Autore Topic: Codice sospetto sull'index del sito  (Letto 3146 volte)

Offline donatinho1

  • Nuovo arrivato
  • *
  • Post: 31
    • Mostra profilo
Codice sospetto sull'index del sito
« il: 25 Ago 2014, 11:13:49 »
Salve a tutti,
ho attivato sul dominio un servizio di sicurezza che controlla se ci sono vulnerabilitÓ sul sito.

Questo servizio ha rilevato una vulnerabilitÓ di XSS Scripting.

Capisco molto poco di programmazione, ma ho trovato nel file index.php del template delle linee di codice (quelle evidenziate) che sull'installazione in locale non sono presenti:

<?php
defined('_JEXEC') or die;
include_once ('includes/functions.php');
include_once ('includes/includes.php');
//================================================
foreach($_POST as $key => $value)
{
     $_POST[$key]=htmlentities($_POST[$key]);
}
foreach($_GET as $key => $value)
{
     $_GET[$key]=htmlentities($_GET[$key]);
}
foreach($_REQUEST as $key => $value)
{
     $_REQUEST[$key]=htmlentities($_REQUEST[$key]);
}
//================================================

?>

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="<?php echo $this->language; ?>" lang="<?php echo $this->language; ?>" >
<head>
...

Sapete dirmi a cosa fanno riferimento queste linee di codice?

C'Ŕ qualche attinenza con la vulnerabilitÓ XSS Scripting?

Io a scanso di equivoci le ho cancellate.

Versione Joomla 3.3.3
Versione database 5.5.34

Grazie a tutti

Offline donatinho1

  • Nuovo arrivato
  • *
  • Post: 31
    • Mostra profilo
Re:Codice sospetto sull'index del sito
« Risposta #1 il: 26 Ago 2014, 15:27:18 »
Se vi servono ulteriori informazioni, posso darvele!!

Offline tomtomeight

  • Global Moderator
  • Fuori controllo
  • ********
  • Post: 31835
  • Sesso: Maschio
  • Gli automatismi aiutano ma non insegnano nulla.
    • Mostra profilo
Re:Codice sospetto sull'index del sito
« Risposta #2 il: 26 Ago 2014, 17:18:16 »
Devi mettere almeno il link al sito e dirci di che template si tratta, quest'ultimo citalo solo se free altrimenti rivolgiti al produttore.

Offline donatinho1

  • Nuovo arrivato
  • *
  • Post: 31
    • Mostra profilo
Re:Codice sospetto sull'index del sito
« Risposta #3 il: 26 Ago 2014, 17:40:29 »
Il link del sito Ŕ: www.tiristoro.it

Il template Ŕ a pagamento, ma come ho giÓ scritto, le righe di codice evidenziate non sono presenti nÚ sul file del pacchetto scaricato dal produttore del template nÚ nell'installazione che ho in locale.

Volevo sapere se erano state inserite dopo qualche aggiornamento di joomla oppure da qualcos'altro.

Dato che contemporaneamente sul sito si Ŕ presentata una vulnerabilitÓ di XSS scripting mi sono allarmato.

Non essendo un programmatore, non saprei dove guardare

Offline tomtomeight

  • Global Moderator
  • Fuori controllo
  • ********
  • Post: 31835
  • Sesso: Maschio
  • Gli automatismi aiutano ma non insegnano nulla.
    • Mostra profilo
Re:Codice sospetto sull'index del sito
« Risposta #4 il: 26 Ago 2014, 17:44:25 »
Il template a pagamento, per caso e dico per caso, non Ŕ che lo hai scaricato da qualche parte o te lo ha passato qualche amico?

Offline donatinho1

  • Nuovo arrivato
  • *
  • Post: 31
    • Mostra profilo
Re:Codice sospetto sull'index del sito
« Risposta #5 il: 26 Ago 2014, 17:49:33 »
Assolutamente no, l'ho scaricato direttamente dal link del produttore dopo averlo acquistato

Offline tomtomeight

  • Global Moderator
  • Fuori controllo
  • ********
  • Post: 31835
  • Sesso: Maschio
  • Gli automatismi aiutano ma non insegnano nulla.
    • Mostra profilo
Re:Codice sospetto sull'index del sito
« Risposta #6 il: 26 Ago 2014, 17:54:26 »
Ok, scusa ma ho solo prospettato una possibilitÓ dato che problemi di sicurezza incorrono sicuramente per estensioni di dubbia provenienza. Accertato che non Ŕ il tuo caso ti posso assicurare che oltre ai template default nessun file di altri template viene toccato durante gli aggiornamenti. Ti consiglio di rimettere il file index originale e di seguire e applicare i consigli dei topic in evidenza di questa sezione sicurezza.

Offline donatinho1

  • Nuovo arrivato
  • *
  • Post: 31
    • Mostra profilo
Re:Codice sospetto sull'index del sito
« Risposta #7 il: 26 Ago 2014, 17:59:53 »
Ok grazie
prover˛ e ti far˛ sapere

Offline donatinho1

  • Nuovo arrivato
  • *
  • Post: 31
    • Mostra profilo
Re:Codice sospetto sull'index del sito
« Risposta #8 il: 26 Ago 2014, 18:39:44 »
Hai qualche idea su come possono essere state scritte quelle righe di codice?

