Search Results: взлом

Уязвимости и взлом сайтов DLE

То что движок DataLife Engine не является самым защищенным движком я знал. И после очередного взлома сайта на этой cms сильно не удивился.

Предыдущие записи по взлому(уязвимости DLE) :
Взлом Сайтов DLE (критическая уязвимость, дыра) Как защититься от взлома?
Как найти шелл(shell) на DLE ?

Удивление настигло меня когда я начал гуглить по словам «Взлом dle» «методы взлома ДЛЕ» и прочим в надежде найти способ, которым меня в очередной раз взломали а также метод борьбы с этими самыми взломщиками.

Как оказалось авторы сами признают многие недоработки и выпускают кучу заплаток, список которых находится здесь. Там заплатки от уязвимостей для любых версий в том числе и к последним dle 7.5, dle 8.0, dle 8.2, dle 8.3, dle 8.5 Их нужно ставить по-любому, так как дырки признанные производителем как правило самые опасные.

Но еще интереснее оказались темы вне официального сайта DLE например вот этот топик на dle.in.ua содержит списочек куда более интересных уязвимостей, которые используют для заливки шеллов. или вот тут автор нуллов к dle 8.2  8.3 и прочих пишет какие сплоиты к dle нужно использовать для заливки шелла, и где он оставил бэкдор в последнем нуле.

На заметку тем кто использует нуллы DLE от Mid-team и нуллы от Zloy там точно есть бэкдоры. Так что используя null вы потенциально в опасности. Continue Reading

Взлом Сайтов DLE (критическая уязвимость, дыра) Как защититься от взлома?

Многие знают, многие пользовались, однако пора этот «беспредел» заканчивать. Для тех кто не знает, то в скрипте DLE 8.2 есть маленькая недоработка которая позволяет получить любому человеку пароль администратора сайта (зайти в админку и нагадить, наставить халявных ссылок, ифреймов и так далее…)

как горе-хакеры (иначе не назовешь, потому как пользуются уязвимостью исключительно в мелкопакостных соображениях) проникают на сайт?

все проще простого, для сайта на дле 8,2 вводим в браузерную строку:

http://домен.ру/index.php?do=lostpassword&douser=1

По этому  запросу генерируется новый пароль для администратора сайта, и вы получаете:

уязвимость работает только на dle 8.2  и лечится патчем или обновлением до версии DLE 8.3

PS: Не советую вам пользоваться этим видом взлома. Привел его только для того, чтобы вы могли найти уязвимость на своих сайтах. и обезопасить свои сайты от посягательств.

PPS: Зачем спалил? Потому как не приемлю подобные виды деятельности, за тем чтобы как можно больше людей узнали о проблеме, да и нездоровая какая то картина складывается, на форумах уже в открытую барыжат списками сайтов с этой дыркой.

PPS: Просили меня малость пропиарьть книги что почитать можно на досуге. в общем вот вам ссылка.
PPPS: И для Линуксоидов : Установка Ubuntu 9.10 Karmic Koala, Хотя сам не понимаю зачем ставить барьер между собой и остальным компьютерным миром. Большинство программ, игр, интернет приложений заточено под винду и зачем ненужные головняки с поиском совместимых приложений и программ мне не понятно.

остальным рецепт как получить такую же

Обратная сторона публичности/популярности

Всегда думал, что фейки существуют только у популярных личностей. Оказалось все совсем не так и даже у обычных блоггеров (как у меня) бывают фейки.

Моя история бодания с «хакером»

С чего все началось. Эпизод 1.

Однажды (около месяца назад), я заметил письмо от биржы ссылок sape в котором говорилось, что мой балланс близок к нулю. Я уже несколько лет ей не пользовался и это меня удивило, с чего вдруг Сапа списывает с меня деньги. Я зашел в кабинет и увидел, что от моего имени куплена одна единственная необоснованно дорогая ссылка на каком-то ГС. Все ради того, чтобы перелить мой баланс на другой аккаунт.

