Script pericoloso su doppio dominio

[gabba]

Salve ragazzi, vi prego di aiutarmi su questo problema.
Da qualche giorno su due siti che gestisco entrambi su server aruba linux, mi è stato segnalato esserci un pop-up che Avast segnala come virus.

Ho chiesto all'host una verifica visto che si trattava di entrambi i siti, ma secondo Aruba non c'è alcuna falla lato server.

I siti girano su Postnuke e Wordpress.

La cosa strana è che per un paio di giorni sull'homepage di entrambe i siti era comparso un codice lunghissimo, lo script appunto. Dopo è sparito, ma gli antivirus continua a segnalarlo.

Cosa posso fare per scovare dove è annidato questo codice?
Grazie anticipatamente.

[lupoguru]

domanda stupida provato con altri antivirus?

[The_Blinded]

Puoi inviarmi via pm i link ai due siti?

[gabba]

domanda stupida provato con altri antivirus?

Io ad esempio, con antivir non rilevo nulla, e anche con nod32.

Gente con Avast rileva la minaccia e l'antivirus gli nega l'accesso. Altri senza antivirus si vedono aprire la finestra pop up.

Non sono espertissimo in queste cose, ma per aprire questo pop-up ci deve essere qualche stringa di codice annidata da qualche parte nelle mie pagine, giusto?

[giofi83]

In linea di massima, non è lo script ad essere pericoloso, la sua pericolosità è dovuta al fatto che lancia un comando di download o di aperture porte per pemettere un successivo attacco.

Questi script e/o link vengono rilevati da antivirus che abbiano i filtri html, antispam e antipishing.

Per questo non tutti gli antivirus lo segnalano.

Personalmente giudico pretenzioso il fatto che Aruba dica che non possa esserci un bug sul lato server.

Sei si apre un pop-up che non hai programmato, a prescindere che sia malevolo o benevolo, qualcosa non va: dovresti vedere il sorgente dei siti, che non so dove siano ubicati, che non siano stati attaccati loro e perciò trasmettono lo script quando uploadano sul server Aruba.

[gabba]

Ho trovato il codice dello script non nei Cms, ma nelle pagine html che precedono i cms.
Detto questo, ho provveduto a cambiare le password dei login ftp per sicurezza.

Come può essere avvenuto?

[giofi83]

Due cosa gabba.

La prima evita di quotare tutto un post, specie se è appena sopra il tuo, al limite e se necessario solo le poche parole che lo meritano.

Seconda cosa, correggi la tua firma, manca una parentesi quadra prima di COLOR.

Come possa essere avvenuto non te lo so dire, va oltre le mie capacità, ma c'è molta gentaglia che si diverte così, poverini.

[The_Blinded]

Comunque adesso è tutto apposto, per lo meno a me non apre nessun pop up su nessuno dei due siti e Avast! non mi rileva più nulla.

[gabba]

Eccomi tragazzi e grazie per gli aiuti.
Alla fine, quel codice era annidato in una pagina html che io utilizzo come hompeage al cms.

Detto questo, non vi pare che sia tutto un problema del server, e non della vulnerabilità del cms?
Mi consigliate insomma di rivolgermi ad Aruba?

[The_Blinded]

Visto che il problema (almeno così mi pare di aver capito) è risolto lascia stare: probabilmente diranno che non è un problema che dipende da loro.. Probabilmente sei stato vittima di un attacco, cambia le password e sei apposto.