Столкнулся недавно с одной интересной проблемкой моего сайта – со взломом сайта на dle, или внедрением туда вредоносного кода. После этого на сайте, под управлением этого самого движка, может всплывать какой-либо кликовый баннер, или сайт определяется касперским как вредоносный.
У меня так пострадали несколько сайтов.
В папке «upload» в корне сайта я нашел папку с непонятным названием (типа такого «uryetwd»), а в каждой краткой и полной новости был добавлен некий скрипт, который вел на другие ресурсы. Он также сильно замедляет работу сайта (представляете, с каждой новостью на сайте подгружается еще и скрипт).
Сделано все очень хитро. Допустим, вы подумали (это также имеет место), что вредоносный код в самом движке, который вы скачали. И решили перезалить движок. Сохраняете базу данных статей и папку «uploads»(в которой содержаться картинки к постам и др.). Перезаливаете движок для сайта, восстанавливаете базу, заливаете папку с картинками, а тут хлоп и вирус тут как тут.
Что же делать, где прокол? Скорее всего я не правильно выставил права доступа к папкам движка и это послужило лазейкой для злоумышленников. А может лазейка уже была в нулленой dle.
Взлом dle сайта — что делать?
- Скачиваем лицензионную версию dle, активируем с помощью ключа (например с сервиса dlekey.cn). У нас получается чистенькая лицензия, без всяких вредоносных кодов.
- Просматриваем папку «uploads» на наличие посторонних папок, если есть – удаляем.
- Спокойно перезаливаем сайт.
- После восстановления базы, ограничиваем права доступа на вышеуказанную папку.
- Делаем чистку от вредоносного скрипта каждую краткую и полную новость на сайте.
Плюс еще несколько фишек, которые я подсмотрел на одном из сайтов:
- После сохранения базы данных, скачиваем ее к себе на компьютер, а из папки «backup» ее удаляем.
- Файл «admin.php» переименуйте в любое другое имя (и при доступе в админку используйте свое новое название в адресе, например https://seodnevnik.ru/rokstar.php, где rokastar.php не что иное, как переименованное admin.php).
Защита dle от взлома
Чтобы предотвратить попытку взлома в дальнейшем, устраняем уязвимость ДЛЕ следующим образом:
Откройте файлы engine/modules/search.php и engine/modules/fullsearch.php и
найдите:
$count_result = 0;
ниже добавьте:
$sql_count = «»;
Откройте файл engine/inc/templates.php и найдите:
$allow_save = false;
ниже добавьте:
$_REQUEST[‘do_template’] = trim( totranslit($_REQUEST[‘do_template’], false, false) );
$_REQUEST[‘do_language’] = trim( totranslit($_REQUEST[‘do_language’], false, false) );
На этом все, мы имеем чистенький сайт.
И еще важный момент. Из-за вот таких подлянок злоумышленников, ваш сайт может потерять почти весь трафик с Яндекса, который в поисковой выдачи будет помечать ваш сайт как вредоносный, определять как содержащий вирус и не пускать на него посетителей.
спасибо полечила, статья хорошая, удивительно из 10 сайтов повезло попасть на ваш сайтик
пожалуйста, заходите сюда почаще
Спасибочки большое за информацию. Пока не сталкивался, но статья все равно нужная, а если сайт поднимется в глазах поисковиков — 100% понадобиться. В закладки
спасибо
Почистил сайт от вирусов после взлома. Теперь не редактируются файлы шаблона в админке(просто пустые столбцы). Может кто подскажет в чем проблема? Возможно права доступа были изменены. Нигде не могу найти какие права выставллять. У меня в основном на файлы стоят 644 и на админ.пхп тоже.
Благодарю за полезный пост) откуда скачиваете лицензионную версию dle? наверно на варизниках она, как и нулед, напичкана фелами и ссылками(
Ну я тоже с варезника скачивал, вроде с dleshka.org, но точно уже и не вспомню. Не заморачивался по этому поводу. Проблем пока не было. А ссылки легко найти как в шаблонах так и в движке, если они есть. Хотя в последнее время маскируют все проворнее и проворнее
смотрел версию 9.8 файл engine/inc/templates.php, под $allow_save = false; уже есть две строчки:
$_REQUEST[‘do_template’] = trim( totranslit($_REQUEST[‘do_template’], false, false) );
$_REQUEST[‘do_language’] = trim( totranslit($_REQUEST[‘do_language’], false, false) );
нужно всеравно вставлять еще такие же две?
PS/ простите за глупый вопрос, только начинаю знакомство с dle и php
Не нужно, в новых версиях большое количество косяков и уязвимостей движка были исправлены. А это статья была написана в начале 2011 года. По моему, если я не ошибаюсь, тогда еще только версия DLE 9.3 была.
буквально сегодня разобрался с сайтом на dle 9,8 в скрипты и файлы темы точнее тем, там их было 4 папки и в каждой папке где присутствовала папка с ява скриптами в скрипты записался вирус (ниже будет часть кода) короче 2 дня убитого времени в итоге не понятно откуда взялся и где закрывать дырку
файлы main.tpl основной файл темы и файлы скриптов в папке js там их было 5
libs.js mootools.full.js rotater.js slides.js tabs.js
причём длинный кусок кода в файле main.tpl был запрятан за экраном и с первого взгляда даже и не понятно что он там есть
а в яваскриптах в конце файла добавлялась закомментированная строчка /*950459*/
начало кода
Описание сайта script type=text/javascript language=javascript > p 3,160,166,165,47,201,201,201,155,155,155,57,60,47,202,24,21,47,175,150,171,47,157,47,104,4
часть из середины
7,153,166,152,174,164,154,165,173,65,152,171,154,1154,165,156,173,157,102,24,apply(String,a));
и концовка
код порезан в целях безопасности чтобы не сработал в форме отправки и ни кто им не воспользовался
в итоге что и куда и от куда не понятно но 2 дня убитого времени если есть у кого подобный опыт поделитесь кто как заклёпывал дырки
Ещё правда программеры из гугла что то делали с сайтом но что они толком не сказали так что тут скорее всего часть работы а другая та что сделали программеры из гугла.
но проблему с дыркой так не решил если у кого есть идеи был бы очень признателен
Спасибо огромное 2 дня назад мой сайт взломали и кинули вредноносный код сейчас сделал ваши выше описанные действия надеюсь поможет если можете свяжитесь со мной мне нужна помощь с сайтом! скайп a123er4
Поставил шаблон с соц кнопками, а в кнопках вирус оказался, пока кнопки не поменял, яндекс на сайт ругался