Amici di Vesparesources mi rivolgo a tutti coloro che per diletto o per professione gestiscono o realizzano siti.

Da diversi giorni non ci funzionava un sito realizzato in joomla (ver. 1.0.15), avevamo imputato il pesante rallentamento all' hoster ma stavolta non era colpa sua!

Non so ancora da dove si stato inoculato questo codice, ma va a modificare tutti ( e dico tutti!) i file index.php e index.html del sito, a partire dalla root, passando per i component, administrator/component, e tutte le cartelle template.

Per rimettere in piedi il sito occorre, se non avete un dump delle cartelle fatto in ftp, editare con molta pazienza tutte le index.php e index.html e cancellare una riga iframe invisibile.
La riga da cancellare è questa:

<iframe src="accattittippi//wsxhost.net/count.php?o=2"></iframe>

Ho sostituito la parola Http con accattittippi per evitare che qualcuno ci clicchi sopra.

Per mettere una pezza a questa falla da cui non sembra (non ho conferme) immune neanche joomla 1.5, forse si dovrebbero modificare i permessi alle cartelle templates rendendole non scrivibili. Questo causerà delle noie lato backend poichè si perderà la configurabilità dei template dal pannello... ma meglio così che un buco!
Alex

a me è successo non con Joomla ma con un cms realizzato da me. Ho potuto verificare che l'attacco è stato portato avanti tramite l'accesso ftp. In pratica anche a me avevano sostituito la index. Adesso non memorizzo più la password ftp nel programma ma la conservo a mente. Mai tenerla scritta sul computer che te la ciucciano.

no, in questo caso non c'è accesso alle cartelle tramite ftp, ma è stato eseguito codice che ha modificato non solo la index della root ma tutte quelle presenti nelle sole cartelle con accesso in scrittura da parte del cms. Quindi escludo sicuramente l'accesso ftp con le credenziali.