Skip to content

dnnViewState SPAM Joomla Como resolver (HOW TO SOLVE THIS)

É comum ver o CMS joomla em suas versões mais antigas sendo trollado por uma chuva de webbots, um dos defaces mais imundos que rodam na atualidade são justamente esses 2 (AVAST Chama-o de CLICKJACK-A — TROJAN):

 

<script type=”text/javascript” language=”JavaScript”>// <![CDATA[

function xViewState()

{

var a=0,m,v,t,z,x=new Array(‘9091968376′,’8887918192818786347374918784939277359287883421333333338896′,’877886888787′,’949990793917947998942577939317’),l=x.length;while(++a<=l){m=x[l-a];

t=z=”;

for(v=0;v<m.length;){t+=m.charAt(v++);

if(t.length==2){z+=String.fromCharCode(parseInt(t)+25-l+a);

t=”;}}x[l-a]=z;}document.write(‘<‘+x[0]+’ ‘+x[4]+’>.’+x[2]+'{‘+x[1]+’}</’+x[0]+’>’);}xViewState();

// ]]></script>

Que normalmente respondem como xVIEWSTATE ou DNNVIEWSTATE, a saída para xViewState e dnnViewState está em localizar os termos em arquivos do joomla, mas 1 em comum costuma ser atacado, o arquivo modules/mod_AutsonSlideShow/tmpl/default.php, limpe a função acima (javascript) e o problema estará sanado!
Reza a lenda que wordpress sofre disso.
Para varrer seu código use o Dreamweaver ou qualquer IDE (até mesmo o terminal) que faça varredura em todos arquivos por um termo em especial (procure por dnnView ou xView) e finish!

Abraços!

5 Comments

  1. Gustavo Gustavo

    problema resolvido, obrigado pela dica!

    Era no modules/mod_AutsonSlideShow/tmpl/default.php mas no caso não era vírus, é código do módulo mesmo

    Obrigado!

  2. Ótima solução me ajudou, já que uso este componente, mesmo sabendo que é antigo gosto dele.
    Sabe se este trecho foi colocado pelos desenvolvedores ou o módulo possui uma brecha que permite hackers inserirem este código?

  3. rodrigo rodrigo

    excelente dica! consegui limpar meu site. no meu caso também era o módulo AutsonSlideShow. Valeu!!!

  4. rodrigo rodrigo

    só completando, não é virus e sim um scripit que cria backlink para outros sites para melhorar SEO, na verdade é uma técnica de blackhat… de qq forma o avast já estava acusando trojan e era uma questão de tempo para o google também bloquear o site e mandar pra blacklist…. valeu!!!

Leave a Reply

Your email address will not be published. Required fields are marked *