comportamento strano del mio sito web

Celestine · 10-04-2012, 18:50

Ciao a tutti, scusatemi se ho sbagliato sezione ma mi sembrava la più idonea visto che è un problema lagato a virus.

Sono l'admin di un sito di un'associazione, da qualche giorno forse mese il sito ha un problema che imputavo inizialmente dovuto a qualche virus presente nelle macchine di alcuni utenti.
Dico questo perchè alcuni utenti (tipo 2) si lamentavano del redirect del sito, cosa che a me non succedeva come agli altri n utenti.

Ora mi sono reso conto che, scrivendo l'url nel browser, come ho sempre fatto, il problema non sussiste.
Mentre accedendovi da un link qualsiasi (passato tramite facebook, oppure eseguendo una semplice ricerca che porti al sito tramite google) si viene reindirizzati a un sito diverso.

A questo punto ho cercato nei principali file php del sito fatto in joomla, ma non ho trovato niente di strano.
Ho notato che cercando con google il nome del sito, cioè fiumeisonzo e collegandosi alla home, ovvero primo link, si viene reindirizzati su google stesso, anche scrivendo l'url del sito nella barra di navigazione, avviene il redirect a google. Per risolvere, devo eliminare la cronologia dell'ultima ora (navigo con firefox).
Nello specifico un cookie: mma-ga.ru (tra l'altro loffissimo e anche googlandolo non trovo info utili).

Il sito è fiumeisonzo.com, finora non ho beccato porcherie facendo esperimenti ma il comportamento è assai strano.
Chi ha un mac non ha alcun problema ripetendo gli esperimenti che ho fatto io.

A qualcuno è capitato qualcosa di simile?
Qualsiasi consiglio è utile, nei prossimi giorni magari contatto l'hoster, ma so già che la risposta sarà: i NOSTRI server sono puliti eventualmente il problema è imputabile alla scarsa sicurezza delle VOSTRE password...

Grazie mille a tutti,
Beppe.

Celestine · 10-04-2012, 18:52

Ps cliccando sul link del thread non da alcun problema, invece dalla ricerca di google:
cliccare a vostro rischio e pericolo

Spoiler:

https://www.google.it/search?q=fiume...ient=firefox-a

non va

xcdegasp · 10-04-2012, 20:00

ho appena fatto la ricerca in google per "fiumeisonzo" e il primo risultato è il vostro ed è correttamente agganciato al vostro sito..
non ho intercettato link strani nel vostro sito e i cookies sembrano corretti, sfogliando le diverse pagine del sito e clickando su home o sul nome stesso vengo correttamente portato in homepage.

sto usando i dns di www.opendns.com e firefox e chrome (entrambi con noscript e adblock plus)

Celestine · 10-04-2012, 23:14

grazie per il test, io con i dns di alice ho il problema.
Prima ho salvato tutto il contenuto della root, .htaccess e altri file presenti.
Li ho eliminati e ho inserito soltanto il vecchio file .htaccess (prima ero con tophost e avevo solo quel file nella root poi sono passato a ovh).
Mi ha dato errore ovviamente e prima di uscire ho reimportato il backup, incredibilmente funzionava tutto.
Ora che sono rincasato, testo e mi da di nuovo problemi...
ora testo con gli open dns.

enigmista63 · 10-04-2012, 23:38

Ciao se puo' esserti utile, con la ricerca su google il link risulta infetto.

[IMG]

Uploaded with ImageShack.us[/IMG]

Celestine · 10-04-2012, 23:51

Infatti, è il link a cui ti ha reindirizzato...
Io ho provato a inserire gli open dns, fatto il reflush e niente, stesso problema.

L'unica differenza è che a me reindirizza su www.google.it.

Pulita la cache (pensavo fosse solo il cookie) funziona scrivendo l'url a mano nella barra di ricerca...

Capirei il redirect causato da codice iniettato nelle pagine del sito se avesse effetto sempre, ma mi mette in crisi il fatto che avvenga solo quando clicco su un link. A sto punto non è neanche un problema di dns.

Ps grazie per il feedback Enigmista63!

enigmista63 · 11-04-2012, 00:11

Può darsi che sia stato infettato il sito e che si venga indirizzati appunto ad un sito malevolo.

SuperLory · 11-04-2012, 06:03

se digito fiumeisonzo.com nessun problema

se passo da google mi reindirizza di nuovo a google

Celestine · 11-04-2012, 08:19

Stessa cosa che succede a me, sul lavoro invece mi blocca la pagina.
Oggi contatto il servizio di hosting giusto epr chiedere qualche consiglio.

