Как найти шелл(shell) на DLE ?

Недавно заметил что на одном моем сайте на DLE  в шаблоне постоянно появляется левый зашифрованный код, который явно не я туда вставил. Первый раз счел это своей невнимательностью и издержками выбора «бесплатного» шаблона, в которых частенько попадаются такие сюрпризы.

Но спустя время аналогичный зашифрованный код появился в других частях шаблона и файлах движка и каждый раз все более и более изощренно запрятанный. Тут началась моя охота на хакера. Вариантов было много либо кто то угнал мои пароли от фтп, либо сломали хостера, либо используется очередная дыра в DLE,…

После смены всех паролей и обновления версии скрипта злополучный код продолжал появляться после удаления, вывод напрашивался сам собой, на сайт залит shell.

Шелл — shell — оболочка, среда выполнения команд.(виндовс — это тоже шел). В инете понимается под доступом к серверу в сети, на котором ты можешь выполнять команды (хакать, дампить,спамить). По сути маленький скрипт, через который можно удаленно делать все тоже что и администратор сервера. вот некоторые из них: Ajax_PHP, Antichat, AyyildizaZRaiLPhp, c99_locus7s, c99_madnet, c99_PSych0, c99_w4cking, Crystal, ctt_sh, cybershell, dC3, Dive < Shell >, DTool, GFS, gfs_sh, h4ntu, iMHaPFtp, ironshell, JspWebshell, KAdot, lamashell, Liz0ziM, load_< shell >, matamu, Moroccan, myshell, NCC-Shell, NetworkFileManagerPHP, NIX, nshell, nstview, PH Vayv, PHANTASMA, PHP < Shell >, php-backdoor, php-include-w-shell, pHpINJ, PHPJackal, PHPRemoteView, Private-i3lue, r57shell, rootshell, ru24_post_sh, s72 < Shell > v1.1 Coding, Safe0ver < Shell >, Safe_Mode Bypass, SimAttacker, simple-backdoor, simple_cmd, SimShell 1.0, SnIpEr_SA < Shell >, tryag, Uploader, WinX < Shell >, Worse Linux < Shell >, zacosmall

Сначала был вариант копаться в логах сервера, но из-за большой посещаемости логи оказались оч. большими чтобы в них что то найти. Вариант вручную искать левые файлы на сервере тоже не вызывал энтузиазма.

Решение нашлось само собой, оказывается в DLE есть так называемый «Антивирус» который сам анализирует файлы движка и выводит список файлов не входивших в дистрибутив установки движка. (туда обычно попадают моды, хаки для DLE, которые сам устанавливаешь). Среди этих подозрительных файлов и был залитый в папку «uploads» 3 php файлика того самого Шелла.
Дополнительные файлы были удалены, в индексном файле шелла удалил код и оставил надпись «Hello World».
Надеюсь что на этом противостояние с хакером окончилось.

Upd. Рекомендую также ознакомиться со статьей:

Уязвимости и взлом сайтов DLE

5 комментариев

  • Artem

    05.01.2011

    Обломал хакера !

    Reply
  • DjMax

    11.02.2011

    не пойму, описание так какового и нет

    Reply
  • Артур

    06.03.2012

    Да,мне кстати тоже помог, нашёл много файлов неизвестных,пойду проверю их)

    Reply
  • Велимудр

    06.02.2014

    Доброй ночи.
    К сожалению, мне статья ни чем не помогла.
    Кто то сделал так, что бы при клике на категорию, именно с андройда, подгружалась реф ссылка.
    С ПК всё как надо. Перепробовал всё, что доступно, убрал зашифрованный код в пхп,
    Думал редирект — но найти его не смог, нет. При переходе в эмуляторе системы андройд, в строку подгружается другой адрес, фиктивный, то есть по сути его не существует, но в строке get-запрос ur=1&HTTP_REFERRER=site_name.
    Логично эту функцию искать файлах, но поиск внутри совершенно ничего не дал, то есть физически ни в одном файле нет реверера этого.
    Если есть какие-то идеи, рад выслушать.

    Reply
    • ZeDDy

      13.02.2014

      Попробуйте «Ай-болита»
      Скрипт для поиска шеллов и прочих троянов и вирусов и редиректов
      http://www.revisium.com/ai/

      Reply

Добавить комментарий для DjMax Отменить ответ