La settimana scorsa un cliente mi chiamò e mi segnalò che il sito era giù da un pò di minerale, attualmente non era il sito che era giù ma Avast che bloccava l'accesso al sito segnalando un probabile virus. In un primo momento pensai immediatamente ad un attacco da parte di qualche malintenzionato, ma analizzando il contenuto della cartella non notai file stranieri o file con i dati di ultima modifica recente, l'ultimo risaliva a mesi fa.
Scarica tutto il sito dopo un confronto tramite Winmerge con una vecchia copia di backup funzionante al 100% notai che erano identiche!
Aprendo però il registro di Avast si può notare che Avast ha bloccato il caricamento della Home Page segnalando un blocco sul file \ moduli \ mod_AutsonSlideShow \ tmpl \ default.php che ha inserito all'interno della Home Page.
2 ° confronto tramite Winmerge con una copia di quel file funzionante, identico!
Aprendo il file con Blocco note ++ si può notare che alla riga 564 vi era scritto il seguente codice:
Che causava un falso positivo per Avast Antivirus, veniva rilevato vieni JS: clickjack-A [Trj] DOPO L'ultimo aggiornamento Fatto poche minerale di prima.
Il problema è stato risolto eliminando completamente quello script dal file, naturalmente dopo aver controllato il corretto funzionamento del modulo.
{splashposition load}