Exploit que redireciona para Bablo me uk

{ August 19th, 2010 }


cmilfont

Autor: cmilfont

Dica r√°pida para n√£o ca√≠rem feito um pato como eu ca√≠. ¬†Hoje fui pesquisar um link do meu pr√≥prio blog pelo google e descobri que meu site “/tech” inteiro havia sido removido. Pior, o cache do google apontava para um lance estranho.

Conferi na ferramenta para webmaster do google e verifiquei que o Googlebot era redirecionado para um endere√ßo “bablo .me .uk” e as vezes esse endere√ßo se camuflava em outros.

Usando ¬†“curl -v -A Googlebot http://www.milfont.org/tech” eu recebia a mensagem:

...
* HTTP 1.0, assume close after body
< HTTP/1.0 301 Moved Permanently
< Date: Thu, 19 Aug 2010 23:55:13 GMT
< Server: Apache
< Location: http://bablo .me .uk/#....
...

Só depois de muita surra procurando nos .htaccess e .php da vida que encontrei nesse link o comentário que me salvou.

Procurando com find -name “*.php” | xargs grep -E “eval” eu encontrei escondido no wp-config.php, pior, estava com muitos espa√ßos para a direita dificultando a visualiza√ß√£o:


./wp-config.php:                                                eval(base64_decode('ZXJ....

Sei l√° quanto tempo procurando essa desgra√ßa, fica a dica se passarem pelo menos tormento. Revisei todas as permiss√Ķes e atualizei o wordpress, coisa que deveria ter feito h√° tempos, mas o pregui√ßoso trabalha mais do que o esperto.

Categories: PHP, seguranca, Software Livre ~ ~ Trackback


Assine os coment√°rios deste artigo.


One Response to “Exploit que redireciona para Bablo me uk”

  1. 1
    Tweets that mention Exploit que redireciona para Bablo me uk - Milfont Consulting -- Topsy.com

    […] This post was mentioned on Twitter by cmilfont, Ken Curte?. Ken Curte? said: RT @cmilfont: quem curte ter o site desindexado no google http://www.milfont.org/tech/2010/08/19/exploit-que-redireciona-para-bablo-me-uk/ […]

Leave a Reply