Взлом DLE

Раздел: DataLife Engine » Советы по DLE
Взлом DLE
Как взламывают сайты DLE? Как добавляют злоумышленники вирус, скрипты, код, шеллы, бек-доры, доступ администратора на DataLife Engine? Как защитить сайт ДЛЕ от взлома? Решение читаем на dle9.com!

Серьезная опасность для сайтов под управлением движка DataLife Engine 10.0 и ниже версии, о решение которой разработчики скрипта дле писали в этой статье Устраняем угрозу в DLE 10.0 - 8.5, если у вас сделано, то желательно установить ещё .htaccess, так как если /engine/classes/min/index.php файл переписать, то смогут выполнить запрос ниже.

На новой версии DLE 10.1 и выше файл .htaccess уже присутствует.

Итак, если у вас сайт под управлением движка версии Dle 10.0, 9.8, 9.7, 9.6, 9.5 или ниже, и вы не можете обновить его по причине большого числа модулей и хаков, то считайте, что любой может на ваш ресурс вписать нового администратора и творить там что хочет. При этом удалить все свои действия, так что вы даже не узнаете о его присутствие.

Если вас взламывали, добавляли неизвестным вам образом администратора, скрипт, вирус, код и прочее, и вы не знаете как это было сделано, читаем здесь ответ и решение проблемы уязвимости скрипта DataLife Engine 10.0-9.0 .

Вот простой УРЛ с запросом в браузере :

домен.ру/engine/classes/min/index.php?f=engine/data/dbconfig.php%00.js


таким вызовом можно получить полную информацию из файла dbconfig.php, где хранятся данные
define ("DBNAME", "Название Базы Данных");
define ("DBPASS", "Пароль");  




Эти данные позволяют любому зайти в phpMyAdmin на большинстве хостингах, так как phpMyAdmin панель не защищена по стандарту вашим аккаунтом на хостинге, потому что панель используются и другими пользователями для работы с БД.

Ну, а те кто знает, что дает phpMyAdmin или полный доступ к БД, думаю понимают насколько серьезна это опасность. Ведь, там можно сделать все: отредактировать новости, вписать данные в профиль, добавить скрипт, выкачать всю БД и т.д. Даже удалить файл .htaccess в любом месте вашего движка, который служит защитой вашей системы от добавления и других манипуляций файлов с расширением PHP.
В результате таких изменений вы даже не узнаете, что было сделано с вашим ресурсом, если случайно не заметите изменения.

Чтобы устранить эту опасность в DLE 10.0 - 8.5 делаем следующее по инструкции в этой статье добавляем код Устраняем угрозу в DLE 10.0 - 8.5

Далее скачиваем движок DLE 10.1 или выше, берем файл .htaccess из папки /engine/classes/min/ и кидаем себе в эту же папку.
Или создаем в папке /engine/classes/min/ файл .htaccess, а внутрь добавляем код:

<Files "index.php">
	Order Deny,Allow
	Allow from all
</files>


Еще один файл .htaccess берем из 10.1 или выше в папке /engine/classes/
Или создаем в папке /engine/classes/ файл .htaccess, а внутрь добавляем код:

<FilesMatch "\.([Pp][Hh][Pp]|[Cc][Gg][Ii]|[Pp][Ll]|[Pp][Hh][Tt][Mm][Ll])\.?">
   Order allow,deny
   Deny from all
</FilesMatch>


Желательно проверить все функции движка и сайта, после добавления.

Кстати, данной угрозой подвержены многие СМС не только DataLife Engine, но и Joomla, WP и т.д., судя по сообщениям в интернете. Поэтому, чтобы не ждать когда злоумышленники найдут новую возможность получить доступ к БД phpMyAdmin, можно попросить тех.службу вашего хостинга закрыть доступ всем извне, в том числе и вам.

Это они могут сделать, если добавят в папку phpMyAdmin файл .htaccess с кодом запрещающий доступ к вашим БД.

Ведь БД файл можно создать в панели движка, а потом скачать, он будет находится в папке /backup/, отредактировать на ноутбуке, чтобы потом вновь закачать в папке /backup/, а после установить (кнопкой восстановить базу данных).

