Cómo eliminar JS:Clickjack-A/B [Trj] de un Sitio Web

Este es un problema que, hasta la fecha, solo es detectado en equipos que usan Avast Antivirus. El antivirus arroja una advertencia de página web infectada y luego es bloqueada para cualquier acceso.

El detalle de la infección es por JS:Clickjack-B [Trj].

Detalle de la Infección

Detalle de la Infección

El presente caso pasó con Joomla 2.5.11. en un primer momento pensé que era de un falso positivo del Avast; pues, revisando el sitio no encontré cambios en el registro (log).

Revisando recursos o experiencias de otros usuarios, sólo encontré el siguiente hilo el cual me ayudó a eliminar el script: http://bit.ly/1asunpO

La siguiente herramienta es muy buena para evaluar el sitio de infecciones posibles: http://sitecheck.sucuri.net/scanner/

Al no existir modificación en alguno de los archivos, pienso que este script ya se encontraba presente en algún archivo por algún error de seguridad de la versión de joomla.

Ahora la pregunta ¿Cómo encontrar el script entre tantos archivos?

Bueno, la idea es buscar el siguiente código malicioso en el sitio:

function dnnViewState()
{
var a=0,m,v,t,z,x=new Array('.............
..........
t='';}}x[l-a]=z;}document.write('<'+x[0]+' '+x[4]+'>.'+x[2]+'{'+x[1]+'}');}dnnViewState();
Código malicioso

Código malicioso

 

Una manera es buscar recursivamente la cadena desde la consola con el siguiente comando:

grep-RnisI "} document.write (" *

consola

El código lo encontré en “modules/mod_AutsonSlideShow/tmpl/default.php”, Simplemente es de eliminar dicho script y guardar los cambios.

Espero que esta experiencia, le sirva para solucionar problemas, si es así por favor comenten su experiencia.

Saludos.

9 Comments

  1. Buenas,
    Gracias por tu post,
    Tengo tu mismo problema, al cual debo añadir otro, no se donde se puede encontrar esa “consola” de la que hablas para poder buscar el archivo infectado.
    Yo tambien trabajo con joomla.
    Espero tu pronta respuesta, un saludo.

  2. Gracias por el aporte, este problema me tenía loco y no comprendía como fue que pasó.
    Ahora ya pude eliminar JS:Clickjack-A[Trj] y he solucionado el problema de mi web.
    Felicidades.

  3. Una buen solución es comprimir Modules, bajarlo al PC, y con el Notepad++ buscas el código malicioso.

    • Estimados, yo tengo un problema similar pero en wordpress. No he podido solucionar el problema.

      Infección: JS:Clickjack-AA [Trj]

      Espero me puedan ayudar.

      • Hola Cokes, Si no puedes hacer búsquedas por medio de la consola del servidor, te recomiendo comprimir tu directorio y descargarlo a tu equipo local para que hagas la búsqueda localmente y mucho más rápido. una vez identificado el archivo infectado lo modificas en el servidor.
        Saludos.

  4. Gracias por la ayuda. Buen artículo.

  5. Gracias amigo, estoy trabajando en ello, ya quite el codigo del primer archivo pero hay varios y sobre todo en archivos de imagenes de extencion .png. PHP: AGENT:TU estoy en busqueda de las soluciones ya que mis web han sido bloquedas por mi proveedor de hotisng. Gracias Daniel. A mi correo tambien puedes escribir.

  6. Por lo que he entendido el problema lo tiene la página de orígen? Estoy intentando sacar información de una página y cada vez que clico en algún enlace me sale este mensaje.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *