Контакты для связи с администрацией ресурса www.saloed.net, skype: sa-lo-ed или Email:sal0ed@yandex.ru

 

Как найти шелл (shell) на DLE ?

Недавно заметил что на одном моем сайте на DLE в шаблоне постоянно появляется левый зашифрованный код, который явно не я туда вставил. Первый раз счел это своей невнимательностью и издержками выбора “бесплатного” шаблона, в которых частенько попадаются такие сюрпризы.

Но спустя время аналогичный зашифрованный код появился в других частях шаблона и файлах движка и каждый раз все более и более изощренно запрятанный. Тут началась моя охота на хакера. Вариантов было много либо кто то угнал мои пароли от фтп, либо сломали хостера, либо используется очередная дыра в DLE,…

После смены всех паролей и обновления версии скрипта злополучный код продолжал появляться после удаления, вывод напрашивался сам собой, на сайт залит shell.

Шелл – shell – оболочка, среда выполнения команд.(виндовс – это тоже шел). В инете понимается под доступом к серверу в сети, на котором ты можешь выполнять команды (хакать, дампить,спамить). По сути маленький скрипт, через который можно удаленно делать все тоже что и администратор сервера. вот некоторые из них: Ajax_PHP, Antichat, AyyildizaZRaiLPhp, c99_locus7s, c99_madnet, c99_PSych0, c99_w4cking, Crystal, ctt_sh, cybershell, dC3, Dive < Shell >, DTool, GFS, gfs_sh, h4ntu, iMHaPFtp, ironshell, JspWebshell, KAdot, lamashell, Liz0ziM, load_< shell >, matamu, Moroccan, myshell, NCC-Shell, NetworkFileManagerPHP, NIX, nshell, nstview, PH Vayv, PHANTASMA, PHP < Shell >, php-backdoor, php-include-w-shell, pHpINJ, PHPJackal, PHPRemoteView, Private-i3lue, r57shell, rootshell, ru24_post_sh, s72 < Shell > v1.1 Coding, Safe0ver < Shell >, Safe_Mode Bypass, SimAttacker, simple-backdoor, simple_cmd, SimShell 1.0, SnIpEr_SA < Shell >, tryag, Uploader, WinX < Shell >, Worse Linux < Shell >, zacosmall

Сначала был вариант копаться в логах сервера, но из-за большой посещаемости логи оказались оч. большими чтобы в них что то найти. Вариант вручную искать левые файлы на сервере тоже не вызывал энтузиазма.

Решение нашлось само собой, оказывается в DLE есть так называемый “Антивирус” который сам анализирует файлы движка и выводит список файлов не входивших в дистрибутив установки движка. (туда обычно попадают моды, хаки для DLE, которые сам устанавливаешь). Среди этих подозрительных файлов и был залитый в папку “uploads” 3 php файлика того самого Шелла.
Дополнительные файлы были удалены, в индексном файле шелла удалил код и оставил надпись “Hello World”.
Надеюсь что на этом противостояние с хакером окончилось.

 
Рекомендую также ознакомиться со статьей

Связь с автором

Автор: SaloEd от 30-06-2011, 02:59

Сказали спасибо: anesti2
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.
Комментарии: Оставить комментарий
  • Группа: Гости 13 июля 2011 20:30
^
Спасибо, хорошая статья smile
  • Группа: Гости 26 ноября 2011 03:13
^
Спасибо чувак, нашёл шелл по твоей статье
  • Группа: Гости 30 декабря 2013 22:57
^
Хорошее решение.
  • Группа: Гости 24 сентября 2014 17:09
^
спасибо
буду знать
Наверх
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
Дополнения для InstantCMS
 
Copyright © 2009-2015

Дополнения для InstantCMS | Рипы сайтов | Социальные сети