EnForos

Revenue Sharing - Adsense

Obviar

Ataques con iframe q1e.ru o u0r.in

Publicar una respuesta

Ataques con iframe q1e.ru o u0r.in

Notapor kosciuk » Dom Jul 26, 2009 4:34 pm

Si sufrieron un ataque donde les apareció un iframe misterioso apuntando a los dominios q1e.ru o u0r.in, y necesitan eliminar ese código de las páginas de su sitio, este fragmento les puede servir (yo lo tuve que usar). Si hay más dominios involucrados, avisen.

Tengan en cuenta que el script, lee los archivos, reemplaza la parte del iframe y sobre-escribe el original, asi que tomen las medidas necesarias (ej: backup). El fragmento lo pegan en un archivo limpio, lo suben y lo ejecutan.

Código: Seleccionar todo
<?php

$domains = array('q1e.ru', 'u0r.in', 'q5m.ru');

function _glob($pattern = "*")
{
static $all = array();

$items = glob($pattern);

foreach ($items as $item) {
if (is_dir($item)) {
_glob($item . "/*");
} else {
if (in_array(substr($item, -4), array('.htm', '.php'))) {
$all[] = $item;
} else if (in_array(substr($item, -5), array('.html'))) {
$all[] = $item;
}
}
}

return $all;
}

$files = _glob();

foreach ($files as $file)
{
$fp = fopen($file, 'r');
$content = "";
while (!feof($fp)) {
$content .= fgets($fp);
}
fclose($fp);

preg_match_all('|<iframe([^>]+)></iframe>|iUsm', $content, $arr);
$changes = 0;

if (isset($arr[0][0]))
{
foreach ($arr[0] as $iframe)
{
foreach ($domains as $domain)
{
if (stripos($iframe, $domain) !== false)
{
$content = str_ireplace($iframe, "", $content);
$changes++;
}
}
}
}

if ($changes > 0)
{
$fp = fopen($file, 'w');
fputs($fp, trim($content));
fclose($fp);
echo $file . " tuvo " . $changes . " cambios.<br/>";
}
}

?>


Si alguien sabe los motivos (y lo comparte), le estaré mucho muy agradecido.
Acepto pagos con AlertPay por hosting, o alguna otra cosa | Vendo por PayPal | Una quinta para mi
Cansado de trabajar gratis para otros? Pensá un poquito.
Avatar de Usuario
kosciuk
 
Mensajes: 926
Registrado: Lun May 21, 2007 7:47 pm
Ubicación: Capital Federal, Argentina
Arriba

Re: Ataques con iframe q1e.ru o u0r.in

Notapor mavery » Mar Nov 10, 2009 8:35 pm

no estoy seguro pero creo que es un ataque para robar secciones o redireccionar....
lee sobre ataques Xss
Y no es extraño que el dominio sea ru, ya que rusia es al pais con mayores antecedentes en este tipo de practicas, ademas es alli donde mas usuarios se dedican al spam, redes sombys, etc...
con lo cual obtienes ganacias altisimas...

usa tambien meta tag para evitar que tu página se muestre dentro de un frame:

<meta http-equiv="Window-target" content="_top" >

saludos!
mavery
 
Mensajes: 30
Registrado: Dom Nov 08, 2009 12:37 pm
Arriba
Publicar una respuesta

Volver a Seguridad



Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
xabbBlue Theme for phpBB Forums - Designed by phpbb-styles.com
Traducción al español por Huan Manwë para phpbb-es.com
cron