Опубликованные статьи


Как взломать админку в DLE?

Как вам заголовок? Думаете, что я собрался ломать чьи-то админки на DLE? Отнюдь, мне просто интересны способы защиты своих сайтов. Вчера случайно столкнулся с проблемой на некоторых из них. При клике на любую открытую страничку срабатывал кликандер, и я всерьез озаботился проблемой, так как сайты очень узкоспецифичные и кликандерами они не балуются с самого рождения.

Посмотрев исходный код странички, я увидел сторонний код, размещенный злостными взломщиками. Сперва в гневе начал перелопачивать файлы, сначала темплейт, затем файлы движка, но мои поиски не привели к положительному результату. В конце концов, в админке я нашел одну интересную деталь: появился еще один, а на некоторых сайтах и не один, а несколько администраторов. Как вам такое? С таким видом взлома я еще не сталкивался. Были случаи внедрения ифреймов в файлы DLE, были случаи внедрения вредоносного кода в темплейты, но такого!!! Такого я еще не встречал.

Итак, школоло хакер подбирает пароли в админку. Как правило, у меня сложные случайные пароли в комбинации букв, цифр и знаков препинания длиной примерно в 20 символов. Создает второго администратора, и прямо из админки устанавливает коды кликандеров как рекламные материалы. В моем случае он комбинировал кликандер с кодом адсенс, отсекая часть моего кода своим. В результате получался скрытый кликандер. Еще на одном сайте кликандер был установлен сразу после баннера 480х60. По сути, взломщику не пришлось извращаться, пытаясь делать страшные инъекции. Вполне достаточно было дать себе админские права, и поставить все что угодно.

Вопрос по теме: какими способами можно стать вторым администратором? Способом подбора админского пароля? Есть опасные дыры в движке, подобные той, что были в версии 8.2? В моем случае были самые разные версии движков, начиная от 7.5, и заканчивая 8.3. Взлом по ходу произошел не через базу данных и работал, вероятно, не профессионал, так как слишком уж все просто оказалось.



Поделись с друзьями!

    Получай обновления сайта прямо на e-mail!

    Введите Ваш email:

    Кроме того, интересно почитать:

Comments12 комментариев

 

  1. Хотел установить скрытую рекламу. А что? На перспективу парень думал — код не удалится, реклама не часто проверяется на сайте.

    Весело, однако. :))))

  2. @ Petr Anotik:

    Реклама может быть и не часто проверяется =) но кликандер виден сразу :-D

  3. Не понимаю таких людей… Скажите, Вы часто на них нажимаете? Просто я сужу по себе и я, например, ни разу не нажимал на них. Эфективно ли это?

  4. Дле сейчас вообще самый дырявый движек в ру нете.

  5. @ Андрей:

    А на него не нужно нажимать. Он срабатывает при нажатии в любое место страницы.

    @ wertock:

    Может и так =) но он мне нравится.

  6. Yeti:

    Автор этого бреда сообщи ссылку на свой взломанный сайт и заодно ссылку на сайте разработчика свой профиль в группе пользователей: КЛИЕНТЫ

  7. @ Yeti:

    С какой целью интересуешься? =)
    В чем здесь бред? В том, что в админке появлейтся еще один или несколько админов? =)

  8. Yeti:

    webwm говорит, что:
    @ Yeti:
    С какой целью интересуешься?
    В чем здесь бред? В том, что в админке появлейтся еще один или несколько админов?

    Просто чем писать такие статьи нужно написать:
    Юзаю нулленный, напичканый бедкодами скрипт, в именно поэтому у меня и появляется куча Админов и левых кодов.

  9. Yeti:

    Многие деятели используют без уважения к их авторам продукты, причём не просто тихо используют, а ещё и начинают очернять скрипты. Если вы в Вебе то посмотрите все последние релизы WP, Joomla и других — все они это именно заплатки дыр, так почему DLE них?
    Заплатки в DLE выходят также по мере обнаружения уязвимостей, и естественно кто не уважает разработчика, чаще всего и не заходит на его сайт и даже не в курсе обнаружения и исправления уязвимостей, одной из которых кстати был не сам скрипт а один из редакторов, использовавшися во всех популярных CMS

  10. Yeti говорит, что:
    Просто чем писать такие статьи нужно написать:

    @ Yeti:
    Нет, просто прежде чем писать такие статьи, нужно написать:

    Да, я не обновляю и не буду обновлять свои движки (и не только DLE) до самой последней версиии. И на то есть свои причины.

    Да, я не заглядываю на сайт разработчика и не пользуюсь их подсказками, а предпочитаю решать свои пробемы сам, либо с помощью друзей, либо со спецами с большим чем у меня опытом за деньги.

    Да, я не слежу за заплатками которые периодически выплевываются разработчиками, и речь тут не только о DLE.

    Yeti говорит, что:
    напичканый бедкодами скрипт, в именно поэтому у меня и появляется куча Админов и левых кодов.

    Это не правда :-D Куча админов и левых кодов может появиться, как в нулле, так и в лицензии с одинаковым успехом.

    Если вас лично зацепила моя статья о DLE, то я всегда писал и пишу что DLE один из моих любимых движков, своим клиентам я рекомендую DLE, и если вы думаете, что я им предлагаю нуленые движки, то глубоко ошибаетесь.

    А насчет нуленых DLE, то вам как разработчикам стоит сказать тем ребятам, которые их нулят спасибо. Только по этой причине у DLE в Рунете неплохое место в рейтинге использования, а почему сказать спасибо вам им стоит, подумайте.

  11. Al:

    Пользовал dle 8.3 (купил сайт с рук). Через пару недель начали появляться левые ссылки (случайно заметил, в main.tpl ковыряясь), админов при этом не добавилось.
    Почистил, сменил пароль с логином- бестолку, ссылки снова появляются. Пересмотрел права по каждому пользователю- все в норме.
    Сгоряча (с перепугу) всех зарегистрированных удалил- лыжа. Он (злодей) вообще ко мне на сайт как на работу ходил ежедневно, мы с ним уже записки друг другу в main.tpl оставляли =). Пароли раз 5 менял.
    Закончилось тем, что снес старую sql-базу, создал новую (новости по-новой добавлял). Так мы с ним и распрощались.

  12. Al говорит, что:
    Он (злодей) вообще ко мне на сайт как на работу ходил ежедневно, мы с ним уже записки друг другу в main.tpl оставляли =).

    :-D
    Вы дыру все равно не закрыли. Посмотрите подробный пост как защитить DLE, а то другой злодей вернется :-D

    http://webwm.net/2011/01/11/kak-zashhitit-dle-ot-vzloma/

Комментировать