Avviso di sito sospetto con presenza di malware

[Gianni]

Oggi è stata una giornataccia 

Ho perso ore su ore per scovare e quindi sistemare il sito buonalettura.org
Infatti per chi ha provato ad accedere, oggi, si è trovato un minaccioso avviso che gli intimava di non entrare per non essere infettato da malware.

Preciso innanzitutto, che la sezione infettata riguardava il sito principale: buonalettura.org e non il presente forum.
Ma il browser non fa distinzione delle varie sottosezioni. Quando c'è un problema su un dominio, praticamente "blocca" o meglio intima di non entrare su tutto il sito compresi eventuali sottodomini! 

Fortunatamente mi è venuto in aiuto un utilissimo servizio di Google: Strumenti per i Webmaster
Con questi Strumenti infatti, dalla sezione "Salute" > "Malware" ho potuto capire dove si trovavano i file malevoli.
Almeno in senso generale; ovvero ho capito che si trovavano sul sito principale basato sul CMS Joomla e non sul Forum basato sul CMS SMF.
Pertanto mi sono concentrato su quello principale e dopo varie ricerche,
ho scoperto che sono stati modificati 3 script (su Joomla) con del codice malevole:
1 - script.js situato nella directory /templates/techline_de_template-j15-004
2 - caption.js situato nella directory media/system/js
3 - mootools.js situato nella directory media/system/js

Li ho quindi cancellati e sostituiti con i file originali, che avevo salvato come backup del mio PC   

Dopo di che, tramite Strumenti per i Webmaste
ho inviato una richiesta affinché venisse ricontrollato il sito.
Controllo che è avvenuto dopo alcune ore.
Ora l'avviso di malware non viene più visualizzato. 

[vit]

Infatti oggi mi sono collegata per due volte e mi sono trovata l'avviso per buonalettura . org qualcosa del genere, e subito ho rincontrollato il mio modem pensando a un nuovo guasto, non pensando sicuramente a un broblema del Forum. Mi dispiace Gianni per la tua perdita di tempo, purtroppo questi problemi suggedono
anche in siti ben controllati 

[Giò]

Grazie Gianni, per averci spiegato come hai proceduto, ero in effetti curiosa di saperne di più.
Grazie per averci segnalato il servizio di google " Strumenti per i webmaster".
Mi dispiace che tu abbia perso del tempo per scovare i file malevoli, in giro c'è tanta cattiveria eppure non basta se attaccano un forum come quello di Buonalettura, che grazie a te aiuta tante persone ad usare il computer.

[Nica]

  Ehmmm... a me non è comparso nulla, ma solo perché come al solito sono in ritardoooooo!!!

[Gloria]

Anche a me è successo e pensavo di avere combinato qualcosa di sbagliato....grazie Gianni

[Pam]

Ciao Gianni,
ma secondo te come fanno ad entrare e modificare i file?
Non sei il primo a cui capita recentemente e un annetto fa è capitato anche ai siti che avevo su Aruba.
Anche a me è bastato cambiare le home perchè si erano introdotti e avevano moficato del codice lì.
Naturalmente ARUBA ha dato la colpa a noi per script che facevano questo ( nei siti non c'era nessuno script di nessun tipo)
Forse prendono di mira gli hosting e i sistemi più conosciuti. 

[marzione]

Bene Gianni, sono contento che la cosa si sia risolta. Anche a me, ieri, alle 14,20 e, successivamente, alle 18, tentando di andare sul Forum, mi è uscito quell'avviso; sicuramente appariva un po' minaccioso, ma forse meglio così; faceva capire chiaramente di non andare oltre. Speriamo sia tutto a posto. 

[Gianni]

Penso e spero sia stata una intrusione a livello di accesso tramite nome utente e password.
Il nome utente era troppo comune: admin;
e la password aveva un scarso livello di sicurezza (composta solo da lettere minuscole, senza maiuscole, senza numeri e senza caratteri speciali)
... e la prima cosa che ho fatto è stata quella di modificare nome utente e password.