Codice sospetto sull'index del sito

[donatinho1]

Salve a tutti,
ho attivato sul dominio un servizio di sicurezza che controlla se ci sono vulnerabilità sul sito.

Questo servizio ha rilevato una vulnerabilità di XSS Scripting.

Capisco molto poco di programmazione, ma ho trovato nel file index.php del template delle linee di codice (quelle evidenziate) che sull'installazione in locale non sono presenti:

<?php
defined('_JEXEC') or die;
include_once ('includes/functions.php');
include_once ('includes/includes.php');
//================================================
foreach($_POST as $key => $value)
{
     $_POST[$key]=htmlentities($_POST[$key]);
}
foreach($_GET as $key => $value)
{
     $_GET[$key]=htmlentities($_GET[$key]);
}
foreach($_REQUEST as $key => $value)
{
     $_REQUEST[$key]=htmlentities($_REQUEST[$key]);
}
//================================================
?>

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="<?php echo $this->language; ?>" lang="<?php echo $this->language; ?>" >
<head>
...

Sapete dirmi a cosa fanno riferimento queste linee di codice?

C'è qualche attinenza con la vulnerabilità XSS Scripting?

Io a scanso di equivoci le ho cancellate.

Versione Joomla 3.3.3
Versione database 5.5.34

Grazie a tutti

[donatinho1]

Se vi servono ulteriori informazioni, posso darvele!!

[tomtomeight]

Devi mettere almeno il link al sito e dirci di che template si tratta, quest'ultimo citalo solo se free altrimenti rivolgiti al produttore.

[donatinho1]

Il link del sito è: www.tiristoro.it

Il template è a pagamento, ma come ho già scritto, le righe di codice evidenziate non sono presenti né sul file del pacchetto scaricato dal produttore del template né nell'installazione che ho in locale.

Volevo sapere se erano state inserite dopo qualche aggiornamento di joomla oppure da qualcos'altro.

Dato che contemporaneamente sul sito si è presentata una vulnerabilità di XSS scripting mi sono allarmato.

Non essendo un programmatore, non saprei dove guardare

[tomtomeight]

Il template a pagamento, per caso e dico per caso, non è che lo hai scaricato da qualche parte o te lo ha passato qualche amico?

[donatinho1]

Assolutamente no, l'ho scaricato direttamente dal link del produttore dopo averlo acquistato

[tomtomeight]

Ok, scusa ma ho solo prospettato una possibilità dato che problemi di sicurezza incorrono sicuramente per estensioni di dubbia provenienza. Accertato che non è il tuo caso ti posso assicurare che oltre ai template default nessun file di altri template viene toccato durante gli aggiornamenti. Ti consiglio di rimettere il file index originale e di seguire e applicare i consigli dei topic in evidenza di questa sezione sicurezza.

[donatinho1]

Ok grazie
proverò e ti farò sapere

[donatinho1]

Hai qualche idea su come possono essere state scritte quelle righe di codice?

Che cosa significa quel codice?

Grazie

[donatinho1]

Sono riuscito a risolvere la vulnerabilità Cross-site scripting sul sito: erano i link generati dal plugins Redirect, erano tutti disabilitati, ma molti facevano riferimento a pagine inestistenti.

Ora volevo capire la misteriosa apparizione del codice sulla index del sito

Grazie

[mmleoni]

mi sa che stai facendo un casino pazzesco per nulla, sicuro che quel 'servizio di sicurezza' sia una cosa seria?
da come ti esprimi mi pare che tu non sia proprio esperto; sai almeno che cosa sia una vulnerabilità XXS esattamente?

quel codice, da te evidenziato, si direbbe la classica cura peggiore della malattia!! ovvero la soluzione ad un problema forse (==quasi sicuramente) non esistente 

per evitare un eventale possibile fantomatico attacco ferocemente e sicuramente pirata xxs prendono tutti i dati GP[R] (e C no?) e li trasformano in codice html convertendo in entità html 
e se uno deve trasferire qualcosa in binario, che ne so: una foto, uno zip?


fammi indovinare: è un servizio a pagamento! beh, in qualche modo debbono giustificare i soldi richiesti... 

PS:
anche sul plugin redirect mi sa che hai le idee poco chiare...


ciao,
marco

[donatinho1]

Il servizio è pubblicizzato dal servizio di Hosting, che essendo a pagamento non posso rivelare.
Per quanto riguarda il servizio di sicurezza se sia una cosa seria non so che dirti.

Non sono un programmatore, ma che cosa vuoi dire con:
quel codice, da te evidenziato, si direbbe la classica cura peggiore della malattia!! ovvero la soluzione ad un problema forse (==quasi sicuramente) non esistente   
per evitare un eventale possibile fantomatico attacco ferocemente e sicuramente pirata xxs prendono tutti i dati GP[R] (e C no?) e li trasformano in codice html convertendo in entità html  " title="Angry" class="smiley">
e se uno deve trasferire qualcosa in binario, che ne so: una foto, uno zip?

Comunque il codice sull'index l'ho cancellato e sembra che ad oggi non sia stato ancora riscritto, per la vulnerabilità XSS ho semplicemente cancellato i link nel plugin Redirect (tutti disabilitati) ed è tornato tutto a posto,  ed il sito funziona.

E' vero il plugin Redirect non lo capisco proprio: dopo aver cancellato i link due giorni fa ieri ne ho ritrovati una parte, tutti disabilitati.
Per il momento il plugin l'ho disabilitato, poi si vedrà.

Ciao

[mmleoni]

difficile spiegare ad un non programmatore, comunque quel codice non è un virus, probabilmente fa più danni di un virus, ma non è di per sé stesso malevolo. chiedi se te lo hanno aggiunto quelli del servizio di sicurezza o qualcuno in azienda e facci sapere, di sicuro non lo ha messo un hacker.

per il plugin ti consiglio di leggere la doc di joomla; è normale il comportamento da te descritto: è proprio a questo che serve, a valutare eventuali link esterni (e non) errati ed a correggerli.

comunque, non si capisce bene dalla tua esposizione, se con il plugin attivo il servizio di sicurezza di dice che il sito è vulnerabile e con il plugin disattivato invece il sito risulta sicuro, ti consiglierei di farti spiegare bene in che consista detto servizio e valutare bene se avvalertene anche in futuro.

ciao,
marco

[donatinho1]

Ok faccio delle prove e ti dico