Уязвимости и взлом сайтов DLE

То что движок DataLife Engine не является самым защищенным движком я знал. И после очередного взлома сайта на этой cms сильно не удивился.

Предыдущие записи по взлому(уязвимости DLE) :
Взлом Сайтов DLE (критическая уязвимость, дыра) Как защититься от взлома?
Как найти шелл(shell) на DLE ?

Удивление настигло меня когда я начал гуглить по словам «Взлом dle» «методы взлома ДЛЕ» и прочим в надежде найти способ, которым меня в очередной раз взломали а также метод борьбы с этими самыми взломщиками.

Как оказалось авторы сами признают многие недоработки и выпускают кучу заплаток, список которых находится здесь. Там заплатки от уязвимостей для любых версий в том числе и к последним dle 7.5, dle 8.0, dle 8.2, dle 8.3, dle 8.5 Их нужно ставить по-любому, так как дырки признанные производителем как правило самые опасные.

Но еще интереснее оказались темы вне официального сайта DLE например вот этот топик на dle.in.ua содержит списочек куда более интересных уязвимостей, которые используют для заливки шеллов. или вот тут автор нуллов к dle 8.2  8.3 и прочих пишет какие сплоиты к dle нужно использовать для заливки шелла, и где он оставил бэкдор в последнем нуле.

На заметку тем кто использует нуллы DLE от Mid-team и нуллы от Zloy там точно есть бэкдоры. Так что используя null вы потенциально в опасности.

Еще бы, если верить статистике распределения CMS в России (на апрель 2010, думаю мало что за 4 месяца изменилось): DLE Занимает значительную часть Рунета, и думаю, что большинство сайтов на dle используют именно null версии. Я бы тоже хотел иметь доступ к такой большой части сайтов рунета.

источник

Еще интереснее было узнать что бэкдоры есть и в платных модулях ,  если погуглить  … модули этого автора есть на всех сайтах  для разработчиков и пользователей dle. Подумать только,  за собственные деньги покупать дыру на свой сайт. В общем на войне как на войне . все средства хороши )

P.S. Используйте лицензионные движки, ставьте вовремя заплатки и не доверяйте сторонним разработчикам )

PPS информация приведена для защиты собственных сайтов.

PPPS Оффтоп. Не поверите, но я меняю Эту ссылку на целых 3 от Alex  Pro

7 комментариев

  • vitalik

    09.08.2010

    Статья познавательная. Прочитал с удовольствием. Спасибо

    Reply
  • Иван

    09.08.2010

    Буду теперь осторожнее относить к DLE, надо свои сайты проверить

    Reply
  • Дмитрий

    21.09.2010

    Нашел вас именно по этому вопросу ( уязвимости Dle ) . Сегодня весь нет перерыл чтоб найти ответ на мнимого Админа -wildlogin ,но ответа так и нет что это за сомнительный член коллектива))) Зато хоть баги убрал !

    Reply
  • 231

    09.02.2011

    бред это а не взлом

    Reply
  • Вадим

    15.02.2011

    ломали и меня когда-то, потом научился делать собственный нулл)
    сейчас проблем нету!

    Reply
  • new 2011

    10.05.2011

    Спасибо.Хорошая статья

    Reply
  • vadimtsm

    18.09.2011

    с нулл согласен. правда ёщё есть один способ взлома..
    Вот про платные модуля и не догадывался даже)

    Reply

Добавить комментарий