Как сломать сайт на DLE
Здесь предоставлена информация как «сломали» один из моих сайтов на DLE.
Информация предоставлена только для ознакомления и для тех, кто стремится защитить свои сайты на движке Data Life Engine.
Как вы наверное знаете большая часть хостингов не позволяют рассылать email спам со своих аккаунтов и многие блокируют аккаунт на автомате при попытке создать массовую рассылку.
На моем дле сайте стояло уведомление пользователей о новых личных сообщениях. кто то использовал спец софт для спама вличку дле сайтов, возможно «DLE PM ME» или какое то другое решение.
Отправил например по 10 личных сообщений каждому из 1000 зарегистрированных пользователей, вот движок DLE и попытался одновременно отправить 10 000 email уведомлений о новых сообщениях. Бац! Срабатывает автомат на хостинге, и аккаунт отключается вместе с сайтом. Подозреваю подобная схема может отправить в небытие сайт на любом движке при наличии у него email уведомлений о личных сообщениях. и это даже не уязвимость движка DLE а уязвимость моего хостера.
Самое что неприятное так это то, что бекапы я так и не получил, долго спорил с хостером о восстановлении аккаунта, но он остался неприступным в позиции «нам не важно по чьей вине возникла массовая рассылка, ваш аккаунт закрыт за спам».
Чтобы обезопасить себя от подобных неприятностей необходимо чтобы в настройках пользователей, в графе:
Отсылать E-Mail уведомление при получении пользователем нового персонального сообщения
Если ‘Да’, при получении нового персонального сообщения, на E-Mail указанный в профиле пользователя будет отправлено соответствующее уведомление.
Стояло «Нет»
З.Ы. с DLE мне вообще везет, вот некоторые статьи которые я писал про уязвимости дле:
Уязвимости и взлом сайтов DLE
Как найти шелл(shell) на DLE ?
Взлом Сайтов DLE (критическая уязвимость, дыра) Как защититься от взлома?
З.Ы.2. Теперь я знаю Интернет магазин, где купить корсет и прочие красивые женские штучки.
patagen
12.01.2012Жесть зачем так издеватся?
Pingback: Как найти шелл на своем сайте. | ZeDDy против Интернета