• User

    Attacco a sito internet

    Ciao a tutti,
    alcuni giorni fa sono stato oggetto di un attacco ad alcuni siti internet che gestisco.
    In pratica l'intrusore riesce a modificare tutte le pagine (.php, .html) che il sito ha aggiungendo alla fine del codice che inizia cosi:
    <!-- [ 22b0d20b0a015e7ebcdf040d0d658eda ] -->

    <script>eval(unescape('function e poi un sacco di caratteri strani.
    Non riesco a capire quale buco sia aperto ne da dove iniziare a guardare.
    Qualcuno è così gentile da potermi dare una dritta.
    Grazie anticipate


  • User Attivo

    Gli hacker di solito usano due strade: - un accesso ftp (oppure SSH) bucabile perché la password è troppo facile - un server HTTP (magari IIS) non patchato che permette le modifiche (magari tramite estensione Frontpage) Il mio consiglio è aggiornare il server (oppure chiedere al tuo fornitore). Cambiare la password FTP. Disattivare eventuali estensioni (Frontpage) o account inutili.


  • User

    Per quanto riguarda le pagine in php guarda questa guida sulla sicurezza che è veramente ben fatta:

    *ttp://php.html.it/guide/leggi/121/guida-sicurezza-di-php

    L'avevo letta anche io quando ho iniziato a programmare in php e mi è stata molto utile.
    Per le pagine in cui non sia presente altro che codice HTML prova a guardare indicazioni relative ai cms con cui le scrivi.
    Se invece scrivi tu direttamente il codice non saprei cosa possa essere...
    Spero di esserti stato utile.

    ps:nel codice php controlla attentamente tutti gli include: è utilizzando in un modo diverso da quello previsto dal webmaster quelle parti di codice che generalmente si riesce a "prendere possesso" del sito magari inserendo delle shell preparate apposta per fare ciò nel tuo sito.


  • User

    Il server è sotto linux.
    Probabilmente l'attacco è di tipo XSS e sfrutta qualche vulnerabilità nei form, probabilmente POST.
    Il problema principale è che i siti circa 30 tutti già attaccati.
    Quindi ora devo ripristinare le pagine modificate, controllare tutti i GET e i POST.
    Il fatto è che leggere i file di log non credo mi aiuti molto se l'attacco avviene via POST.
    Grazie per ora.