west-1.amazonaws.com/assets.cookieconsent.silktide.com/current/style.min.css"/><?php endif; ?>
<script type="text/javascript" src="https://s3-eu-west-1.amazonaws.com/assets.cookieconsent.silktide.com/current/plugin.min.js"></script>
<?php endif; ?>eliminando il file non si corrode la funzionalità del sito e si elimina il problema per gli utenti Mobile
Vi ringrazion moltissimo perchè grazie a voi ho risolto un problemaccio che rischiava di portarmi via parecchie ore , invece in ftp ho eliminato il file e fine della fiera
Grazie ancora
-
Ciao sono felice di esserti stato utile... potresti essermi utile anche tu. Il file è stato infettato ma hai idea di come sia accaduto?
-
Ho comprato un paio di anni fà da Gavickpro un po di loro template , la template simplicity ( gk_simplicity ) era nel pacchetto ma non l'avevo mai usata.
Un paio di giorni fà l'ho utilizzata per un sito di amici che hanno una societa sportiva , appena ho testato il sito sul mio smartphone mi sono partite le pagine di redirect ai siti xxx
Il file non è stato infettato da nessuno , era semplicemente gia infetto dentro il pacchetto di installazione che mi hanno venduto.....
Ciao
-
@beppe9027 said:
Ho comprato un paio di anni fà da Gavickpro un po di loro template , la template simplicity ( gk_simplicity ) era nel pacchetto ma non l'avevo mai usata.
Un paio di giorni fà l'ho utilizzata per un sito di amici che hanno una societa sportiva , appena ho testato il sito sul mio smartphone mi sono partite le pagine di redirect ai siti xxx
Il file non è stato infettato da nessuno , era semplicemente gia infetto dentro il pacchetto di installazione che mi hanno venduto.....
CiaoSalve a tutti,
mi sono iscritto al forum (che in verità già avevo avuto modo di leggere) per segnalare che anch'io sono incorso nello stesso spiacevole caso di redirect: sto lavorando a un sito Joomla su cui ho installato il template GavickPro GK Hotel acquistato alcuni mesi fa sul sito dello sviluppatore. Ieri ho trasferito il sito da locale al server di destinazione ed oggi, volendo verificarne il funzionamento da telefono cellulare, mi sono visto dirottare su un sito di gadget tecnologici
Ringrazio tutti per aver condiviso l'esperienza e in particolare beppe9027, che ha fornito il suggerimento per individuare il file responsabile dell'anomalia, ovvero cookielaw.php, che nel mio caso è "confezionato" in questo modo:
<?php if($this->API->get('cookie_consent', '0') == '1') : ?>
<!-- Begin Cookie Consent plugin by Si****de - ht_p://.com/cookieconsent -->
<!-- cookie conset latest version -->
<script type="text/javascript" src="ht_ps://s3-eu-west-1.amazonaws.com/assets.cookieconsent..com/current/plugin.min.js"></script>Eliminato questo file, eliminato il problema... sperando non ci siano altre sorprese.
-
Ciao Alan Ford, benvenuto, sul Forum GT.
Grazie per avere condiviso la tua esperienza e grazie a beppe9027.
