Сегодня вы узнаете как был осуществлен Взлом DLE загрузкой аватара с вредоносным кодом на движках DataLife Engine ниже версии 9.8. Довольно много ресурсов пострадало. Проблемы была устранена в 9.8, разработчики полностью отказались использовать расширение GIF аватарок.
Статья посвящена тому, как закрыть дыру и удалить весь вредоносный код из движка, если вы не можете обновиться по каким-то причинам или переустановить движок.
Стоит отметить тот факт, что уязвимы в основном версии DLE ниже 9.8, если вы обновились, пропускаем этот фикс!.
Как происходит взлом ?
Взлом заключался в добавление кода в определенные файлы движка DataLife Engine]DataLife Engine[/url], которые хитрым способом добавлен в аватар с расширением GIF. После чего происходит перенаправление посетителей зараженных сайтов на сайт злоумышленника. Стоит отметить, что переадресация действует только для мобильных телефонов, планшетов и т.д.
Если у вашего ресурса отключено использование в
Настройка параметров скрипта админ панели - Настройка поддержки и работы с смартфонами - Выключена функция использовать поддержку смартфонов, то ваш ресурс также защищен от взлома.
Итак что происходит если вы попадаете на зараженный сайт с телефона, например OS Android. Вам тут же предлагается скачать apk приложение, с предложением о необходимости обновить ваш "интернет браузер" (выйдет иконка Google Chrome ).
Если вы согласитесь обновиться, то после установки приложения, ваш телефон будет заражен смс вирусом, который станет отправлять смс и снимать деньги с вашего баланса.
Внимание! Если приложением было вами скачано не в коем случаи не устанавливайте его! Это касается любых приложений с ресурсов которые не имеют доверия.
Несколько причин, стоит ли вам проверить ваш ресурс, тратить время на проверку.
1) Яндекс может посчитать вас распространителем вирусных программ, соучастниками мошенников и т.д. Никто "церимоница" не будет, сразу попадете в бан.
2) Из-за бана вы сразу же начнете терять трафик (посещаемость вашего сайта), а люди которые заходят к примеру с мобильного не попадают на ваш сайт и вы теряете посетителей.
3) В вашем сайте дыра, только это уже говорит о том, что нужно действовать.
Какие файлы оказались заражены?
В основном:
index.php
engine/engine.php
engine/init.php
engine/data/config.php
engine/data/dbconfig.php
engine/engine.php
engine/init.php
engine/data/config.php
engine/data/dbconfig.php
Но это не исключение, также был заражен файл language/Russian/website.lng , что очень странно. Автору пришлось перекопать весь движок и потратить время, пока вредоносный код не был найден, т.к. редирект на вредоносный сайт так и оставался.
Однако, если бы он воспользовался программой или самым простым способ, то проблему решил бы за пару минут!
Самый простой вариант поиска вредоносного кода в DLE (наглядно и подробно). Скачиваете все файлы движка (кроме папки uploads там хранятся картинки и добавленные файлы в новости, они не нужны ). Открываете архив архиватором и ищите домен .ws . Вот и все если есть, значить ваш сайт оказался инфицирован. Однако если домен другой лучше всего конечно воспользоваться скриптом по поиску всех УРЛ ссылок в файлах.
Примеры вредоносного кода и ресурсов вы сможете увидеть в текстовом файле архива.