Злом dle завантаженням аватара з шкідливим кодом

Злом dle завантаженням аватара з шкідливим кодом

Хочу відзначити той факт що уразливі абсолютно всі версії DLE в тому числі і DLE 9.7, про DLE 9.8 не скажу, не перевіряв. Патч безпеки від цього вас не врятує, це трошки інше.

Якщо ж ви вже скачали додаток, то ні в якому разі не встановлюйте його!

Чому на це варто звернути увагу?
Я надам кілька фактів і ви далі самі вирішите, витрачаєте ви свого часу чи ні.
1) Яндекс може порахувати вас розповсюджувачем вірусних програм, співучасниками шахраїв і т.д. Ніхто "церімоніца" не буде, відразу потрапите в бан.
2) Ви втрачаєте відвідуваність вашого сайту, люди які заходять до прикладу з мобільного не потрапляють на ваш сайт і ви втрачаєте відвідувачів.
3) У вашому сайті діра, тільки це вже говорить про те, що потрібно діяти.

Які файли найчастіше схильні до зараження?
В основному зараження підлягають ось ці файли:
index.php
engine / engine.php
engine / init.php
engine / data / config.php
engine / data / dbconfig.php

Але це не виняток, у мене наприклад ще був заражений і language / Russian / website.lng. що дуже мене здивувало, так як я перекопав весь движок, але так і не зміг знайти шкідливий код, а редирект на шкідливий сайт так і залишався. Уявляєте моє здивування після виявлення коду в папці language?

Приступимо!
Знаходимо і акуратно видаляємо ось цей код з перерахованих вище файлів (бажано звіриться з чистим двигуном, так би не видалити зайвого):


До речі ще один важливий момент, цей код може дублюватися в декількох місцях, будьте уважні.

Так само можливий ось такий варіант шкідливого коду:


Видаляємо його. Код ми почистили, але тепер залишилася діра, яку потрібно залатати.


Так ось вся справа в цьому рядку:

латаємо діру
Діра відразу в трьох файлах, а саме в:
engine / inc / editusers.php
engine / modules / register.php
engine / modules / profile.php

Знаходимо в них рядок:

tehApocalypse - заходимо в адмінку шукаємо його і Банимо, по ip і т.д, знову ж про всяк випадок.

Все тепер, не забувайте хоча б раз на місяць перевіряти свої сайти на наявність шкідливого коду, хіба мало я щось упустив.

"Я все зробив по інструкції, а у мене не пропала переадрісація, що робити?"
1) Переконатися що ви не пропустили шкідливий код, як я вже говорив він може дублюватися в одному файлі кілька разів.
2) Можливо шкідливий код записаний ще в якісь інші фали, перевірте всі файли движка на наличее таких посилань:
statuses.ws, live-internet.ws, getinternet.ws і якщо такі є видаляйте їх разом зі шкідливим кодом.
3) Якщо і це не допомогло, значить у вас інші посилання, інший шкідливий код і т.д.

П.С. - Рекомендую всім власникам CMS DLE зробити цю невелику перевірку, можливо ви теж піддалися злому .... ... dle

Потім відкриваємо файл azone.php
У ньому бачимо шматочок коду на початку
if ($ user [ 'access']! == '3' || $ log! == 'grimm') header ( 'Location: main.php?');
exit;
>

Треба "grimm" замінити на ваш нік. І админка буде працювати.

PS. Якщо виявиться помилка такого типу:
session_start (): Can not send session cache limiter - headers already sent

то відкрийте відповідний файл на який він лається, і змініть кодування на "UTF-8 без BOM".