Script, virus e sicurezza

[dydale]

Buongiorno a tutti.
Non so se postare qui on in php, ma credo javascript sia più adatto.

Ho un sito in php e ieri alcuni amici mi hanno segnalato la presenza di un trojan sul mio sito. Ho verificato il codice delle pagine e ho notato la presenza di un javascript all'inizio di tutte le pagine (ovviamente ho rimosso quel codice). Tutte le pagine sono state modificate il 29/2 alla 1.43 (tutte alla stessa ora).
Io non l'ho inserito e il provider che mi fornisce lo spazio (peraltro piuttosto conosciuto) dice di non saperne nulla.
A questo punto vorrei chiedervi se avete idea di come sia potuto essere inserito quello script e come prevenire in futuro cose di questo tipo.

Grazie a tutti
Alessandro

[cavicchiandrea]

Secondo me hanno bucato il provider/hosting e ritengo che tu possa fare ben poco

[dydale]

Ok. Grazie. L'importante che non sia colpa mia

[Habanero]

In generale è più probabile sia colpa di chi gestisce lo spazio che del provider del servizio... anche se la cosa è possibile.

In ogni caso le casistiche possibili sono varie...

Sarebbe interessante verificare dai log se nell'orario incriminato è stato effettuato un accesso FTP/SSH allo spazio in questione. In tal caso sarebbe verificata l'ipotesi di un furto di credenziali. Sono parecchi i Trojan che rubano credenziali di accesso sniffando la rete della macchina dalla quale viene eseguito l'accesso. In ogni caso verifica che la rete da cui ti colleghi sia pulita. Fatto questo ti consiglio comunque di modificare le credenziali.

Verifica anche i diritti di scrittura sulle cartelle in cui sono stati modificati i file. Purtroppo sono ancora molti i provider di spazio web che non isolano tra di loro i filesystem dei siti ospitati sulla stessa macchina. Ciò significa che potenzialmente possono essere effettuate scritture cross-domain se uno dei siti in questione è vulnerabile.

Da ultimo non escludere una vulnerabilità della applicazione web/cms (o quello che è) ospitato sul tuo spazio web.