Чтобы защитить сайт от тех, кто каким-то образом получил доступ к сайту с правами администратора можно сделать следующее:
1. Установить на все .htaccess движка права CMHD 444 (внимание не на файлы и не на папки движка, а только на файл .htaccess или многое перестанет работать)
2. Установить на все файлы шаблона права CMHD 444 (кроме папок). Такая защита никому не позволит изменить файлы вашего шаблона, даже с правами администратора, можете проверить в админ панели движка управление шаблонами .
3. Дополнительно можно прочитать, как ещё можно обезопасить сайт в этой статье.
4.

5. Или каждый раз обновлять до новой версии, что не удобно для многих!
На этом все!
  • 100
Рубрика: Все для DLE » Советы по ДЛЕ
Ранее » Устраняем угрозу в DLE 10.0 - 8.5« Далее Сделать Закладки для гостей в DLE
Добавление комментарияОставить комментарий
  • № :28
  • 2 февраля 2016 13:42
ахри**ть ето дествительно работает есть один сайтик на старий версии, решил попробивать, ета стаття и некоторие запроси в гугле помогли мне ето сделать, стал админом на еще одном сайте)) и написал админу пусть обновляетса)) е не стех кто ломает у удаляет сайти winked
  • № :27
  • 19 июля 2015 13:04
Уязвимости DataLife Engine полный букет
  • № :26
  • 13 октября 2014 17:42
Цитата: Михаил
Добрый день.
Помогите получить доступ к сайту на dle (за плату).
icq 683903285

Если Ваш сайт, то на хостинге зайти в phpmyadmin в БД, найдите с помощью поиска свою почту, которую вы добавили на сайте при регистрации Вместо admin (будет ваш ник) в следующем похожем коде

 
('ваша почта', 'Здесь ваш код или пароль зашифрованный', 'admin или ваш ник на ресурсе', 1, 4, 1, 1, '1399025467', '1396532869', '', 1, '', '', '', '', '', '', '', 1, 0, '', '', '', '', '127.0.0.1', 0, 0, '');


замените в этом месте 'Здесь ваш код или пароль зашифрованный' на следующий код
1f32aa4c9a1d2ea010adcf2348166a04 сохраните и сможете зайти на портал с паролем 12345 и (вашим ником) который будет вместо слова admin

ПС. Ну. а если речь идет о чужом сайте, то идите лесом...
  • № :25
  • 13 октября 2014 16:13
Добрый день.
Помогите получить доступ к сайту на dle (за плату).
icq 683903285
  • № :24
  • 19 апреля 2014 23:19
Цитата: alexa1995
Работает, только на 5% сайтов.
вот один из них

http://dle***.ru/engine/classes/min/index.php?f=engine/data/dbconfig.php%00.js


Давайте без подставы других, работает, каждый может на Денвере проверить, если не установить заглушку по ссылке ниже!
  • № :23
  • 19 апреля 2014 23:12
Работает, только на 5% сайтов.
вот один из них

http://dle***.ru/engine/classes/min/index.php?f=engine/data/dbconfig.php%00.js
  • № :22
  • 19 апреля 2014 22:59
Цитата: NewsMaker
Недостаточная фильтрация в Минифи уже было на офф сайте

Внимание! У вас нет прав для просмотра скрытого текста.

Спасибо! Подправил статью, хотя специально проверял записи по безопасности (эту статью видел) и не думал что это одна проблема.

Здесь эта статья есть
http://www.dle9.com/books/poleznye-soveti/3094-ustranyaem-ugrozu-v-dle-100-85.ht

ml

Вот что странное, всегда делаю рекомендации разработчиков, поэтому как пропустил такое не понятно.
Есть вероятность, что отсутствие там файла .htaccess позволило злоумышленникам заменить engine/classes/min/index.php файл.

Так что все равно есть высокая вероятность взлома! В dle 10.1 и выше .htaccess идет обязательно.
  • № :21
  • 19 апреля 2014 21:20
Недостаточная фильтрация в Минифи уже было на офф сайте
Внимание! У вас нет прав для просмотра скрытого текста.
  • № :20
  • 19 апреля 2014 20:42
Цитата: павел
на всех версиях которые я проверил (начиная с 9.4) запрос выдает 400 Bad Request, так что ерунда.


Цитата: dle9
Цитата: Basheg
Не работает такой взлом на версиях ~9
Где-то что-то не так!!

