Código malicioso insertado provoca redirección en páginas

Recientemente un cliente me reportó un problema en una página web que me encuentro remodelando; al revisarla detecté que la página después de minutos de haber cargado, redirigía a diversas páginas de anuncios redirigidas por linkbucks.com. Por lo que me vi frente a un gran problema ya que no se podía mantener navegando en la página del cliente sin que se redirigiera a linkbucks.com. Inmediatamente me puse a analizar el flujo de la página con las herramientas de desarrollo de google chrome, encontrando lo siguiente:

Imagen

La página redirigía a linkbucks.com a través de la siguiente dirección: http://fcbarcelonadodocom.info/ro/

Empecé a googlear información de esa página y encontré algunas cosas interesantes; según whois.net, el portal se registró el 14 de marzo; eso tiene aproximadamente 15 días.

Imagen

Después, en algunas páginas encontré información que confirmaba mis sospechas, la url pertenecía a sitios comprometidos en su seguridad.

Imagen

Ya un poco entrado en información, googleando un poco la dirección y echando mano de http://ddecode.com/phpdecoder/ , pude deducir que el código se ocultaba bajo una función eval(base64_decode( , solo bastó buscar dicha función en el código fuente de la página del cliente y voilá:

Imagen

En este caso, para verificar que es verdaderamente el código que estoy buscando, lo pasé de nuevo por http://ddecode.com/phpdecoder/ y si, efectivamente era ese.

Imagen

Y listo, solo bastó con comentar la función para que se solucionara el problema.

Espero esto pueda ayudar a quien presente el mismo problema y se evite quebrarse un poco menos la cabeza.

Anuncios

~ por Do0k13 en abril 2, 2013.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

 
A %d blogueros les gusta esto: