Злом dle - як захистити свій сайт - techno-сo - портал для веб-майстра
Як зламують сайти DLE? Як додають зловмисники вірус, скрипти, код, шелли, бек-Дори, доступ адміністратора на DataLife Engine? Як захистити сайт ДЛЕ від злому?
Серйозна небезпека для сайтів під управлінням движка DataLife Engine 10.0 і нижче версії, яку розробники скрипта дле, як ніби спеціально залишили, так як не знати про це неможливо.
Але найнеприємніше, то що, розробники нишком встановили цей захист на новій версії DLE 10.1 і вище, навіть не повідомили своїм купили користувачам про про цю уразливість, яка дозволяє зловмисникам викачати всю базу даних MySQL, і навіть внести в неї будь-зміни.
Отже, якщо у вас сайт під управлінням движка версії 10.0, 9.8, 9.7, 9.6, 9.5 або нижче, і ви не можете оновити його з причини великої кількості модулів і хаков, то вважайте, що будь-хто може на ваш ресурс вписати нового адміністратора і творити там що хоче. При цьому видалити всі свої дії, так що ви навіть не дізнаєтеся про його присутність.
Якщо вас зламували, додавали невідомим вам чином адміністратора, скрипт, вірус, код та інше, і ви не знаєте як це було зроблено, Новомосковський тут відповідь і вирішення проблеми вразливості скрипта DataLife Engine 10.0-9.0.
Ось простий УРЛ із запитом в браузері:
(Замість dbconfig.php в коді) можна викачати будь-який файл PHP, наприклад дізнатися на яку назву ви змінили admin.php, викачавши файл config.php.
ПС. Назва admin.php змінюється для того, щоб захистити від зломщиків адмін панель движка (від брутофорса і т.д.)
таким викликом можна отримати повну інформацію з файлу dbconfig.php, де зберігаються дані
define ( "DBNAME", "Назва Бази Даних");
define ( "DBPASS", "Пароль");
Ну, а ті хто знає, що дає phpMyAdmin або повний доступ до БД, думаю розуміють наскільки серйозна це небезпека. Адже, там можна зробити все: відредагувати новини, вписати дані в профіль, додати скрипт, викачати всю БД і т.д. Навіть видалити файл .htaccess в будь-якому місці вашого движка, який служить захистом вашої системи від додавання та інших маніпуляцій файлів з розширенням PHP.
В результаті таких змін ви навіть не дізнаєтеся, що було зроблено з вашим ресурсом, якщо випадково не помітите зміни.
Щоб усунути цю небезпеку в DLE 10.0 - 8.5 робимо наступне:
Викачуємо движок DLE 10.1 або вище, беремо файл .htaccess з папки / engine / classes / min / і кидаємо собі в цю ж папку.
Або створюємо в папці / engine / classes / min / файл .htaccess. а всередину додаємо код:
Ще один файл .htaccess беремо з 10.1 або вище в папці / engine / classes /
Або створюємо в папці / engine / classes / файл .htaccess. а всередину додаємо код:
Бажано перевірити всі функції движка і сайту, після додавання.
До речі, цієї загрозою схильні багато СМС не тільки DataLife Engine, але і Joomla, WP і т.д. судячи з повідомлень в інтернеті. Тому, щоб не чекати коли зловмисники знайдуть нову можливість отримати доступ до БД phpMyAdmin, можна попросити тех.службу вашого хостингу закрити доступ всім ззовні, в тому числі і вам.
Це вони можуть зробити, якщо додадуть в папку phpMyAdmin файл .htaccess з кодом забороняє доступ до ваших БД.
Адже БД файл можна створити в панелі движка, а потім завантажити, він буде знаходиться в папці / backup /, відредагувати на ноутбуці, щоб потім знову закачати в папці / backup /, а після встановити (кнопкою відновити базу даних).
А тепер подивіться на движок дле, які там різні способи захисту: можна перейменувати файл admin.php, свій IP встановити для входу, скидання пароля, навіть подивитися хто користувався адмінкой (до речі цей захист легко обходячи) і пропустити такий баг.
Це те ж саме, що створити супертанк з непробивною бронею, усіма видами виявлення мети, системою відображення і т.д. але зробити паливний бак з фанери.
А саме негарне, не сказати про цю уразливість користувачам старих версій!
Щоб захистити сайт від тих, хто якимось чином отримав доступ до сайту з правами адміністратора можна зробити наступне:
1. Встановити на все .htaccess движка права CMHD 444 (увагу не на файли і не на папки движка, а тільки на файл .htaccess або багато перестане працювати)
2. Встановити на всі файли шаблону права CMHD 444 (крім папок). Такий захист нікому не дозволить змінити файли вашого шаблону, навіть з правами адміністратора, можете перевірити в адмін панелі движка управління шаблонами.
Тут я розповім про спосіб захисту використовуючи .htaccess в корені сервера. там же де знаходиться файл robots.txt для заборони викликати залиті шелли. (при включеному safe_mod)
відкриваємо .htaccess
Додаємо після RewriteEngine On
4. Чи кожен раз оновлювати до нової версії, що не зручно для багатьох! Шаблони для dle 11.2