Hack para subir archivos en php

Hola comunidad de foros,

Escribo este mensaje ya tengo un problema grave con un servidor y un sitio web que tengo funcionando con código PHP...

Hace un par de días descubrí que mi servidor había sido vulnerado, encontré varios archivos que yo, la única persona que tiene acceso, no había subido. Revisando esos archivos encontré uno que me llamó mucho la atención, así que decidí ejecutarlo.




Al ejecutar ese archivo, permitía a cualquier persona hacer lo que quisiera con el servidor, la página y la base de datos. Ese archivo al ser ejecutado creaba una página que permitía subir, modificar, borrar y descargar cualquier archivo del servidor, accesar a la base de datos, además navegar tranquilamente dentro de los directorios del servidor incluso, los directorios superiores del public_html, ofreciendo acceso a cualquier archivo que se quisiera...



En fin, para no hacer muy largo el mensaje, mi pregunta es cómo pudo haber hecho un usuario externo para lograr subir al servidor ese archivo tan peligroso, ya que si evito a toda costa que alguien suba archivos de ese tipo no sería tan vulnerable el servidor...



Algo de lo que siempre me he asegurado es de evitar tener vulnerabilidades de mysql injection, siempre reviso los datos antes de que entren a la base de datos. Pero este tipo de huecos solo permiten realizar acciones con la base de datos, no se podría subir un archivo al servidor utilizando éste método (creo).

Espero me puedan dar alguna referencia de cómo podrían haberlo hecho y consejos de como evitar que vuelva a suceder algo parecido...

Saludos a todos...

Pueden ser varias las formas, que tengas un formulario que implemente el subir archivos, contraseñas muy sencillas en el FTP o que de plano sea el servidor el que este "infectado", sin mas información es estar adivinando, deberías revisar todos tus formularios, si tienes algún formulario para subir archivos, si usas la función eval() en alguno de ellos, etc,

Gracias por responder Nemutagk

Lo más que puedo decir es que la pagina funciona con "smf 2.0.4", así que no creo que tenga vulnerabilidades en los formularios... pero quien sabe... voy a tener que revisar...

Saludos...

Si es un sistema pre-fabricado es muy probable que tenga alguna vulnerabilidad y el usuario atacante la a usado para generar los archivos que tienes, checa si hay actualizaciones de seguridad para dicho programa y si te es posible actualiza lo mas pronto posible ya que aunque borres los archivos el agujero de seguridad seguirá abierto y el usuario podrá volver a subir/generar los archivos una y otra vez...