Кто-то взломал аккаунт и пользовался моими деньгами. Я поменял пароль, сообщил о нарушении в тех.поддержку. И думал что на этом все закончилось. (ущерб каких то 550 рублей, о существовании которых на балансе sape я уже забыл).

Эпизод 2.

Однако пару дней назад менеджер одной из Dating партнерок (Кейс 1, Кейс 2, Кейс 3) написала мне, что кто-то (используя фейк похожий на меня) через телеграм пытается сменить мой wmz кошелек для вывода денег.

На этот раз помимо IP логов входа (из истории с sape) у меня в руках оказались аккаунт телеграм (по которому пробивается номер (скорее всего левый)) и номер кошелька wmz на котором есть активность и … имя и фамилия «хакера», по которым есть только один (!) акк в VK (Возможна левая фамилия, потому как по фото в профиле пробивается еще один акк в одноклассниках с тем же именем но другой фамилией).

Вот и что с этим делать? Звонить знакомиться? Или относить данные в полицию? (но ущерба то фактически нет).

Почему так произошло.

Раньше у меня было несколько «дежурных» паролей, которые я использовал на разных сайтах. Один из них был «скомпрометирован» и этим и пользуется «хакер» выискивая мои аккаунты и пытаясь подобрать пароль.

В Общем сам виноват, где то прокололся.

Хочу обратиться к «хакеру» :

Айдар, прекрати! Везде, где есть деньги, везде, где я работаю, я сменил пароли, если найдешь мои старые аккаунты от партнерок с которыми я не работаю, там денег нет!
Все твои аккаунты, фото профилей, логи и телефоны, я заскринил, и в случае реального ущерба они отправятся куда надо.

Как избежать подобного (советы по безопасности для блоггеров и других публичных личностей):

  1. Используйте разные и сложные пароли везде
  2. Используйте двухфакторную авторизацию, где это есть
  3. Публикуя кейсы, замазывайте номер ID, логин, привязанную почту к партнерке
  4. Используйте разные почты для работы(денег) и для «связей с общественностью»
  5. Регулярно проверяйте свой рабочий комп антивирусами.

Банально? Да! Но именно пренебрежение этими простыми правилами привели к такой ситуации.

Всем Добра, Берегите себя и свои деньги.

С вами был, ZeDDy

Подписывайтесь, Скоро будет пару кейсов с push трафиком (список push сеток тут) и мои эксперименты с Youtube.

Почему нужно сразу удалять вирус с сайта.

Совсем недавно 13 июня на одном моем хостинг аккаунте произошло пренепреятнейшее проишествие, были взломаны все сайты, заменены все файлы index.php,  index.html и index.htm .Такое бывает и я не обратил особого внимания, в тот же день восстановил все сайты, обновил движки, вычистил уязвимости, сменил пароли, закрыл небезопасные папки, в общем сделал все чтобы подобное не повторилось.Однако каково же было мое удивление, когда от регистратора доменов (рег.ру) пришло уведомление о необходимости подтверждения моих паспортных данных на все домены находящиеся именно в этом хостинг аккаунте.
Почему то я отложил этот вопрос и однажды обнаружил, что часть доменов сняты с делегирования. Рег.ру отнеслись довольно демократично и для начала разделегировали самые некоммерческие проекты.

Я в тот же день отправил сканы, в ответ приходит ответ от тех.поддержки, что на все мои домены пришла абуза и просят принять меры и объяснить, что случилось.

Приложили текст абузы:

Dear abuse team,

Continue Reading

Как найти шелл на своем сайте.

В свое время экспериментировал с движком DLE, и так как это были эксперименты использовал «null» версию этого движка, ну и как следствие использования неофициальных версий постоянная борьба с шеллами и уязвимостями, которые появлялись не только по недоработке разработчиков, но и с легкой руки нуллеров.

