il mio sito crakkato

**Ndr** · 15-06-2007, 09:59

Ieri ho scoperto che il mio sito www.salento.lecce.ite' stato craccato aggiungendo un iframe nascosto e un collegamento a questo ip http://58.65.239.180/ il quale scaricava un dialer e troian e infognava pc winzoz.
Ho scoperto che dipendeva da un paio di moduli: uno per l'inscrizione alle newsletter e l'altro per tener traccia di un particolare percorso all'interno del sito (faceva uso di cookie).
Disabilitando questi due l'iframe e' sparito.
Credo quindi si sia tratato di sql injection.
Guardando i file coinvolti sembrano puliti, scaricando l'intero db non ci sono segni di iframe o ip 58.65.239.180 o testo con javascript o simili...
A questo punto una domanda e una richiesta
Dove si trova secondo voi il codice iniettato?
Potete controllare sul sito www.salento.lecce.it se esiste ancora traccia di questo attacco?

**windino** · 15-06-2007, 13:26

Per caso hai installato qualche contatore free tipo specialstat o altri? se si rimuovi il codice
ciao

**Ndr** · 15-06-2007, 14:24

No nessuno di questi contatori free... Uso google analitics.
Sei entrato nel sito? ti ha dato particolari errori?
Nel codice hai notato frame nascosti? (magari a me son sfuggiti)

**windino** · 15-06-2007, 17:53

no, passavo di qui e ho letto la tua domanda
tempo fa avevo installato un contatore free e senza saperlo (importante leggere le policy di chi offre servizi free !) era collegato a un dialer, chi aveva la dsl non lo prendeva ma i 64k si. Fortuna me lo hanno fatto notare quasi subito. Ciao, non so sul codice, al momento non ho tempo qualcuno esperto ti saprà dire

**amvinfe** · 16-06-2007, 00:24

http://www.suspectfile.com/blog/?postid=27

**oskaron** · 16-06-2007, 01:31

bhe ti han gia fatto vedere che è comune, ora se non hai fatto modifiche provo a vedere qualche vulnerabilità del sito molto velocemente...

**oskaron** · 16-06-2007, 01:34

bho il codice è disordinato quindi non riesco a darci un occhiata a quest'ora...sql injection si ma dove? ho provato su un form ma non succedeva niente

**ercolino.1973** · 16-06-2007, 18:49

Attenzione attualmente Aruba è sotto attacco uno è proprio quell'IP

Info

Per chi ha un sito Web deve subito bloccare gli Ip a livello Server nel file httpaccess

http://www.spamhaus.org/sbl/sbl.lasso?query=SBL51152

http://www.spamhaus.org/sbl/sbl.lasso?query=SBL54249

http://www.spamhaus.org/sbl/sbl.lasso?query=SBL43489

**ercolino.1973** · 16-06-2007, 23:54

Ho avvisato un utente su Aruba in modo che avvisasse sul forum di supporto

Avviso

**Ndr** · 17-06-2007, 09:05

Originariamente inviato da oskaron
bho il codice è disordinato quindi non riesco a darci un occhiata a quest'ora...sql injection si ma dove? ho provato su un form ma non succedeva niente

Si ho fatto quanlche controllo per evitare questo tipo di attacchi.
I controlli li ho fatti anche sulle variabili che passo via get.

Discussione: il mio sito crakkato

Strumenti discussione

Ricerca discussione

Visualizza

il mio sito crakkato

Permessi di invio