Cómo eliminar JS:Clickjack-A/B [Trj] de un Sitio Web

Este es un problema que, hasta la fecha, solo es detectado en equipos que usan Avast Antivirus. El antivirus arroja una advertencia de página web infectada y luego es bloqueada para cualquier acceso.

El detalle de la infección es por JS:Clickjack-B [Trj].

Detalle de la Infección
Detalle de la Infección

El presente caso pasó con Joomla 2.5.11. en un primer momento pensé que era de un falso positivo del Avast; pues, revisando el sitio no encontré cambios en el registro (log).

Revisando recursos o experiencias de otros usuarios, sólo encontré el siguiente hilo el cual me ayudó a eliminar el script: http://bit.ly/1asunpO

La siguiente herramienta es muy buena para evaluar el sitio de infecciones posibles: http://sitecheck.sucuri.net/scanner/

Al no existir modificación en alguno de los archivos, pienso que este script ya se encontraba presente en algún archivo por algún error de seguridad de la versión de joomla.

Ahora la pregunta ¿Cómo encontrar el script entre tantos archivos?

Bueno, la idea es buscar el siguiente código malicioso en el sitio:

function dnnViewState()
{
var a=0,m,v,t,z,x=new Array('.............
..........
t='';}}x[l-a]=z;}document.write('<'+x[0]+' '+x[4]+'>.'+x[2]+'{'+x[1]+'}');}dnnViewState();
Código malicioso
Código malicioso

 

Una manera es buscar recursivamente la cadena desde la consola con el siguiente comando:

grep-RnisI "} document.write (" *

consola

El código lo encontré en «modules/mod_AutsonSlideShow/tmpl/default.php», Simplemente es de eliminar dicho script y guardar los cambios.

Espero que esta experiencia, le sirva para solucionar problemas, si es así por favor comenten su experiencia.

Saludos.

9 comentarios en «Cómo eliminar JS:Clickjack-A/B [Trj] de un Sitio Web»

  1. Buenas,
    Gracias por tu post,
    Tengo tu mismo problema, al cual debo añadir otro, no se donde se puede encontrar esa «consola» de la que hablas para poder buscar el archivo infectado.
    Yo tambien trabajo con joomla.
    Espero tu pronta respuesta, un saludo.

    1. Hola Jorge.
      Dependiendo de tus privilegios, lo puedes hacer vía terminal por SSH. Aquí unos enlaces que te servirán:
      http://docs.cpanel.net/twiki/bin/view/11_28/Es/GuiaUsuarioCpanel/ShellAccessES
      http://www.elcodigofuente.com/buscar-archivos-contengan-cadena-texto-hosting-linux-317/

      En el caso que no puedas, te recomiendo que revises el archivo «modules/mod_AutsonSlideShow/tmpl/default.php» y los archivos del directorio «cache» en busca del script.

      Espero pueda ayudarte.

      Saludos.

  2. Gracias por el aporte, este problema me tenía loco y no comprendía como fue que pasó.
    Ahora ya pude eliminar JS:Clickjack-A[Trj] y he solucionado el problema de mi web.
    Felicidades.

      1. Hola Cokes, Si no puedes hacer búsquedas por medio de la consola del servidor, te recomiendo comprimir tu directorio y descargarlo a tu equipo local para que hagas la búsqueda localmente y mucho más rápido. una vez identificado el archivo infectado lo modificas en el servidor.
        Saludos.

  3. Gracias amigo, estoy trabajando en ello, ya quite el codigo del primer archivo pero hay varios y sobre todo en archivos de imagenes de extencion .png. PHP: AGENT:TU estoy en busqueda de las soluciones ya que mis web han sido bloquedas por mi proveedor de hotisng. Gracias Daniel. A mi correo tambien puedes escribir.

  4. Por lo que he entendido el problema lo tiene la página de orígen? Estoy intentando sacar información de una página y cada vez que clico en algún enlace me sale este mensaje.

Responder a Cristian Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.