Mi sa che tocca buttare giu tutto e ricostruire il sito dall'ultimo backup di mesi fa e cambiare tutte le pass...

**Chill-Out** · 11-04-2012, 08:40

La piattaforma è Joomla?

Celestine · 11-04-2012, 09:18

Si, con alcuni moduli fatti da me, il dubbio è che sia stata sfruttata qualche vulnerabilità nei moduli miei :|

xcdegasp · 11-04-2012, 09:32

anche dal lavoro cercando "fiumeisonzo" o "fiume isonzo" in google vengo portato al tuo sito correttamente però ora non funzionano i tuoi pulsanti news, gallery, etc dirottandomi su google.com

controllando in noscript nella sezione siti bloccati di recente mi riporta "mma-soft.ru" quindi effettivamente è presente..

xcdegasp · 11-04-2012, 09:55

ho fatto analizzare il sito su http://www.backlinkwatch.com/index.php e non vedo link anomali.

cerca i file php modificati di recente e aprili con vim o notepad plus controlla in testa al file o in coda che non ci sia codice estraneo

**Chill-Out** · 11-04-2012, 10:01

cerca qualcosa del tipo 404javascript.js

xcdegasp · 11-04-2012, 10:08

pure su questo ho il report come clean:
http://vscan.novirusthanks.org/analy...f94c/aW5kZXg=/

Celestine · 11-04-2012, 10:19

Grazie a tutti per il supporto.
Avevo fatto analizzare anche io l'url del sito e risulta ok con tutti i siti di ricerca virus usati.
Poi ho fatto analizzare mma-soft.ru e microtrend è uno dei pochi che lo trova infetto.

Stanotte ho messo in download tutto il sito, appena arrivo a casa faccio un controllo su tutto con notepad++ alla ricerca di quel javascript.
Poi piano piano comincio a eliminare file per restringere il campo.

Ancora grazie a tutti!

xcdegasp · 11-04-2012, 12:54

ma collegandoti in ftp sul hosting non vedevi qualche file php modificato in orari strani o giorni particolari?

Celestine · 11-04-2012, 15:20

Giorni e orari no, un mese fa avevo installato virtuemart per gestire un catalogo (e volevo farlo in modo simile a quello dei negozi online) e a quel punto funzionava ancora tutto.
Le ultime modifiche nei file sono quasi tutte a seguito di modifiche mie per risolvere il problema, a parte questo file, che continua a ricrearsi e non so se sia del sistema, ma mi puzza.
E' un file php.

Family Guy · 11-04-2012, 16:28

http://sitecheck.sucuri.net/results/www.fiumeisonzo.com

Security warning in the URL (for Google's UA):
http://www.fiumeisonzo.com/404javascript.js

edit:
http://sucuri.net/malware/malware-entry-mwhta7

Clean up and details:
Remove offending code from .htaccess and/or index.php

Celestine · 11-04-2012, 23:43

Come direbbe fred flinston, IABADABADOOOOOOOOOOOO.
Sono riuscito appena adesso a mettermi a vedere qualcosa sul sito, da quando ho deciso di aprire partita iva si lavora di più e di corsa e il tempo per le passioni prende il posto di quello del sonno.

In ogni caso, ho fatto tutte le ricerche con notepad++ alla ricerca di 404javascript dentro i vari file.
niente da fare.
Controllo di nuovo l'index e niente.
Riapro .htaccess per l'ennesima volta, ma questa volta con notepad++ e non con notepad di winzoz.
Morale, in mezzo ai commenti di apertura, indentatissimo che di più non si può, c'è il codice di merda che mi ha fatto dannare.
Mea culpa, così imparo a non aver installato un editor serio.
Corretto e ora va tutto, spero solo che non ci sia qualche altra porcheria che ricrea htaccess (come immagino).
Domani vi faccio sapere ulteriori info.
Ancora grazie a tutti per l'interessamento!!!!
Notte

