Este es un problema que, hasta la fecha, solo es detectado en equipos que usan Avast Antivirus. El antivirus arroja una advertencia de página web infectada y luego es bloqueada para cualquier acceso.
El detalle de la infección es por JS:Clickjack-B [Trj].
El presente caso pasó con Joomla 2.5.11. en un primer momento pensé que era de un falso positivo del Avast; pues, revisando el sitio no encontré cambios en el registro (log).
Revisando recursos o experiencias de otros usuarios, sólo encontré el siguiente hilo el cual me ayudó a eliminar el script: http://bit.ly/1asunpO
La siguiente herramienta es muy buena para evaluar el sitio de infecciones posibles: http://sitecheck.sucuri.net/scanner/
Al no existir modificación en alguno de los archivos, pienso que este script ya se encontraba presente en algún archivo por algún error de seguridad de la versión de joomla.
Ahora la pregunta ¿Cómo encontrar el script entre tantos archivos?
Bueno, la idea es buscar el siguiente código malicioso en el sitio:
function dnnViewState()
{
var a=0,m,v,t,z,x=new Array('.............
..........
t='';}}x[l-a]=z;}document.write('<'+x[0]+' '+x[4]+'>.'+x[2]+'{'+x[1]+'}');}dnnViewState();
Una manera es buscar recursivamente la cadena desde la consola con el siguiente comando:
grep-RnisI "} document.write (" *
El código lo encontré en «modules/mod_AutsonSlideShow/tmpl/default.php», Simplemente es de eliminar dicho script y guardar los cambios.
Espero que esta experiencia, le sirva para solucionar problemas, si es así por favor comenten su experiencia.
Saludos.