Уязвимости и взлом сайтов DLE
То что движок DataLife Engine не является самым защищенным движком я знал. И после очередного взлома сайта на этой cms сильно не удивился.
Предыдущие записи по взлому(уязвимости DLE) :
Взлом Сайтов DLE (критическая уязвимость, дыра) Как защититься от взлома?
Как найти шелл(shell) на DLE ?
Удивление настигло меня когда я начал гуглить по словам «Взлом dle» «методы взлома ДЛЕ» и прочим в надежде найти способ, которым меня в очередной раз взломали а также метод борьбы с этими самыми взломщиками.
Как оказалось авторы сами признают многие недоработки и выпускают кучу заплаток, список которых находится здесь. Там заплатки от уязвимостей для любых версий в том числе и к последним dle 7.5, dle 8.0, dle 8.2, dle 8.3, dle 8.5 Их нужно ставить по-любому, так как дырки признанные производителем как правило самые опасные.
Но еще интереснее оказались темы вне официального сайта DLE например вот этот топик на dle.in.ua содержит списочек куда более интересных уязвимостей, которые используют для заливки шеллов. или вот тут автор нуллов к dle 8.2 8.3 и прочих пишет какие сплоиты к dle нужно использовать для заливки шелла, и где он оставил бэкдор в последнем нуле.
На заметку тем кто использует нуллы DLE от Mid-team и нуллы от Zloy там точно есть бэкдоры. Так что используя null вы потенциально в опасности.
Еще бы, если верить статистике распределения CMS в России (на апрель 2010, думаю мало что за 4 месяца изменилось): DLE Занимает значительную часть Рунета, и думаю, что большинство сайтов на dle используют именно null версии. Я бы тоже хотел иметь доступ к такой большой части сайтов рунета.
Еще интереснее было узнать что бэкдоры есть и в платных модулях , если погуглить … модули этого автора есть на всех сайтах для разработчиков и пользователей dle. Подумать только, за собственные деньги покупать дыру на свой сайт. В общем на войне как на войне . все средства хороши )
P.S. Используйте лицензионные движки, ставьте вовремя заплатки и не доверяйте сторонним разработчикам )
PPS информация приведена для защиты собственных сайтов.
PPPS Оффтоп. Не поверите, но я меняю Эту ссылку на целых 3 от Alex Pro
Работал инженером-теплоэнергетиком, когда понял, что мое призвание интернет. После чего сразу уволился и завел этот блог (блогу уже 12 лет).
Прошел путь заработка в интернете от бонусхантинга до профессионального интернет-маркетолога.
Сейчас работаю исключительно в интернете, занимаюсь арбтражом трафика, путешествую, веду блог.
Мой телеграмм для связи @sergcv
vitalik
09.08.2010Статья познавательная. Прочитал с удовольствием. Спасибо
Иван
09.08.2010Буду теперь осторожнее относить к DLE, надо свои сайты проверить
Дмитрий
21.09.2010Нашел вас именно по этому вопросу ( уязвимости Dle ) . Сегодня весь нет перерыл чтоб найти ответ на мнимого Админа -wildlogin ,но ответа так и нет что это за сомнительный член коллектива))) Зато хоть баги убрал !
231
09.02.2011бред это а не взлом
Вадим
15.02.2011ломали и меня когда-то, потом научился делать собственный нулл)
сейчас проблем нету!
new 2011
10.05.2011Спасибо.Хорошая статья
vadimtsm
18.09.2011с нулл согласен. правда ёщё есть один способ взлома..
Вот про платные модуля и не догадывался даже)