Comp-Star » DataLife Engine » Разное DLE » Внимание! Обнаружена серьезная угроза (с помощью которой взламывали сайты) версий скрипта DLE 10.0-8.5
Информация к новости
  • Просмотров: 1143
  • Автор: Compstar
  • Дата: 19-04-2014, 20:07
  • 85
19-04-2014, 20:07

Внимание! Обнаружена серьезная угроза (с помощью которой взламывали сайты) версий скрипта DLE 10.0-8.5

Категория: DataLife Engine » Разное DLE

Внимание! Обнаружена серьезная угроза (с помощью которой взламывали сайты) версий скрипта DLE 10.0-8.5

 

Серьезная опасность для сайтов под управлением движка DataLife Engine 10.0 и ниже версии, которую разработчики скрипта дле, как будто специально оставили, так как не знать об этом невозможно.

Но самое неприятное, то что, разработчики втихаря установили эту защиту на новой версии DLE 10.1 и выше, даже не сообщили своим купившим пользователям о об этой уязвимости, которая позволяет злоумышленникам выкачать всю базу данных MySQL, и даже внести в нее любое изменения. первоисточник www.dle9.com

Итак, если у вас сайт под управлением движка версии 10.0, 9.8, 9.7, 9.6, 9.5 или ниже, и вы не можете обновить его по причине большого числа модулей и хаков, то считайте, что любой может на ваш ресурс вписать нового администратора и творить там что хочет. При этом удалить все свои действия, так что вы даже не узнаете о его присутствие.

Если вас взламывали, добавляли неизвестным вам образом администратора, скрипт, вирус, код и прочее, и вы не знаете как это было сделано, читаем здесь ответ и решение проблемы уязвимости скрипта DataLife Engine 10.0-9.0 .

 

Вот простой УРЛ с запросом в браузере :

 

Внимание! У вас нет прав для просмотра скрытого текста.


таким вызовом можно получить полную информацию из файла dbconfig.php, где хранятся данные

define ("DBNAME", "Название Базы Данных");
define ("DBPASS", "Пароль"); 

 

Эти данные позволяют любому зайти в phpMyAdmin на большинстве хостингах, так как phpMyAdmin панель не защищена по стандарту вашим аккаунтом на хостинге, потому что панель используются и другими пользователями для работы с БД.

Ну, а те кто знает, что дает phpMyAdmin или полный доступ к БД, думаю понимают насколько серьезна это опасность. Ведь, там можно сделать все: отредактировать новости, вписать данные в профиль, добавить скрипт, выкачать всю БД и т.д. Даже удалить файл .htaccess в любом месте вашего движка, который служит защитой вашей системы от добавления и других манипуляций файлов с расширением PHP.
В результате таких изменений вы даже не узнаете, что было сделано с вашим ресурсом, если случайно не заметите изменения.

 

 

Кстати, данной угрозой подвержены многие СМС не только DataLife Engine, но и Joomla, WP и т.д., судя по сообщениям в интернете. Поэтому, чтобы не ждать когда злоумышленники найдут новую возможность получить доступ к БД phpMyAdmin, можно попросить тех.службу вашего хостинга закрыть доступ всем извне, в том числе и вам.


Это они могут сделать, если добавят в папку phpMyAdmin файл .htaccess с кодом запрещающий доступ к вашим БД.

Ведь БД файл можно создать в панели движка, а потом скачать, он будет находится в папке /backup/, отредактировать на ноутбуке, чтобы потом вновь закачать в папке /backup/, а после установить (кнопкой восстановить базу данных).

 

А теперь посмотрите на движок дле, какие там разные способы защиты: можно переименовать файл admin.php, свой IP установить для входа, сброс пароля, даже посмотреть кто пользовался админкой (кстати эту защиту легко обходя) и пропустить такой баг.
Это тоже самое, что создать супертанк с непробиваемой броней, всеми видами обнаружения цели, системой отражения и т.д., но сделать топливный бак из фанеры.

А самое некрасивое, не сообщить об этой уязвимости пользователям старых версий!

 




0


Метки к статье: Разное DLE

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.