Sospecho de espias en mi web con PHP

colla · #1 (**permalink**) 19/09/2009, 10:43

No sé si es temor , pero he encontrado en mi hosting, en Administrador de archivos-archivos escondidos, un archivo que tiene escrito de PHP, lo copié y al abrirlo me sale un aviso de Internet explorer, que me dice que por seguridad no lo abra, porque Active x podría acceder a mi PC. En mi página web al final después de html, asi : </body>
</html>
<?php ob_end_flush() ?> sale esto , anteriormente he tenido problemas y los he borrado, rogando estar haciendo bien, incluso mi página web fue secuestrada y asi la recuperé, ahora no entiendo esto, por favor, les pido ayuda.

Gracias.

colla

mayanmaster · #2 (**permalink**) 19/09/2009, 14:24

oye qué mala suerte, a mi me acaba de suceder lo mismo (o por lo menos me acabo de enterar), en uno de mis servidores han aparecido 2 carpetas con nombres raros y archivos php, he podido analizar el código y son páginas tipo directorio que sacan contenido aleatorio. Tiene un filtro de ips para que si visita google haga cloaking. Pude ver la fecha y fueron puestas el 18 del mes pasado

las he borrado y estoy en proceso de revisión completa, y cambio de passwords por otros más complicados aún. Son cosas que pasan pero menos mal no han borrado info, veo que tampoco te han borrado info

revisa, porque este tipo de secuestros de servidor pueden hacer que tu sitio funcione como bot remoto o bien que te penalicen por contenido que ni siquiera es tuyo

#3 (**permalink**) 21/09/2009, 09:36

No das información para identificar ningún problema. Lo del end_flush() al final de la página no es motivo suficiente para sospechar.

También IE da advertencias a veces por cosas inofensivas, así que tendrás que dar más detalles sobre lo que encontraste.

colla · #4 (**permalink**) 22/09/2009, 09:49

Hola Alvaro, gracias por responder, espero que pueda hacer este envío ya me rechazó 1 vez, esto es lo que encontré.

wysiwygPro_edit_eacf331f0ffc35d4b482f1d15a887d3b.p hp PHP script text --------------------------------------------------------------------------------

No he podido hacer el envío parece que como soy nueva, no puedo hacerlo, he dejado solo el encabezado, espero puedas decirme como te explico, gracias por tu interés.

Algo mas, espero que acepte.

registerButton('save', 'Save', 'do_save();', '##buttonURL##save.gif', 22, 22, 'savehandler'); $editor->addRegisteredButton('save', 'before:print' ); $editor->addJSButtonStateHandler ('savehandler', 'function (EDITOR,srcElement,cid,inTable,inA,range){ return "wproReady"; }'); $editor->registerButton('cancel', 'Cancel', 'do_abort();', '##buttonURL##close.gif', 22, 22, 'cancelhandler'); $editor->addRegisteredButton('cancel', 'before:print' ); $editor->

#5 (**permalink**) 22/09/2009, 12:06

Pegando aquí lo que me mandaste, para que otros puedan verlo también

wysiwygPro_edit_eacf331f0ffc35d4b482f1d15a887d3b.p hp PHP script text --------------------------------------------------------------------------------

registerButton('save', 'Save', 'do_save();', '##buttonURL##save.gif', 22, 22, 'savehandler'); $editor->addRegisteredButton('save', 'before:print' ); $editor->addJSButtonStateHandler ('savehandler', 'function (EDITOR,srcElement,cid,inTable,inA,range){ return "wproReady"; }'); $editor->registerButton('cancel', 'Cancel', 'do_abort();', '##buttonURL##close.gif', 22, 22, 'cancelhandler'); $editor->addRegisteredButton('cancel', 'before:print' ); $editor->addJSButtonStateHandler ('cancelhandler', 'function (EDITOR,srcElement,cid,inTable,inA,range){ return "wproReady"; }'); $editor->theme = 'blue'; $editor->addJSEditorEvent('load', 'function(editor){editor.fullWindow();setHtmlFilte rs(editor);}'); $editor->baseURL = "http://hishopping.info/"; $editor->loadValueFromFile('/home/hishoppi/public_html/index.html'); $editor->registerSeparator('savecan'); // add a spacer: $editor->addRegisteredButton('savecan', 'after:cancel'); //$editor->set_charset('iso-8859-1'); $editor->mediaDir = '/home/hishoppi/public_html/'; $editor->mediaURL = 'http://hishopping.info/'; $editor->imageDir = '/home/hishoppi/public_html/'; $editor->imageURL = 'http://hishopping.info/'; $editor->documentDir = '/home/hishoppi/public_html/'; $editor->documentURL = 'http://hishopping.info/'; $editor->emoticonDir = '/home/hishoppi/public_html/.smileys/'; $editor->emoticonURL = 'http://hishopping.info/.smileys/'; $editor->loadPlugin('serverPreview'); $editor->plugins['serverPreview']->URL = 'http://hishopping.info/.wysiwygPro_preview_eacf331f0ffc35d4b482f1d15a887d 3b.php?randomId=lXgXkjXSSjkbS8Nyg13Sn_UTo40i8K7Pt2 lJ6tBw8q47xtitPym0TAxkiQxiLjaO8gGkQ_f8NkPl_cUleJWl PKz4GqhJ4moYiQ8qzBkhwc5pXs5eZY86cJ5VruWDVxiRMnjvK4 ZcpPgRX2GN1IrhI8MiKgyJebvax26j5jMN7AgjJOc3lgjzxvzw HH5zGMMCl_0GLJJh7XmADIDByMOZevcQ7c0Mu7BGeabZnyGIul mVZBvPDnVPo4RZh1z8cF8o'; // print the editor to the browser: $editor->htmlCharset = 'us-ascii'; $editor->urlFormat = 'relative'; $editor->display('100%','450'); ?>

¿hishopping.info es tu sitio?

Por lo que estuve viendo los archivos de nombre wysiwygPro_edit* (también hay wysiwygPro_preview*) son creados por el editor de cPanel.
Puedes borrarlos con seguridad.

No encuentro mucha más información, de por sí el código no parece estar haciendo nada extraño.

Sí encontré esta página http://wordpress.org/support/topic/305645, por lo que te pido nos pegues el código que aparece en tu sitio.

Saludos.