Вот некоторые из моих потугов по этому поводу:
Как сломать сайт на DLE
Уязвимости и взлом сайтов DLE
Как найти шелл(shell) на DLE ?
Взлом Сайтов DLE (критическая уязвимость, дыра) Как защититься от взлома?

Недавно нашел еще один способ Как найти шелл или другие уязвимости на своем сайте (не только на ДЛЕ).  Помогла мне :

Искалка хакерских скриптов на вашем хостинге [update]

(разработчик Григорий, автор блога greg.su)

Маленькая тузла ai-bolit указала на шелл, который я искал около года.

я хотел было скопировать скрипт шелла к себе на комп, ради исследования, но бдительный nod32 так и не дал мне это сделать. он упорно удалял и предупреждал все попытки скопировать файл. каждый раз предупреждая меня что это троянская программа PHP. Rst.ak

 

Вот что умеет  ai-bolit.php умеет

  • искать ~40 разновидностей шеллов и дамперов
  • определять зараженные index.php/index.html файлы IFRAME вирусами
  • выдавать список директорий, открытых на запись скриптам

Порядок действий:

1. копируем ai-bolit.php в корень сайта

2. запускаем http://site.ru/ai-bolit.php

Результат примерно такой:

(скрин с оф. сайта)

Чаще всего шеллы используют, чтобы незаметно красть трафик или чтобы проставить на сайте ссылки например такие : установка монтаж кондиционеров в москве — для продвижения сайтов или дорвеев. До сих пор ссылочное продвижение является основой seo.

Как сломать сайт на DLE

Здесь предоставлена информация как «сломали» один из моих сайтов на DLE.

Информация предоставлена только для ознакомления и для тех, кто стремится защитить свои сайты на движке Data Life Engine.

Как вы наверное знаете большая часть хостингов не позволяют рассылать email спам со своих аккаунтов и многие блокируют аккаунт на автомате при попытке создать массовую рассылку.

На моем дле сайте стояло уведомление пользователей о новых личных сообщениях.  кто то использовал спец софт для спама вличку дле сайтов, возможно «DLE PM ME» или какое то другое решение.

Отправил например по 10 личных сообщений каждому из 1000 зарегистрированных пользователей, вот движок DLE и попытался одновременно отправить 10 000 email уведомлений о новых сообщениях. Бац! Срабатывает автомат на хостинге, и аккаунт отключается вместе с сайтом. Подозреваю подобная схема может отправить в небытие сайт на любом движке при наличии у него email уведомлений о личных сообщениях. и это даже не уязвимость движка DLE  а уязвимость моего хостера.

Самое что неприятное так это то, что бекапы я так и не получил, долго спорил с хостером о восстановлении аккаунта, но он остался неприступным в позиции «нам не важно по чьей вине возникла массовая рассылка, ваш аккаунт закрыт за спам».

Чтобы обезопасить себя от подобных неприятностей необходимо чтобы в настройках пользователей, в графе:

Отсылать E-Mail уведомление при получении пользователем нового персонального сообщения
Если ‘Да’, при получении нового персонального сообщения, на E-Mail указанный в профиле пользователя будет отправлено соответствующее уведомление.

Стояло «Нет»

З.Ы. с DLE мне вообще везет, вот некоторые статьи которые я писал про уязвимости дле:

Уязвимости и взлом сайтов DLE

Как найти шелл(shell) на DLE ?

Взлом Сайтов DLE (критическая уязвимость, дыра) Как защититься от взлома?

З.Ы.2. Теперь я знаю Интернет магазин, где купить корсет и прочие красивые женские штучки.

Как найти шелл(shell) на DLE ?

Недавно заметил что на одном моем сайте на DLE  в шаблоне постоянно появляется левый зашифрованный код, который явно не я туда вставил. Первый раз счел это своей невнимательностью и издержками выбора «бесплатного» шаблона, в которых частенько попадаются такие сюрпризы.

