Ciao a tutti,
spero sia la sezione giusta...
Ho un problema da risolvere urgentemente su un sito che chiuderà tra un mese, chi mi ha curato l'infrastruttura e l'hosting non ha aggiornato core e moduli, per cui penso ci siano diverse falle nella sicurezza. Il core è fermo alla 6.16
Il problema si presenta solo per utenti da device mobili, c'è un redirect che termina su baidu.com, dopo un paio di passaggi veloci su siti tipici da malware.
Con lo switch-user di chrome sono riuscito a riprodurre il problema sul desktop, che altrimenti lì non si presenta, trovando lo script incriminato in home page:
Cercando in rete, è una tipica modalità di diffusione di malware. L'.htaccess è già stato pulito da righe aggiunte in modo malevolo, ma lo script è presente caricando l'home page da utenza mobile.
Quale file è stato inquinato dallo script? Il problema, come scritto, si presenta solo per utenti che accedono solo da device mobili.
Grazie
i4a
Aggiornamento serale...
Ho caricato in locale folder e db mysql, dopo qualche modifica ai settings sono riuscito a fare il login ad aggiornare core alla 6.27 e moduli all'ultima versione.
Tutto sembrava filare liscio, senza malware, fino a quando non ho caricato il tema (che era stato creato con Artisteer) ed il malware è ricomparso, sempre simulando la navigazione da device mobile.
Dato un'occhiata ai file del tema, tutti i .php avevano in testa un hidden script che causava il problema. Pulito a mano ogni singolo file, il sito in locale è ora aggiornato e privo di malware. Solo alcune viste che non vengono visualizzate per chiudere con successo l'aggiornamento e rimozione da malware. Era stato creato anche un index.php nel folder /themes, file che di solito non c'è. Rimosso anche quello.
L'aggiornamento del core è stato molto rapido e senza alcun intoppo.
Ciao
i4a