Взлом Сайтов DLE (критическая уязвимость, дыра) Как защититься от взлома?

Многие знают, многие пользовались, однако пора этот «беспредел» заканчивать. Для тех кто не знает, то в скрипте DLE 8.2 есть маленькая недоработка которая позволяет получить любому человеку пароль администратора сайта (зайти в админку и нагадить, наставить халявных ссылок, ифреймов и так далее…)

как горе-хакеры (иначе не назовешь, потому как пользуются уязвимостью исключительно в мелкопакостных соображениях) проникают на сайт?

все проще простого, для сайта на дле 8,2 вводим в браузерную строку:

http://домен.ру/index.php?do=lostpassword&douser=1

По этому  запросу генерируется новый пароль для администратора сайта, и вы получаете:

уязвимость работает только на dle 8.2  и лечится патчем или обновлением до версии DLE 8.3

PS: Не советую вам пользоваться этим видом взлома. Привел его только для того, чтобы вы могли найти уязвимость на своих сайтах. и обезопасить свои сайты от посягательств.

PPS: Зачем спалил? Потому как не приемлю подобные виды деятельности, за тем чтобы как можно больше людей узнали о проблеме, да и нездоровая какая то картина складывается, на форумах уже в открытую барыжат списками сайтов с этой дыркой.

PPS: Просили меня малость пропиарьть книги что почитать можно на досуге. в общем вот вам ссылка.
PPPS: И для Линуксоидов : Установка Ubuntu 9.10 Karmic Koala, Хотя сам не понимаю зачем ставить барьер между собой и остальным компьютерным миром. Большинство программ, игр, интернет приложений заточено под винду и зачем ненужные головняки с поиском совместимых приложений и программ мне не понятно.

остальным рецепт как получить такую же

28 комментариев

  • Степан капуста

    19.11.2009

    Жесть ))) слышал про уязвимость но не знал что все так просто, …
    Нашел у себя сайтик который благополучно ломается, спасибо, предупредил )

    Reply
    • ZeDDy

      20.11.2009

      могу в принципе чего нибудь накатать … хотя много раз уже об этом писал )

      Reply
  • SEO Космонавт

    21.11.2009

    Пойду похакаю все сайты !!1! 🙂

    Reply
  • ZeDDy

    22.11.2009

    Уже многие обновились … хотя еще куча сайтов которые можно похакать )

    Reply
  • SEO Космонавт

    22.11.2009

    да я шучу конечно)

    Reply
  • Александр

    22.11.2009

    А сайтов таких реально хватает пока. И найти их — делать нечего =)

    Reply
  • joom

    13.12.2009

    Да уж. Неприятная новость. У меня два сайта на DLE 8.2 и их не очень то и юзаю. Сейчас большую часть сайтов ставлю на Joomla. Для Sape хорошо и для партнерок. В DLE надо в шаблон лезть, чтобы поставить контекстную рекламу. А тут ещё и такая новость ! Прямо в жар и в холод бросило одновременно. Говорят, что с безопасностью Джумлы тоже не слишком хорошо дела обстоят. Я просто закрываю все файлы, которые не надо часто менять правами 444

    Reply
  • сергей

    19.12.2009

    спасибо тебе огромное, добрый человек! Я уже замучился из tpl-файлов скрипты тереть!

    Reply
  • Maks

    01.01.2010

    Респект! Тоже чудо какое-то скрипты в шаб кидает

    Reply
  • Дима

    28.01.2010

    Продам прогу котороя перебирает сайты с базы и ищет те самые сайты с дыроми + скрипт по перенаправки всех посетителей на ваш сайт и база в придачу icq 376238637

    Reply
  • Dom

    13.02.2010

    Да уж впечатлил так впечатлил!! А на dle 7.5 не подскажешь есть дыры? и как исправить? если не трудно писани хоть что нить!!

    Reply
  • Никита

    18.02.2010

    Большое спасибо за очень полезную, ценную, и можно сказать, жизненно необходимую информацию! Спас два моих сайта! Хорошо, что в интернете ещё остались такие бескорыстные люди. Ещё раз огромное спасибо!!!

    Reply
  • mario

    22.02.2010

    спасибо молоток! я месяц потратил безуспешно в протирках кода сайта. залезли с всякими шеллами и не слезают дряни, нечем вот дурням заниматься! Вот своё время убили и мне нагадили. Эй псевдо хакеры лучше банки потрошили, а то ковыряются в белье и нюхают, что с того им?

    Reply
  • k28887

    11.06.2010

    risurs.ru — тут тоже немного про это написано!

    Reply
  • Николай

    05.08.2010

    а у меня повсей видимости так и ломали — замучался одно время выбирать у себя сайта разную рекламную дрянь. потом перешел на дле8.3

    Reply
  • koxa

    25.04.2011

    эта дыра давно закрыта!

    Reply
  • koss

    21.07.2011

    нифига не выходит

    Reply
  • klim

    20.01.2012

    эта дыра давно закрыта! нифига не выходит

    Reply
  • ZeDDy

    20.01.2012

    klim, конечно не выходит 🙂
    эта дыра была в 2009 году на версии 8.2
    Сейчас уже давно все ее устранили, или обновились

    Reply
  • podlivka

    12.02.2012

    ZeDDy
    да позно спохватился

    Reply
  • Александр

    08.06.2012

    нет посвежей инфы? К примеру от 9 версии и выше?

    Reply
    • ZeDDy

      18.06.2012

      К сожалению нет

      Reply
  • infiltr

    14.07.2012

    Внизу написано в «PPPS» про бубунту)
    Для разработчиков в лине удобнее гораздо. Я занимаюсь java программированием и админю сайт Планета мозга. После 3 лет использования дебиана включил винду и меня ужаснула её забагованность. Скорость в редакторах и компиляторах значительно отличается в худшую сторону.
    Винда приемлима только для игр как мне кажется. Про приложения-если и нет аналога, то есть wine. Да и за 3 года 1-2 раза столкнулся с программами, которые не шли в лине(очень специфический софт). Так что головной боли не будет, уж тем более в убунте, у неё ещё более френдовый интерфейс чем в винде будет.

    А на тему уязвимости…. щас бы поискать дыры в 9.5-9.6 🙂 Это актуальнее мне кажется

    Reply
  • infiltr

    14.07.2012

    К стати, зачем вы используете тег noindex? достаточно rel=»nofollow». Поисковики забили уже на ноиндекс, и валидацию на validator.w3.org он не проходит. А на невалидных сайтах и поисковикам хуже индексацию проводить 😉

    Reply
  • ZeDDy

    16.07.2012

    насчет убунту , это дело вкуса.
    я работаю с тем что наиболее массово для рядового потребителя. я ищу в яндексе для того, чтобы знать что и как видит в выдаче рядовой юзер, хотя и понимаю что в гугле можно найти больше.
    Я использую винду чтобы не испытывать культурного шока когда сажусь за чужой компьютер.
    ну а noindex стоит с тех времен когда был актуален, сейчас вылавливать его из кода и плагинов даже желания нет, не то чтобы времени )))

    Reply
  • ZeDDy

    16.07.2012

    а насчет уязвимостей думаю вряд ли остались настолько откровенно заметные баги.

    Reply
  • AntonK

    14.04.2017

    Всем доброго дня вот наикнулся на просторах интернета. Судя по всему довольно ввежее https://und3rgr0und.pro/threads/vzlamyvaem-dle-9-x-10-x-11-x.104/

    Reply

Добавить комментарий