10-04-2012, 18:50	#1
Celestine Senior Member Iscritto dal: May 2005 Città: Udine Messaggi: 876	comportamento strano del mio sito web Ciao a tutti, scusatemi se ho sbagliato sezione ma mi sembrava la più idonea visto che è un problema lagato a virus. Sono l'admin di un sito di un'associazione, da qualche giorno forse mese il sito ha un problema che imputavo inizialmente dovuto a qualche virus presente nelle macchine di alcuni utenti. Dico questo perchè alcuni utenti (tipo 2) si lamentavano del redirect del sito, cosa che a me non succedeva come agli altri n utenti. Ora mi sono reso conto che, scrivendo l'url nel browser, come ho sempre fatto, il problema non sussiste. Mentre accedendovi da un link qualsiasi (passato tramite facebook, oppure eseguendo una semplice ricerca che porti al sito tramite google) si viene reindirizzati a un sito diverso. A questo punto ho cercato nei principali file php del sito fatto in joomla, ma non ho trovato niente di strano. Ho notato che cercando con google il nome del sito, cioè fiumeisonzo e collegandosi alla home, ovvero primo link, si viene reindirizzati su google stesso, anche scrivendo l'url del sito nella barra di navigazione, avviene il redirect a google. Per risolvere, devo eliminare la cronologia dell'ultima ora (navigo con firefox). Nello specifico un cookie: mma-ga.ru (tra l'altro loffissimo e anche googlandolo non trovo info utili). Il sito è fiumeisonzo.com, finora non ho beccato porcherie facendo esperimenti ma il comportamento è assai strano. Chi ha un mac non ha alcun problema ripetendo gli esperimenti che ho fatto io. A qualcuno è capitato qualcosa di simile? Qualsiasi consiglio è utile, nei prossimi giorni magari contatto l'hoster, ma so già che la risposta sarà: i NOSTRI server sono puliti eventualmente il problema è imputabile alla scarsa sicurezza delle VOSTRE password... Grazie mille a tutti, Beppe. __________________ Ho trattato con un bel po di utenti del forum, tolgo la lista perchè non ci sta tutto. Ultima modifica di Chill-Out : 11-04-2012 alle 08:38. Motivo: Editato link

10-04-2012, 20:00	#3
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	ho appena fatto la ricerca in google per "fiumeisonzo" e il primo risultato è il vostro ed è correttamente agganciato al vostro sito.. non ho intercettato link strani nel vostro sito e i cookies sembrano corretti, sfogliando le diverse pagine del sito e clickando su home o sul nome stesso vengo correttamente portato in homepage. sto usando i dns di www.opendns.com e firefox e chrome (entrambi con noscript e adblock plus) __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

10-04-2012, 23:14	#4
Celestine Senior Member Iscritto dal: May 2005 Città: Udine Messaggi: 876	grazie per il test, io con i dns di alice ho il problema. Prima ho salvato tutto il contenuto della root, .htaccess e altri file presenti. Li ho eliminati e ho inserito soltanto il vecchio file .htaccess (prima ero con tophost e avevo solo quel file nella root poi sono passato a ovh). Mi ha dato errore ovviamente e prima di uscire ho reimportato il backup, incredibilmente funzionava tutto. Ora che sono rincasato, testo e mi da di nuovo problemi... ora testo con gli open dns. __________________ Ho trattato con un bel po di utenti del forum, tolgo la lista perchè non ci sta tutto.

10-04-2012, 23:51	#6
Celestine Senior Member Iscritto dal: May 2005 Città: Udine Messaggi: 876	Infatti, è il link a cui ti ha reindirizzato... Io ho provato a inserire gli open dns, fatto il reflush e niente, stesso problema. L'unica differenza è che a me reindirizza su www.google.it. Pulita la cache (pensavo fosse solo il cookie) funziona scrivendo l'url a mano nella barra di ricerca... Capirei il redirect causato da codice iniettato nelle pagine del sito se avesse effetto sempre, ma mi mette in crisi il fatto che avvenga solo quando clicco su un link. A sto punto non è neanche un problema di dns. Ps grazie per il feedback Enigmista63! __________________ Ho trattato con un bel po di utenti del forum, tolgo la lista perchè non ci sta tutto.

11-04-2012, 06:03	#8
SuperLory Senior Member Iscritto dal: Jan 2003 Città: Downtown Singapore Messaggi: 2612	se digito fiumeisonzo.com nessun problema se passo da google mi reindirizza di nuovo a google __________________ Dicono di me

10-04-2012, 23:38	#5
enigmista63 Senior Member Iscritto dal: Apr 2009 Messaggi: 702	Ciao se puo' esserti utile, con la ricerca su google il link risulta infetto. [IMG] Uploaded with ImageShack.us[/IMG]

11-04-2012, 00:11	#7
enigmista63 Senior Member Iscritto dal: Apr 2009 Messaggi: 702	Può darsi che sia stato infettato il sito e che si venga indirizzati appunto ad un sito malevolo.

