Trabajando en la limpieza de un compromiso del sitio para un cliente. Dejando de lado que el sitio está utilizando un montón de código CodeIgniter personalizado escrito por alguien que no tenía ningún concepto de seguridad, me he topado con un obstáculo y quería ver si otros tipos de seguridad de TI podrían verificar mi flujo de trabajo. Además, el sitio está alojado en DreamHost, que parece haber tenido algún tipo de problema con el redireccionamiento de Pharma Spam en marzo, por lo que no estoy seguro de si el problema es el sitio de mis clientes, o DreamHost fue rechazado y no lo aceptará.
Esencialmente, lo que sucede es que al ingresar una declaración ORDER BY en el parámetro de búsqueda de la URL del sitio, se coloca un archivo titulado quickstart.dat en el directorio principal del usuario. Este archivo de datos se rellena con el HTML exacto del sitio farmacéutico, de modo que después de utilizar uno de los enlaces anclados en el sitio, se carga el HTML de este archivo de datos. NO redirige al sitio farmacéutico, crea contenido web local que a su vez enlaza con el sitio Pharma.
Puedo replicar esto cada vez que elimine quickstart.dat para restaurar la funcionalidad normal, luego use la instrucción ORDER BY y comience de nuevo todo el proceso. Esto me lleva a creer que debería buscar en las bases de datos MySQL en busca de código malicioso insertado en las tablas a las que hace referencia el archivo search.php ?
ACTUALIZACIÓN: OK, así que encontré el problema por lo que puedo decir. Pasar por uno de los archivos index.php me llamó la atención. Hubo una declaración require_once apuntada hacia un archivo pdf en un directorio tmp. Bajé ese pdf hacia abajo, póngalo en un sandbox en línea, indicó que en realidad era un script PHP. Cuando cambié la extensión del archivo y lo abrí en el bloc de notas, el archivo de culpo, la base64 en todas partes. Así que eliminé el PDF y quité esa línea del archivo index.php, se restaura la funcionalidad normal. Gracias por todos los que me alejaron de la base de datos.