Но спустя время аналогичный зашифрованный код появился в других частях шаблона и файлах движка и каждый раз все более и более изощренно запрятанный. Тут началась моя охота на хакера. Вариантов было много либо кто то угнал мои пароли от фтп, либо сломали хостера, либо используется очередная дыра в DLE,…

После смены всех паролей и обновления версии скрипта злополучный код продолжал появляться после удаления, вывод напрашивался сам собой, на сайт залит shell.

Шелл — shell — оболочка, среда выполнения команд.(виндовс — это тоже шел). В инете понимается под доступом к серверу в сети, на котором ты можешь выполнять команды (хакать, дампить,спамить). По сути маленький скрипт, через который можно удаленно делать все тоже что и администратор сервера. вот некоторые из них: Ajax_PHP, Antichat, AyyildizaZRaiLPhp, c99_locus7s, c99_madnet, c99_PSych0, c99_w4cking, Crystal, ctt_sh, cybershell, dC3, Dive < Shell >, DTool, GFS, gfs_sh, h4ntu, iMHaPFtp, ironshell, JspWebshell, KAdot, lamashell, Liz0ziM, load_< shell >, matamu, Moroccan, myshell, NCC-Shell, NetworkFileManagerPHP, NIX, nshell, nstview, PH Vayv, PHANTASMA, PHP < Shell >, php-backdoor, php-include-w-shell, pHpINJ, PHPJackal, PHPRemoteView, Private-i3lue, r57shell, rootshell, ru24_post_sh, s72 < Shell > v1.1 Coding, Safe0ver < Shell >, Safe_Mode Bypass, SimAttacker, simple-backdoor, simple_cmd, SimShell 1.0, SnIpEr_SA < Shell >, tryag, Uploader, WinX < Shell >, Worse Linux < Shell >, zacosmall

Сначала был вариант копаться в логах сервера, но из-за большой посещаемости логи оказались оч. большими чтобы в них что то найти. Вариант вручную искать левые файлы на сервере тоже не вызывал энтузиазма.

Решение нашлось само собой, оказывается в DLE есть так называемый «Антивирус» который сам анализирует файлы движка и выводит список файлов не входивших в дистрибутив установки движка. (туда обычно попадают моды, хаки для DLE, которые сам устанавливаешь). Среди этих подозрительных файлов и был залитый в папку «uploads» 3 php файлика того самого Шелла.
Дополнительные файлы были удалены, в индексном файле шелла удалил код и оставил надпись «Hello World».
Надеюсь что на этом противостояние с хакером окончилось.

Upd. Рекомендую также ознакомиться со статьей:

Уязвимости и взлом сайтов DLE

ICQ и QIP противостояние продолжается (аська не умерла)

Сегодня большинства Пользователей программы QIP и других месенджеров использующих icq протокол получили от номера 1 вот такое сообщение.

=============================
Системное сообщение
=============================
ICQ версии 5.1 больше не поддерживается.  Скачайте бесплатную авторизованную версию ICQ с официального web-сайта ICQ.

=============================
System Message
=============================
ICQ version 5.1 is no longer supported.  Download a free authorized ICQ version from ICQ’s official website.

Это означает что AOL сменил протокол передачи данных, и все программы типа Квипа и Миранды оказались не рабочими. Что остается? скачивать ICQ 6.5 с офф сайта и ждать ответа от разработчиков QIP, когда они смогут прикрутить новый протокол передачи данных.

Зы, у кого еще работает, попробуйте отключить квип и снова включить

ЗЫЗЫ QIP infium 9020 нормально рабортает скачиваем отсюда:  http://qip.ru/ru/pages/download_infium_ru/

Post Scriptum: (Как попасть бесплатно)
Прикольные снегурочки в новостях.
Быстрая доставка цветов москва
А так же очередной взлом вконтакта. Ничего криминального, просто обсуждаем.