[Joomla] Il mio sito Stelle del Calcio è sparito...AIUTO!

Ragazzi è completamente sparito il mio sito Stelle del calcio che era a questo indirizzo www.stelledelcalcio.altervista.org/
ora se si va a tale indirizzo esce una pagina bianca con scritto
"Impossibile trovare dresen.co.cc."

vi assicuro che non ho fatto niente, è da qualche mese che non lo tocco e da histats sono riuscito a capire che è scomparso da 3 giorni + o -.
Non penso sia stata una azione di Altervista in quanto il sito riceveva visite giornaliere ed inoltre era una rassegna dei piu' forti calciatori del passato.
Voi amici dello staff di Altervista potete darmi una mano?
sapete cosa è successo?
non mi era mai capitato una cosa del genere...anche dal pannello di controllo di altervista su gestione files apparentemente i files ci sono tutti solo che se clicco su un file qualunque esce sempre quel maledetto "Impossibile trovare dresen.co.cc."

sono stato hackerato?

[darkwolf]

Il tuo sito (dalla gcache vedo che è stato generato con Joomla 1.5.*) è stato probabilmente infettato da un worm.
Loggati via ftp e controlla l'htaccess (cerca eventuali righe sospette o posta l'intero codice qui e vedremo di sistemarlo).
Oltre all'htaccess dovresti aggiornare, sempre se non hai già l'ultima versione, il cms e eventuali moduli/plugin usati.

[andreafallico]

Sicuramente sarà nell'.htaccess: http://forum.it.altervista.org/wordp...o-urgente.html

Il tuo sito (dalla gcache vedo che è stato generato con Joomla 1.5.*) è stato probabilmente infettato da un worm.
Loggati via ftp e controlla l'htaccess (cerca eventuali righe sospette o posta l'intero codice qui e vedremo di sistemarlo).
Oltre all'htaccess dovresti aggiornare, sempre se non hai già l'ultima versione, il cms e eventuali moduli/plugin usati.

dark wolf grazie per la prontezza della risposta, ho gia provato a controllare l' htaccess dal pannello di controllo di altervista e mi da' sempre quella scritta con pagina bianca...cioe' clicco sul file htaccess e va sempre a quella pagina di google con la scritta
Impossibile trovare dresen.co.cc.

altrimenti utilizzo filezilla giusto?

[darkwolf]

Non riesci a controllarlo via ftp?

ecco sono riuscito a leggere cosa c'è scritto sull htaccess utilizzando filezilla
ci sono due file con nome htaccess

nel primo c'è scritto questo ( .htaccess )

Codice PHP:

Redirect 301 / h**p://dresen.co.cc/in.cgi?9
// By DarkWolf: ** = tt


nel secondo che è un file notepad (htaccess.txt)

Codice PHP:

##
# @version $Id: htaccess.txt 14401 2010-01-26 14:10:00Z louis $
# @package Joomla
# @copyright Copyright (C) 2005 - 2010 Open Source Matters. All rights reserved.
# @license [url]http://www.gnu.org/copyleft/gpl.html[/url] GNU/GPL
# Joomla! is Free Software
##


#####################################################
# READ THIS COMPLETELY IF YOU CHOOSE TO USE THIS FILE
#
# The line just below this section: 'Options +FollowSymLinks' may cause problems
# with some server configurations. It is required for use of mod_rewrite, but may already
# be set by your server administrator in a way that dissallows changing it in
# your .htaccess file. If using it causes your server to error out, comment it out (add # to
# beginning of line), reload your site in your browser and test your sef url's. If they work,
# it has been set by your server administrator and you do not need it set here.
#
#####################################################

## Can be commented out if causes errors, see notes above.
Options +FollowSymLinks

#
# mod_rewrite in use

RewriteEngine On

########## Begin - Rewrite rules to block out some common exploits
## If you experience problems on your site block out the operations listed below
## This attempts to block the most common type of exploit `attempts` to Joomla!
#
## Deny access to extension xml files (uncomment out to activate)
#<Files ~ "\.xml$">
#Order allow,deny
#Deny from all
#Satisfy all
#</Files>
## End of deny access to extension xml files
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
# Block out any script trying to base64_encode crap to send via URL
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]
# Block out any script that includes a <script> tag in URL
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Send all blocked request to homepage with 403 Forbidden error!
RewriteRule ^(.*)$ index.php [F,L]
#
########## End - Rewrite rules to block out some common exploits

# Uncomment following line if your webserver's URL
# is not directly related to physical file paths.
# Update Your Joomla! Directory (just / for root)

# RewriteBase /


########## Begin - Joomla! core SEF Section
#
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_URI} !^/index.php
RewriteCond %{REQUEST_URI} (/|\.php|\.html|\.htm|\.feed|\.pdf|\.raw|/[^.]*)$ [NC]
RewriteRule (.*) index.php
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization},L]
#
########## End - Joomla! core SEF Section


[darkwolf]

Rinomina .htaccess in virus.htaccess e htaccess.txt in .htaccess

Dark ho semplicemente cancellato il testo del file .htaccess e via ftp l'ho sostituito quindi con lo stesso .htaccess ma senza quella scritta, quindi vuoto
e mi sa ke abbia risolto il problema, il sito è di nuovo accessibile
anke te confermi?

grazie 1000000 cmq del valido aiuto tecnico;)


altrimenti opero come mi hai detto tu...

[darkwolf]

Si, io sono contro la cancellazione (preferisco rinominare e conservare comunque) ma va bene
Detto ciò, adesso bisogna capire com'è successo ed evitare che accada ancora (controlla il tuo pc; cambia i dati di login e procedi ad aggiornare cms e componenti aggiuntivi).

Edit: avira mi nega l'accesso al tuo sito (dice che la pagina contiene codice dannoso).

provvedero' dark!

Edit: avira mi nega l'accesso al tuo sito (dice che la pagina contiene codice dannoso).


quindi non ho ancora concluso?
e ora come mi devo comportare?
esistono antivirus online con cui debellare il worm eventuale?
devo controllare l'htmal del sito?