Che cosa significa quel codice?

Grazie

Offline donatinho1

  • Nuovo arrivato
  • *
  • Post: 31
    • Mostra profilo
Re:Codice sospetto sull'index del sito
« Risposta #9 il: 27 Ago 2014, 17:37:02 »
Sono riuscito a risolvere la vulnerabilitÓ Cross-site scripting sul sito: erano i link generati dal plugins Redirect, erano tutti disabilitati, ma molti facevano riferimento a pagine inestistenti.

Ora volevo capire la misteriosa apparizione del codice sulla index del sito

Grazie

Offline mmleoni

  • Global Moderator
  • Instancabile
  • *****
  • Post: 5547
  • Sesso: Maschio
  • Just another *nix coder/sysadmin...
    • Mostra profilo
Re:Codice sospetto sull'index del sito
« Risposta #10 il: 29 Ago 2014, 15:28:45 »
mi sa che stai facendo un casino pazzesco per nulla, sicuro che quel 'servizio di sicurezza' sia una cosa seria?
da come ti esprimi mi pare che tu non sia proprio esperto; sai almeno che cosa sia una vulnerabilitÓ XXS esattamente?

quel codice, da te evidenziato, si direbbe la classica cura peggiore della malattia!! ovvero la soluzione ad un problema forse (==quasi sicuramente) non esistente  ;D

per evitare un eventale possibile fantomatico attacco ferocemente e sicuramente pirata xxs prendono tutti i dati GP[R] (e C no?) e li trasformano in codice html convertendo in entitÓ html  :o >:(
e se uno deve trasferire qualcosa in binario, che ne so: una foto, uno zip?


fammi indovinare: Ŕ un servizio a pagamento! beh, in qualche modo debbono giustificare i soldi richiesti...  :-X

PS:
anche sul plugin redirect mi sa che hai le idee poco chiare...


ciao,
marco
mmleoni web consulting - creazione siti web aziendali ed e-commerce avanzati - sviluppo moduli e componenti Joomla

Offline donatinho1

  • Nuovo arrivato
  • *
  • Post: 31
    • Mostra profilo
Re:Codice sospetto sull'index del sito
« Risposta #11 il: 29 Ago 2014, 17:05:28 »
Il servizio Ŕ pubblicizzato dal servizio di Hosting, che essendo a pagamento non posso rivelare.
Per quanto riguarda il servizio di sicurezza se sia una cosa seria non so che dirti.

Non sono un programmatore, ma che cosa vuoi dire con:
quel codice, da te evidenziato, si direbbe la classica cura peggiore della malattia!! ovvero la soluzione ad un problema forse (==quasi sicuramente) non esistente  ;D 
per evitare un eventale possibile fantomatico attacco ferocemente e sicuramente pirata xxs prendono tutti i dati GP[R] (e C no?) e li trasformano in codice html convertendo in entitÓ html  :o :(" title="Angry" class="smiley">
e se uno deve trasferire qualcosa in binario, che ne so: una foto, uno zip?


Comunque il codice sull'index l'ho cancellato e sembra che ad oggi non sia stato ancora riscritto, per la vulnerabilitÓ XSS ho semplicemente cancellato i link nel plugin Redirect (tutti disabilitati) ed Ŕ tornato tutto a posto,  ed il sito funziona.

E' vero il plugin Redirect non lo capisco proprio: dopo aver cancellato i link due giorni fa ieri ne ho ritrovati una parte, tutti disabilitati.
Per il momento il plugin l'ho disabilitato, poi si vedrÓ.

Ciao

Offline mmleoni

  • Global Moderator
  • Instancabile
  • *****
  • Post: 5547
  • Sesso: Maschio
  • Just another *nix coder/sysadmin...
    • Mostra profilo
Re:Codice sospetto sull'index del sito
« Risposta #12 il: 29 Ago 2014, 17:22:59 »
difficile spiegare ad un non programmatore, comunque quel codice non Ŕ un virus, probabilmente fa pi¨ danni di un virus, ma non Ŕ di per sÚ stesso malevolo. chiedi se te lo hanno aggiunto quelli del servizio di sicurezza o qualcuno in azienda e facci sapere, di sicuro non lo ha messo un hacker.

per il plugin ti consiglio di leggere la doc di joomla; Ŕ normale il comportamento da te descritto: Ŕ proprio a questo che serve, a valutare eventuali link esterni (e non) errati ed a correggerli.

comunque, non si capisce bene dalla tua esposizione, se con il plugin attivo il servizio di sicurezza di dice che il sito Ŕ vulnerabile e con il plugin disattivato invece il sito risulta sicuro, ti consiglierei di farti spiegare bene in che consista detto servizio e valutare bene se avvalertene anche in futuro.

ciao,
marco
mmleoni web consulting - creazione siti web aziendali ed e-commerce avanzati - sviluppo moduli e componenti Joomla

Offline donatinho1

  • Nuovo arrivato
  • *
  • Post: 31
    • Mostra profilo
Re:Codice sospetto sull'index del sito
« Risposta #13 il: 29 Ago 2014, 18:18:39 »
Ok faccio delle prove e ti dico

 

Host

Torna su