Modifica file php su file romoto da non so chi

[Jacky87]

Salve a tutti, non so se questa è la sezione giusta e non sono riuscito a trovare un titolo più appropriato.
Questa mattina mi è capitato di visitare un sito fatto da me in php, e a metà caricamento della home page mi è comparso l'avviso che questo sito contiene probabilmente malaware. Cercando di capire cosa fosse successo, mi sono scaricato il codice della index e ho visto che in fondo c'era una riga non inserta da me, con un iframe che faceva riferimento ad un altro sito.

Mi chiedo, come è possibile che sia stata aggiunta questa riga?

Come posso evitare che accada in futuro?

Ho scoperto che è successo su più siti, su host diversi, tutti pero' hanno un databse mysql in comune.


Grazie

[chumkiu]

Succede spesso su altervista anche... ne ho sentito alcuni.
non so di preciso, escludo vulnerabilità di codice perché pare che succeda anche a chi non fa uso di php. Quindi probabilmente qualche vulnerabilità a monte, del gestore dell'hosting o del software che usa (magari qualche servizio che offre statistiche, o pannelli di controllo).

O più semplicemente ti hanno rubato la pass.

Ti consiglio di chiamare il tuo hosting e vedere cosa fare, magari se riescono a spulciare i log e notano qualche attività strana.

Controlla che il tuo sito non faccia include di file php prendendo il nome del file da variabili get o post, o in generale variabili non inizializzate e controllate prima, es:

Codice PHP:

include("/my/dir/{$_GET['page']}.php"); 


questo è un errore comune....

[whisher]

Originariamente inviato da Jacky87
Salve a tutti, non so se questa è la sezione giusta e non sono riuscito a trovare un titolo più appropriato.
Questa mattina mi è capitato di visitare un sito fatto da me in php, e a metà caricamento della home page mi è comparso l'avviso che questo sito contiene probabilmente malaware. Cercando di capire cosa fosse successo, mi sono scaricato il codice della index e ho visto che in fondo c'era una riga non inserta da me, con un iframe che faceva riferimento ad un altro sito.

Mi chiedo, come è possibile che sia stata aggiunta questa riga?

Come posso evitare che accada in futuro?

Ho scoperto che è successo su più siti, su host diversi, tutti pero' hanno un databse mysql in comune.


Grazie

ciao controlla i permessi sul file settali a 644 o similia.

[Jacky87]

Controlla che il tuo sito non faccia include di file php prendendo il nome del file da variabili get o post, o in generale variabili non inizializzate e controllate prima, es:

No, controllo sempre eventuali include proprio per evitare problemi.

Ho letto che sembra sia un problema di aruba, mi è capitato un'altra volta ad aprile, su un restyling di un sito, alla fine c'era uno script javascript che eseguiva il download di script malevolo. Ho letto giorni dopo un articolo in cui si diceva che erano stati violati alcuni server aruba.

ciao controlla i permessi sul file settali a 644 o similia.

Ok, li imposto a 644

Grazie