In questo momento sono stato hackerato e non so fermarlo. Lasciami spiegare ...
Il mio sito web è ospitato in un VPS in cui sono l'unica persona che ha accesso ad esso. La pagina è compilata con Codeigniter (aggiornato) e Doctrine (aggiornato anche). Una volta navigato su index.php, vedo questo codice nella fonte:
<!--
top.location="http://pagesinxt.com/?dn=eqtisad.u13.biz&fp=uG6gKivovi4x8JjEAROV%2FTKBtIWD%2Blle7UNutYwxGdAyGVrZoBm5Bekjw2z7vZmvYE9r56BxR%2FdwKJnOW1e8aQ%3D%3D&prvtof=3um92iAJbFQD4ie3mqlX9yNOXQElLxUpPsdwROXtIXk%3D&poru=8V8ohaa543uO%2BrtgyMrGBIAkgU2lu1ckclS6TcL72%2BnBM2%2BYG73v%2FyLI9ZhKVjCGL2w0E5BxYal2xKLR2ERsB3mlhGebCpkQgGj4df%2BIkrc%3D&cifr=1&flrdr=yes&nxte=gif";
/*
-->
<script type="text/javascript">
<!--
dimensionUpdated = 0;
function applyFrameKiller()
{
if(window.top != self)
{
cHeight = 0;
if( typeof( window.innerHeight ) != 'undefined' ) {
//Non-IE
cHeight = window.innerHeight;
dimensionUpdated = 1;
} else if( document.documentElement && ( document.documentElement.clientWidth || document.documentElement.clientHeight ) ) {
//IE 6+ in 'standards compliant mode'
cHeight = document.documentElement.clientHeight;
dimensionUpdated = 1;
} else if( document.body && ( document.body.clientWidth || document.body.clientHeight ) ) {
//IE 4 compatible
cHeight = document.body.clientHeight;
dimensionUpdated = 1;
}
if( cHeight <= 250 && dimensionUpdated == 1)
{
window.top.location = "http://pagesinxt.com/?dn=eqtisad.u13.biz&fp=uG6gKivovi4x8JjEAROV%2FTKBtIWD%2Blle7UNutYwxGdAyGVrZoBm5Bekjw2z7vZmvYE9r56BxR%2FdwKJnOW1e8aQ%3D%3D&prvtof=H4TY0TTX3NzJR65BWTqd5iL%2FuG%2FrWNlJRpGGD7lLlAI%3D&poru=VPQxzhVHETonB83RBOqqTOJMW1rvUm850o6RD0TzdI6oyXwlzAeOG%2FK17FifSzcxHolUxHDNgpTE%2BnRQSwqPDCIL8FKABEYRdUxAEcBGi8s%3D&cifr=1&flrdr=yes&nxte=gif";
}
}
}
applyFrameKiller();
// -->
</script><frameset rows="100%,*" frameborder="no" border="0" framespacing="0">
<frame src="http://pagesinxt.com/?dn=eqtisad.u13.biz&fp=uG6gKivovi4x8JjEAROV%2FTKBtIWD%2Blle7UNutYwxGdAyGVrZoBm5Bekjw2z7vZmvYE9r56BxR%2FdwKJnOW1e8aQ%3D%3D&prvtof=QNdLHvfpmQDcCjmfkLp0UoTOm9%2FlbsSY5zwRjXbMEDs%3D&poru=ZFDh3zFdBl8oLoFKYzmbIrndO0AsgI5yGs9la3B3DvUnOwJwZj4aeWo5bo5PRkvlGhqLFIwXyhV4DxStH7tHRS%2FbB902y5I8kPm7LLxSgJ0%3D&flrdr=yes&nxte=gif"></frameset><noframes><bodybgcolor="#ffffff" text="#000000">
<a href="http://pagesinxt.com/?dn=eqtisad.u13.biz&fp=uG6gKivovi4x8JjEAROV%2FTKBtIWD%2Blle7UNutYwxGdAyGVrZoBm5Bekjw2z7vZmvYE9r56BxR%2FdwKJnOW1e8aQ%3D%3D&prvtof=DFirIGqMqM7SgRb4jbom9x%2FWLKk2BsDoNNUAtuffLcM%3D&poru=h4Hln0ENUyIUaYgUi37Z6zIj6%2FYWgvyln3NWEddNbSBI1tQexg46ZMAGiZ0lsT6C4pkl6AcLCw9x0J6hZhJcNgm04ONcuO4STG69vF4Nue8%3D&flrdr=yes&nxte=gif">Click here to proceed</a>.
</body>
</noframes><!--
*/
-->
Qualcosa che non capisco
-
Se apri
index.php
il codice è corretto (codice originale), quindi .. come è possibile vedere il codice sopra nel browser, ma con ftp il file è ok? -
Non sono mai stato attaccato prima, quindi, quali dovrebbero essere le prime linee guida da esaminare? quale dovrebbe essere una corretta risoluzione dei problemi per trovare / minimizzare la sicurezza del buco?
-
(Qui mi sto confondendo di più). Questo hack è intermittente, perché quando premo
F5
l'hack scompare per 2 o 3 minuti, ma ritorna di nuovo! Sono molto spaventato :(