Se anche voi siete incappati in questo malware, avrete sicuramente notato un repentino calo del numero di visite al sito. Il malware non viene segnalato dagli strumenti per webmaster di google e ci si accorge del problema anche perchè, visitando il sito infetto e le pagine/link in esso contenute, si riscontra la mancata visualizzazione su alcune di esse , con  pagina bianca dopo alcuni secondi di tentato caricamento o con segnalazione di errori vari da parte del browser. La causa di questo comportamento anomalo del sito, risiede nella modifica del file .htaccess da parte del malware. Vediamo quindi ora come fare per debellare questo malware.

Entriamo quindi nella cartella root del sito ed analizziamo il contenuto del file .htaccess. Noteremo subito che tale file non contiene più le direttive del file originale di installazione di joomla ma , conterrà invece direttive estrannee o addirittura potrà essere anche "bianco" , senza apparente contenuto (anche se, composto da un certo numero d byte).

 Sostituendo tale file con quello originale di joomla, noteremo che il sito inizierà subito a funzionare regolarmente. A questo punto, potremmo dire che il sito è ok però, dopo qualche giorno o ora, riscontreremo identico problema. Pertanto, sarà necessario procedere nuovamente alla sostituzione del file .htaccess e alla modifica delle password di accesso all' hosting, all' ftp, etc.

Fatto ciò, noteremo che il sito funziona regolarmente e il file .htaccess non verrà più modificato. A questo punto, in effetti, il sito non ha più problemi però, occorrono altre verifiche.

La prima, è quella di navigare all' interno del sito, sui vari menù e link di cui è composto. In alcuni casi può capitare che l' antivirus del vostro pc segnali un sito malevolo sul alcuni dei vostri link. Più in dettaglio, nel mio caso, con antivirus Avast versione free, sui link relativi alla sezione Downloads del sito, sezione gestita dal componente joomla JDownloads versione 1.9.x , veniva segnalato sito malevolo "http://gafa-seda-ru/in.cgi?4". A tal proposito sul sito JDownloads è presente un aggiornamento di sicurezza datato 02/10/2012 che ho provveduto subito ad effettuare.

Effettuato l' aggiornamento di JDownloads, Avast continuava a segnalare la presenza del medesimo sito malevolo. Ho effettuato quindi una scansione online tramite Sucuri SiteCheck , inserendo il link incriminato (ma possiamo inserire anche la home del sito). Anche la scansione online mi confermava la presenza di un problema è più precisamente pa presenza di malware MW:HT:291 "annidato", diciamo così, nel file 404javascript.js , presente ad un determinato percorso.

Inutile dire che cercando tale file per tutte le cartelle del sito, non lo si trova. Del resto, qualsiasi file del sito/server può essere stato infettato con aggiunta di codice malevolo, in particolar modo codice javascript, sempre difficile da scovare. Tale codice malevolo, potrebbe essere stato inserito anche su tabelle del db, come per esempio la tabella content, che contiene il testo degli articoli. Su Joomla.it è presente un post che spiega bene come fare in caso di infezione. Noterete che la procedura è alquanto lunga e richiede molta pazienza.

In questo caso, però, 'penso di essere stato fortunato. Ho infatto cominciato ad analizzare tutte le varie cartelle, sia della root del sito , sia le cartelle diciamo di sistema del server, utilizzando il Cpanell messo a disposizione dall' hosting. Ho notato la presenza di vari file .htaccess apparentemente "vuoti"  ma composti da vari byte, posizionati appunto su tali cartelle. Ho quindi poceduto rimuovendo tutti questi file. Ad una successiva verifica tramite Avast e tramite Sucuri SiteCheck , il sito risultava pulito e senza segnalazioni di malware.

Segnalatemi anche voi , tramite un commento, se avete riscontrato medesimo problema o se avete difficolta con un malware simile.

Spero che questo articolo possa esservi utile.

Pensi che questo articolo possa essere d' aiuto anche ad altri? Allora condividilo subito nel tuo social preferito.