Ciao a tutti, scusatemi se ho sbagliato sezione ma mi sembrava la più idonea visto che è un problema lagato a virus.

Sono l'admin di un sito di un'associazione, da qualche giorno forse mese il sito ha un problema che imputavo inizialmente dovuto a qualche virus presente nelle macchine di alcuni utenti.
Dico questo perchè alcuni utenti (tipo 2) si lamentavano del redirect del sito, cosa che a me non succedeva come agli altri n utenti.

Ora mi sono reso conto che, scrivendo l'url nel browser, come ho sempre fatto, il problema non sussiste.
Mentre accedendovi da un link qualsiasi (passato tramite facebook, oppure eseguendo una semplice ricerca che porti al sito tramite google) si viene reindirizzati a un sito diverso.

A questo punto ho cercato nei principali file php del sito fatto in joomla, ma non ho trovato niente di strano.
Ho notato che cercando con google il nome del sito, cioè fiumeisonzo e collegandosi alla home, ovvero primo link, si viene reindirizzati su google stesso, anche scrivendo l'url del sito nella barra di navigazione, avviene il redirect a google. Per risolvere, devo eliminare la cronologia dell'ultima ora (navigo con firefox).
Nello specifico un cookie: mma-ga.ru (tra l'altro loffissimo e anche googlandolo non trovo info utili).

Il sito è fiumeisonzo.com, finora non ho beccato porcherie facendo esperimenti ma il comportamento è assai strano.
Chi ha un mac non ha alcun problema ripetendo gli esperimenti che ho fatto io.

A qualcuno è capitato qualcosa di simile?
Qualsiasi consiglio è utile, nei prossimi giorni magari contatto l'hoster, ma so già che la risposta sarà: i NOSTRI server sono puliti eventualmente il problema è imputabile alla scarsa sicurezza delle VOSTRE password...

Grazie mille a tutti,
Beppe.

Ps cliccando sul link del thread non da alcun problema, invece dalla ricerca di google:
cliccare a vostro rischio e pericolo

https://www.google.it/search?q=fiumeisonzo&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:it:official&client=firefox-a

non va

ho appena fatto la ricerca in google per "fiumeisonzo" e il primo risultato è il vostro ed è correttamente agganciato al vostro sito..
non ho intercettato link strani nel vostro sito e i cookies sembrano corretti, sfogliando le diverse pagine del sito e clickando su home o sul nome stesso vengo correttamente portato in homepage.

sto usando i dns di www.opendns.com e firefox e chrome (entrambi con noscript e adblock plus)

grazie per il test, io con i dns di alice ho il problema.
Prima ho salvato tutto il contenuto della root, .htaccess e altri file presenti.
Li ho eliminati e ho inserito soltanto il vecchio file .htaccess (prima ero con tophost e avevo solo quel file nella root poi sono passato a ovh).
Mi ha dato errore ovviamente e prima di uscire ho reimportato il backup, incredibilmente funzionava tutto.
Ora che sono rincasato, testo e mi da di nuovo problemi...
ora testo con gli open dns.

Ciao se puo' esserti utile, con la ricerca su google il link risulta infetto.

http://img842.imageshack.us/img842/3164/20120411003350.jpg (http://imageshack.us/photo/my-images/842/20120411003350.jpg/) Uploaded with ImageShack.us (http://imageshack.us)

Infatti, è il link a cui ti ha reindirizzato...
Io ho provato a inserire gli open dns, fatto il reflush e niente, stesso problema.

L'unica differenza è che a me reindirizza su www.google.it.

Pulita la cache (pensavo fosse solo il cookie) funziona scrivendo l'url a mano nella barra di ricerca...

Capirei il redirect causato da codice iniettato nelle pagine del sito se avesse effetto sempre, ma mi mette in crisi il fatto che avvenga solo quando clicco su un link. A sto punto non è neanche un problema di dns.

Ps grazie per il feedback Enigmista63! :)

Può darsi che sia stato infettato il sito e che si venga indirizzati appunto ad un sito malevolo.

se digito fiumeisonzo.com nessun problema

se passo da google mi reindirizza di nuovo a google

Stessa cosa che succede a me, sul lavoro invece mi blocca la pagina.
Oggi contatto il servizio di hosting giusto epr chiedere qualche consiglio.

Mi sa che tocca buttare giu tutto e ricostruire il sito dall'ultimo backup di mesi fa e cambiare tutte le pass...

La piattaforma è Joomla?

