Un cliente ha contattato l’autore segnalando che il proprio sito web sembrava non funzionare. Dopo le verifiche, il problema non era lato server ma Avast Antivirus che bloccava l’accesso al sito segnalando un possibile virus.
Il sospetto iniziale di un attacco malevolo fu rapidamente escluso dopo l’esame del contenuto delle cartelle del sito: nessun file sospetto né documenti modificati di recente. L’autore scaricò l’intero sito web e lo confrontò con una copia di backup funzionante utilizzando WinMerge. I file risultarono identici.
Il controllo dei log di Avast rivelò che l’antivirus aveva bloccato il caricamento della homepage. Il problema specifico fu ricondotto a un file nella directory dei moduli: \moduli\mod_AutsonSlideShow\tmpl\default.php
Un secondo confronto di questo specifico file con la versione funzionante tramite WinMerge non mostrò differenze. Tuttavia, aprendo il file in Notepad++ fu rivelato del codice sospetto alla riga 564 che scatenava il rilevamento: JS:clickjack-A [Trj]. Questo falso positivo si verificò a seguito di un recente aggiornamento di Avast.
La soluzione consistette nella rimozione completa dello script problematico dal file dopo aver verificato il corretto funzionamento del modulo.