Non so più dove sbattere la testa, chiedo aiuto a voi tutti:
la home page di questo sito da me gestito www.liceovalsalice.it infetta i pc dei visitatori con il seguente trojan: JS/Exploit-BO.gen che viene dichiarato di basso rischio ma fatto sta che non riesco ad eliminare la sua presenza sul sito web. Il web server mi ha risposto che non è un un problema server side e che quindi loro non ne possono niente... cosa faccio? Qualcuno mi da dei suggeriemnti?
Grazie a tutti!
---smile is your life---:-)---
nella home page, intendo la vera home page quella in cui scegli se redirezionare la visualizzazione a seconda delle dimensioni dello schermo, c'è un javascript con del codice criptato che non mi piace per niente... già il nome dato ad una variabile, shellcode, la dice tutta....
Fossi in te eliminerei tutto lo script:
<SCRIPT language="javascript">
shellcode=unescape("%u9090%u9090%u3390%u33c0%uebc9 %u5e12...
....
....
</SCRIPT>
finisce quasi in fondo alla pagina (</html> escluso)
Leggi il REGOLAMENTO!
E' molto complicato, un mucchio di input e output, una quantità di informazioni, un mucchio di elementi da considerare, ho una quantità di elementi da tener presente...
Drugo
Già... era proprio quello... Grande Habanero!!!!
...mi ha tratto in inganno che il troian veniva riconosciuto solo nella pagina a risoluzione più alta... e non ho pensato che potesse essere nel reindirizzatore...!
Ma la domanda ora è: come c'è finito lì quel pezzo di codice?
---smile is your life---:-)---
E' stato iniettato, letteralmente. Di a quelli che gestiscono il server che hanno molto da lavorare sulla sicurezza.
http://vil.nai.com//vil/content/v_130621.htm
Sono contento che non sia colpa mia...
Beh ragazzi grazie davvero a tutti dell'aiuto!
---smile is your life---:-)---
Certo che non è colpa tua. Fare scarica barile è la tecnica adottata quasi sempre in casi come questo. Come dire, "il trojan ce lo hai fatto mettere tu....".
Però posso scrivere un codice php che lascia vulnerabilità?
Quindi se scrivo un codice non perfetto, un trojan potrebbe infiltrarsi tramite quel codice... non riesco a capire questo... fino a che punto è responsabilità mia... ho ribadito di nuovo con il web server e loro hanno nuovamente scaricato il barile....
---smile is your life---:-)---
Devi informarti sul sito di riferimento per PHP sulle eventuali vulnerabilità. Un sito utile è anche http://www.secunia.com/
thomas_anderson in genere non è PHP in sè ad essere vulnerabile (anche se puo' essere). Decisamente più frequente è una errata programmazione in PHP che lascia aperte delle falle...
mr.smile se devo fare una ipotesi di vulnerabilità scegliendo tra vulnerabilità del server e errore di programmazione PHP, scelgo la seconda.
Il tuo fornitore di spazio web è piuttosto noto e si suppone non lasci aperte delle falle macroscopiche (anche se tutto puo' essere..)
Controlla bene il tuo codice. Controlla anche i log del server, se puoi consultarli, e ricerca richieste risalenti a quando ha cominciato a manifestarsi il problema che ti sembrano strane... puoi ottenere molte informazioni riguardo ad una eventuale vulnerabilità dei tuoi script.
Leggi il REGOLAMENTO!
E' molto complicato, un mucchio di input e output, una quantità di informazioni, un mucchio di elementi da considerare, ho una quantità di elementi da tener presente...
Drugo
Io più che altro mi riferivo a vulnerabilità sulla falsariga di questa: http://zone-h.it/advisories/read/id=889
Per essere sicuri bisognerebbe esaminare il codice della pagina. Io purtroppo non conosco PHP.
Permessi di invio
Rispondi quotando