11-04-2012, 08:19	#9
Celestine Senior Member Iscritto dal: May 2005 Città: Udine Messaggi: 876	Stessa cosa che succede a me, sul lavoro invece mi blocca la pagina. Oggi contatto il servizio di hosting giusto epr chiedere qualche consiglio. Mi sa che tocca buttare giu tutto e ricostruire il sito dall'ultimo backup di mesi fa e cambiare tutte le pass... __________________ Ho trattato con un bel po di utenti del forum, tolgo la lista perchè non ci sta tutto.

11-04-2012, 08:40	#10
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	La piattaforma è Joomla? __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

11-04-2012, 09:18	#11
Celestine Senior Member Iscritto dal: May 2005 Città: Udine Messaggi: 876	Si, con alcuni moduli fatti da me, il dubbio è che sia stata sfruttata qualche vulnerabilità nei moduli miei :\| __________________ Ho trattato con un bel po di utenti del forum, tolgo la lista perchè non ci sta tutto.

11-04-2012, 09:32	#12
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	anche dal lavoro cercando "fiumeisonzo" o "fiume isonzo" in google vengo portato al tuo sito correttamente però ora non funzionano i tuoi pulsanti news, gallery, etc dirottandomi su google.com controllando in noscript nella sezione siti bloccati di recente mi riporta "mma-soft.ru" quindi effettivamente è presente.. __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV Ultima modifica di xcdegasp : 11-04-2012 alle 09:39.

11-04-2012, 09:55	#13
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	ho fatto analizzare il sito su http://www.backlinkwatch.com/index.php e non vedo link anomali. cerca i file php modificati di recente e aprili con vim o notepad plus controlla in testa al file o in coda che non ci sia codice estraneo __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

11-04-2012, 10:01	#14
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	cerca qualcosa del tipo 404javascript.js __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

11-04-2012, 10:08	#15
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	pure su questo ho il report come clean: http://vscan.novirusthanks.org/analy...f94c/aW5kZXg=/ __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

11-04-2012, 10:19	#16
Celestine Senior Member Iscritto dal: May 2005 Città: Udine Messaggi: 876	Grazie a tutti per il supporto. Avevo fatto analizzare anche io l'url del sito e risulta ok con tutti i siti di ricerca virus usati. Poi ho fatto analizzare mma-soft.ru e microtrend è uno dei pochi che lo trova infetto. Stanotte ho messo in download tutto il sito, appena arrivo a casa faccio un controllo su tutto con notepad++ alla ricerca di quel javascript. Poi piano piano comincio a eliminare file per restringere il campo. Ancora grazie a tutti! __________________ Ho trattato con un bel po di utenti del forum, tolgo la lista perchè non ci sta tutto.

11-04-2012, 12:54	#17
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	ma collegandoti in ftp sul hosting non vedevi qualche file php modificato in orari strani o giorni particolari? __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

11-04-2012, 16:28	#19
Family Guy Senior Member Iscritto dal: Aug 2009 Messaggi: 2364	http://sitecheck.sucuri.net/results/www.fiumeisonzo.com Security warning in the URL (for Google's UA): http://www.fiumeisonzo.com/404javascript.js edit: http://sucuri.net/malware/malware-entry-mwhta7 Clean up and details: Remove offending code from .htaccess and/or index.php Ultima modifica di Family Guy : 11-04-2012 alle 16:33.

11-04-2012, 23:43	#20
Celestine Senior Member Iscritto dal: May 2005 Città: Udine Messaggi: 876	Come direbbe fred flinston, IABADABADOOOOOOOOOOOO. Sono riuscito appena adesso a mettermi a vedere qualcosa sul sito, da quando ho deciso di aprire partita iva si lavora di più e di corsa e il tempo per le passioni prende il posto di quello del sonno. In ogni caso, ho fatto tutte le ricerche con notepad++ alla ricerca di 404javascript dentro i vari file. niente da fare. Controllo di nuovo l'index e niente. Riapro .htaccess per l'ennesima volta, ma questa volta con notepad++ e non con notepad di winzoz. Morale, in mezzo ai commenti di apertura, indentatissimo che di più non si può, c'è il codice di merda che mi ha fatto dannare. Mea culpa, così imparo a non aver installato un editor serio. Corretto e ora va tutto, spero solo che non ci sia qualche altra porcheria che ricrea htaccess (come immagino). Domani vi faccio sapere ulteriori info. Ancora grazie a tutti per l'interessamento!!!! Notte __________________ Ho trattato con un bel po di utenti del forum, tolgo la lista perchè non ci sta tutto.

Strumenti
Mostra una versione stampabile Invia questa pagina per email