Все для DataLife Engine / Все для DLE / Советы по ДЛЕ / Взлом DLE вредоносным кодом

Взлом DLE вредоносным кодом



Сегодня вы узнаете как был осуществлен Взлом DLE загрузкой аватара с вредоносным кодом на движках DataLife Engine ниже версии 9.8. Довольно много ресурсов пострадало. Проблемы была устранена в 9.8, разработчики полностью отказались использовать расширение GIF аватарок.

Статья посвящена тому, как закрыть дыру и удалить весь вредоносный код из движка, если вы не можете обновиться по каким-то причинам или переустановить движок.

Стоит отметить тот факт, что уязвимы в основном версии DLE ниже 9.8, если вы обновились, пропускаем этот фикс!.

Как происходит взлом ?
Взлом заключался в добавление кода в определенные файлы движка DataLife Engine]DataLife Engine[/url], которые хитрым способом добавлен в аватар с расширением GIF. После чего происходит перенаправление посетителей зараженных сайтов на сайт злоумышленника. Стоит отметить, что переадресация действует только для мобильных телефонов, планшетов и т.д.

Если у вашего ресурса отключено использование в
Настройка параметров скрипта админ панели - Настройка поддержки и работы с смартфонами - Выключена функция использовать поддержку смартфонов, то ваш ресурс также защищен от взлома.

Итак что происходит если вы попадаете на зараженный сайт с телефона, например OS Android. Вам тут же предлагается скачать apk приложение, с предложением о необходимости обновить ваш "интернет браузер" (выйдет иконка Google Chrome ).
Если вы согласитесь обновиться, то после установки приложения, ваш телефон будет заражен смс вирусом, который станет отправлять смс и снимать деньги с вашего баланса.

Внимание! Если приложением было вами скачано не в коем случаи не устанавливайте его! Это касается любых приложений с ресурсов которые не имеют доверия.

Несколько причин, стоит ли вам проверить ваш ресурс, тратить время на проверку.
1) Яндекс может посчитать вас распространителем вирусных программ, соучастниками мошенников и т.д. Никто "церимоница" не будет, сразу попадете в бан.
2) Из-за бана вы сразу же начнете терять трафик (посещаемость вашего сайта), а люди которые заходят к примеру с мобильного не попадают на ваш сайт и вы теряете посетителей.
3) В вашем сайте дыра, только это уже говорит о том, что нужно действовать.

Какие файлы оказались заражены?
В основном:
index.php
engine/engine.php
engine/init.php
engine/data/config.php
engine/data/dbconfig.php


Но это не исключение, также был заражен файл language/Russian/website.lng , что очень странно. Автору пришлось перекопать весь движок и потратить время, пока вредоносный код не был найден, т.к. редирект на вредоносный сайт так и оставался.

Однако, если бы он воспользовался программой или самым простым способ, то проблему решил бы за пару минут!

Самый простой вариант поиска вредоносного кода в DLE (наглядно и подробно). Скачиваете все файлы движка (кроме папки uploads там хранятся картинки и добавленные файлы в новости, они не нужны ). Открываете архив архиватором и ищите домен .ws . Вот и все если есть, значить ваш сайт оказался инфицирован. Однако если домен другой лучше всего конечно воспользоваться скриптом по поиску всех УРЛ ссылок в файлах.

Примеры вредоносного кода и ресурсов вы сможете увидеть в текстовом файле архива.

Vzlom-DLE-zagruzkoy-avatara-s-vredonosnym-kodom.rar [52,37 Kb] (cкачиваний: 198)
  • 80
Добавить комментарий

Оставить комментарий

    • bowtiesmilelaughingblushsmileyrelaxedsmirk
      heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
      winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
      worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
      expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
      disappointedconfoundedfearfulcold_sweatperseverecrysob
      joyastonishedscreamtired_faceangryragetriumph
      sleepyyummasksunglassesdizzy_faceimpsmiling_imp
      neutral_faceno_mouthinnocent