Si, con alcuni moduli fatti da me, il dubbio è che sia stata sfruttata qualche vulnerabilità nei moduli miei :|

anche dal lavoro cercando "fiumeisonzo" o "fiume isonzo" in google vengo portato al tuo sito correttamente però ora non funzionano i tuoi pulsanti news, gallery, etc dirottandomi su google.com

controllando in noscript nella sezione siti bloccati di recente mi riporta "mma-soft.ru" quindi effettivamente è presente..

ho fatto analizzare il sito su http://www.backlinkwatch.com/index.php e non vedo link anomali.

cerca i file php modificati di recente e aprili con vim o notepad plus controlla in testa al file o in coda che non ci sia codice estraneo

cerca qualcosa del tipo 404javascript.js

pure su questo ho il report come clean:
http://vscan.novirusthanks.org/analysis/c6dfe43a09fddb238b756f9a955df94c/aW5kZXg=/

Grazie a tutti per il supporto.
Avevo fatto analizzare anche io l'url del sito e risulta ok con tutti i siti di ricerca virus usati.
Poi ho fatto analizzare mma-soft.ru e microtrend è uno dei pochi che lo trova infetto.

Stanotte ho messo in download tutto il sito, appena arrivo a casa faccio un controllo su tutto con notepad++ alla ricerca di quel javascript.
Poi piano piano comincio a eliminare file per restringere il campo.

Ancora grazie a tutti!

ma collegandoti in ftp sul hosting non vedevi qualche file php modificato in orari strani o giorni particolari?

Giorni e orari no, un mese fa avevo installato virtuemart per gestire un catalogo (e volevo farlo in modo simile a quello dei negozi online) e a quel punto funzionava ancora tutto.
Le ultime modifiche nei file sono quasi tutte a seguito di modifiche mie per risolvere il problema, a parte questo file, che continua a ricrearsi e non so se sia del sistema, ma mi puzza.
E' un file php.

http://sitecheck.sucuri.net/results/www.fiumeisonzo.com


Security warning in the URL (for Google's UA):
http://www.fiumeisonzo.com/404javascript.js

edit:
http://sucuri.net/malware/malware-entry-mwhta7

Clean up and details:
Remove offending code from .htaccess and/or index.php

Come direbbe fred flinston, IABADABADOOOOOOOOOOOO.
Sono riuscito appena adesso a mettermi a vedere qualcosa sul sito, da quando ho deciso di aprire partita iva si lavora di più e di corsa e il tempo per le passioni prende il posto di quello del sonno.

In ogni caso, ho fatto tutte le ricerche con notepad++ alla ricerca di 404javascript dentro i vari file.
niente da fare.
Controllo di nuovo l'index e niente.
Riapro .htaccess per l'ennesima volta, ma questa volta con notepad++ e non con notepad di winzoz.
Morale, in mezzo ai commenti di apertura, indentatissimo che di più non si può, c'è il codice di merda che mi ha fatto dannare.
Mea culpa, così imparo a non aver installato un editor serio.
Corretto e ora va tutto, spero solo che non ci sia qualche altra porcheria che ricrea htaccess (come immagino).
Domani vi faccio sapere ulteriori info.
Ancora grazie a tutti per l'interessamento!!!!
Notte

ovviamente stamane siamo da capo.
almeno ho capito su che file va a scrivere e ora posso googlare qualcosa in più.

Credo che la prima cosa da fare sia aggiornare joomla e le estensioni utilizzate all'ultima versione disponibile, poi rimuovere il codice malevolo

esatto altrimenti continua il circolo vizioso :)

e sarà quello che farò domani :| visto che per passare dalla 1.5 alla 1.7 era successo un bel casino mi sa che rifaccio tutto da capo e butto su gli articoli a mano...

io non ho aggiornato alla 1.7 proprio per quel motivo, ho lasciato la 1.5 però ho anche la password a proteggere la cartella administrators quindi per il momento sono tranquillo :)

Joomscan Security Scanner x Windows http://web-center.si/joomscan/joomscan.rar

Grazie ancora a tutti, ho atteso 2 giorni prima di scrivere.
Allora tutto funzionante a quanto sembra.
Se a qualcuno dovesse servire, riporto i passaggi che ho fatto:
-Ristabilito il file .htaccess, cancellando a inizio e fine file le righe di codice in più
-Cambiate le pass di amministratore per l'ftp e il db (quest'ultimo non dovrebbe essere interessato ma nel dubbio...)
-Eliminato il contenuto della cartella cache e di quella install (dove c'erano i rimasugli dell'installazione)
-cancellato da ogni sottocartella di primo livello della root, il file .htaccess che era stato inserito dal codice malefico.
-Aggiornato joomla alla 2.5 e ciapilu e aggiornati i componenti

Sono due giorni che non fa il redirect, speriamo bene!