То что движок DataLife Engine не является самым защищенным движком я знал. И после очередного взлома сайта на этой cms сильно не удивился.
Предыдущие записи по взлому(уязвимости DLE) :
Взлом Сайтов DLE (критическая уязвимость, дыра) Как защититься от взлома?
Как найти шелл(shell) на DLE ?
Удивление настигло меня когда я начал гуглить по словам “Взлом dle” “методы взлома ДЛЕ” и прочим в надежде найти способ, которым меня в очередной раз взломали а также метод борьбы с этими самыми взломщиками.
Как оказалось авторы сами признают многие недоработки и выпускают кучу заплаток, список которых находится здесь. Там заплатки от уязвимостей для любых версий в том числе и к последним dle 7.5, dle 8.0, dle 8.2, dle 8.3, dle 8.5 Их нужно ставить по-любому, так как дырки признанные производителем как правило самые опасные.
Но еще интереснее оказались темы вне официального сайта DLE например вот этот топик на dle.in.ua содержит списочек куда более интересных уязвимостей, которые используют для заливки шеллов. или вот тут автор нуллов к dle 8.2 8.3 и прочих пишет какие сплоиты к dle нужно использовать для заливки шелла, и где он оставил бэкдор в последнем нуле.
На заметку тем кто использует нуллы DLE от Mid-team и нуллы от Zloy там точно есть бэкдоры. Так что используя null вы потенциально в опасности.
Еще бы, если верить статистике распределения CMS в России (на апрель 2010, думаю мало что за 4 месяца изменилось): DLE Занимает значительную часть Рунета, и думаю, что большинство сайтов на dle используют именно null версии. Я бы тоже хотел иметь доступ к такой большой части сайтов рунета.
Еще интереснее было узнать что бэкдоры есть и в платных модулях , если погуглить … модули этого автора есть на всех сайтах для разработчиков и пользователей dle. Подумать только, за собственные деньги покупать дыру на свой сайт. В общем на войне как на войне . все средства хороши )
P.S. Используйте лицензионные движки, ставьте вовремя заплатки и не доверяйте сторонним разработчикам )
PPS информация приведена для защиты собственных сайтов.
PPPS Оффтоп. Не поверите, но я меняю Эту ссылку на целых 3 от Alex Pro
Статья познавательная. Прочитал с удовольствием. Спасибо
Буду теперь осторожнее относить к DLE, надо свои сайты проверить
Нашел вас именно по этому вопросу ( уязвимости Dle ) . Сегодня весь нет перерыл чтоб найти ответ на мнимого Админа -wildlogin ,но ответа так и нет что это за сомнительный член коллектива))) Зато хоть баги убрал !
бред это а не взлом
ломали и меня когда-то, потом научился делать собственный нулл)
сейчас проблем нету!
Спасибо.Хорошая статья
с нулл согласен. правда ёщё есть один способ взлома..
Вот про платные модуля и не догадывался даже)