Как найти шелл(shell) на DLE ?
Недавно заметил что на одном моем сайте на DLE в шаблоне постоянно появляется левый зашифрованный код, который явно не я туда вставил. Первый раз счел это своей невнимательностью и издержками выбора «бесплатного» шаблона, в которых частенько попадаются такие сюрпризы.
Но спустя время аналогичный зашифрованный код появился в других частях шаблона и файлах движка и каждый раз все более и более изощренно запрятанный. Тут началась моя охота на хакера. Вариантов было много либо кто то угнал мои пароли от фтп, либо сломали хостера, либо используется очередная дыра в DLE,…
После смены всех паролей и обновления версии скрипта злополучный код продолжал появляться после удаления, вывод напрашивался сам собой, на сайт залит shell.
Шелл — shell — оболочка, среда выполнения команд.(виндовс — это тоже шел). В инете понимается под доступом к серверу в сети, на котором ты можешь выполнять команды (хакать, дампить,спамить). По сути маленький скрипт, через который можно удаленно делать все тоже что и администратор сервера. вот некоторые из них: Ajax_PHP, Antichat, AyyildizaZRaiLPhp, c99_locus7s, c99_madnet, c99_PSych0, c99_w4cking, Crystal, ctt_sh, cybershell, dC3, Dive < Shell >, DTool, GFS, gfs_sh, h4ntu, iMHaPFtp, ironshell, JspWebshell, KAdot, lamashell, Liz0ziM, load_< shell >, matamu, Moroccan, myshell, NCC-Shell, NetworkFileManagerPHP, NIX, nshell, nstview, PH Vayv, PHANTASMA, PHP < Shell >, php-backdoor, php-include-w-shell, pHpINJ, PHPJackal, PHPRemoteView, Private-i3lue, r57shell, rootshell, ru24_post_sh, s72 < Shell > v1.1 Coding, Safe0ver < Shell >, Safe_Mode Bypass, SimAttacker, simple-backdoor, simple_cmd, SimShell 1.0, SnIpEr_SA < Shell >, tryag, Uploader, WinX < Shell >, Worse Linux < Shell >, zacosmall
Сначала был вариант копаться в логах сервера, но из-за большой посещаемости логи оказались оч. большими чтобы в них что то найти. Вариант вручную искать левые файлы на сервере тоже не вызывал энтузиазма.
Решение нашлось само собой, оказывается в DLE есть так называемый «Антивирус» который сам анализирует файлы движка и выводит список файлов не входивших в дистрибутив установки движка. (туда обычно попадают моды, хаки для DLE, которые сам устанавливаешь). Среди этих подозрительных файлов и был залитый в папку «uploads» 3 php файлика того самого Шелла.
Дополнительные файлы были удалены, в индексном файле шелла удалил код и оставил надпись «Hello World».
Надеюсь что на этом противостояние с хакером окончилось.
Upd. Рекомендую также ознакомиться со статьей:
Уязвимости и взлом сайтов DLE
Artem
05.01.2011Обломал хакера !
DjMax
11.02.2011не пойму, описание так какового и нет
Артур
06.03.2012Да,мне кстати тоже помог, нашёл много файлов неизвестных,пойду проверю их)
Велимудр
06.02.2014Доброй ночи.
К сожалению, мне статья ни чем не помогла.
Кто то сделал так, что бы при клике на категорию, именно с андройда, подгружалась реф ссылка.
С ПК всё как надо. Перепробовал всё, что доступно, убрал зашифрованный код в пхп,
Думал редирект — но найти его не смог, нет. При переходе в эмуляторе системы андройд, в строку подгружается другой адрес, фиктивный, то есть по сути его не существует, но в строке get-запрос ur=1&HTTP_REFERRER=site_name.
Логично эту функцию искать файлах, но поиск внутри совершенно ничего не дал, то есть физически ни в одном файле нет реверера этого.
Если есть какие-то идеи, рад выслушать.
ZeDDy
13.02.2014Попробуйте «Ай-болита»
Скрипт для поиска шеллов и прочих троянов и вирусов и редиректов
http://www.revisium.com/ai/