проверьте на Денвере убедитесь, хотя есть вероятность, что это работает на хостинге под управлением Апатч или у вашего хостинга установлена защита от выполнения всяких (значений &%=@ и т.д. или в корне в .htaccess прописана защита от таких символов вами, что тоже может быть)

и так тоже?
домен.ру/engine/classes/min/index.php?f=index.php%00.js


есть ещё такой запрос который не работал

/engine/cache/system/minify_dbconfig.php.js_e6d3eb97164a6db9d7def610a5e%209736c


И читайте комментарии ниже у вас не работает у других работает
  • № :19
  • 19 апреля 2014 20:21
Цитата: candro
Цитата: Suleyman
Почему этих фиксов НЕТ на dle-news ???

Об этой уязвимости уже писали

ну как ссылку скинь
  • № :18
  • 19 апреля 2014 19:43
Цитата: candro
История как защититься или как взломали DLE9.com wink

и судя по IP это были вы, Роман Захарченко,


Все время с домашнего IP входим ?
  • № :17
  • 19 апреля 2014 19:27
Цитата: Suleyman
Почему этих фиксов НЕТ на dle-news ???

Об этой уязвимости уже писали
  • № :16
  • 19 апреля 2014 19:25
на всех версиях которые я проверил (начиная с 9.4) запрос выдает 400 Bad Request, так что ерунда.
  • № :15
  • 19 апреля 2014 19:21
История как защититься или как взломали DLE9.com wink
  • № :14
  • 19 апреля 2014 18:48
Цитата: Suleyman
Почему этих фиксов НЕТ на dle-news ???

Мне тоже интересно, почему в версиях DLE 10.1 они добавили, но при этом ничего об этом не написали... Спросите у них!
  • № :13
  • 19 апреля 2014 18:27
Почему этих фиксов НЕТ на dle-news ???
  • № :12
  • 19 апреля 2014 18:18
Цитата: igramnet
Пропиарил статью для своих клиентов. респект.

Да нет не пиар, вы только представите насколько сложно проверить после БД и восстановить сайт.

Об этом никто не пишет, поищите в поиске, дважды сайт был взломан
Первый раз С ДОС атакой логи не сохранились, а второй раз по логам определил.

Поэтому и поделился со всеми!
  • № :11
  • 19 апреля 2014 18:17
домен.ру/engine/classes/min/index.php?f=engine/data/dbconfig.php%00.js


На 10.1 вызвать данные базы не получается и слава богу))
400 Bad Request

Please see
Внимание! У вас нет прав для просмотра скрытого текста.
.
  • № :10
  • 19 апреля 2014 18:02
Пропиарил статью для своих клиентов. респект.
  • № :9
  • 19 апреля 2014 15:53
Цитата: hawk2012
Запостил ссылку на эту статью на своем сайте, пускай побольше народа узнает.

Спасибо... думаю это информацию многим поможет!
  • № :8
  • 19 апреля 2014 15:02
Лохотрон настоящий, статья ниочем, просто пиарятся ребята! Вы хоть видели тот файл engine/classes/min/index.php
он не может ничего показывать, автор ничего не смыслит в PHP
  • № :7
  • 19 апреля 2014 14:33
Запостил ссылку на эту статью на своем сайте, пускай побольше народа узнает.
  • № :6
  • 19 апреля 2014 12:59
Цитата: mario001
Автор, огромное человеческое спасибо! Как же запарили меня эти люди-черви!

Пожалуйста...

обязательно проверьте добавление новостей, после установки заглушки, так как эта часть папки скрипта отвечает за добавление публикаций и вызов всплывающего окна...
  • № :5
  • 19 апреля 2014 12:41
Цитата: Basheg
Не работает такой взлом на версиях ~9
Где-то что-то не так!!

проверьте на Денвере убедитесь, хотя есть вероятность, что это работает на хостинге под управлением Апатч или у вашего хостинга установлена защита от выполнения всяких (значений &%=@ и т.д. или в корне в .htaccess прописана защита от таких символов вами, что тоже может быть)
  • № :4
  • 19 апреля 2014 12:36
Автор, огромное человеческое спасибо! Как же запарили меня эти люди-черви!
  • № :3
  • 19 апреля 2014 12:29
Не работает такой вpлом на версиях ~9
Где-то что-то не так!!
  • № :2
  • 19 апреля 2014 12:26
Цитата: vv07
О черт! Спасибо! Буду срочненько выполнять инструкции.

пожалуйста
  • № :1
  • 19 апреля 2014 12:05
О черт! Спасибо! Буду срочненько выполнять инструкции.