Несомненно, движок DataLife Engine является весьма популярным среди владельцев разнонаправленных Интернет-ресурсов. В последние годы внимание к нему становится все выше, выходят новые версии, дополнения и модули для ДЛЕ. Это все привлекает и нехороших людей, проще говоря - мошенников. С одним из таких случаев, недавно смогли столкнуться многие обладатели ресурсов на этой системе управления.
Ваш DLE-сайт может быть взломан
Наверняка, некоторые владельцы сайтов на популярной CMS DLE уже столкнулись с подобным сообщением на почту:
Здравствуйте, уважаемый клиент!
Благодарим Вас за использование на Вашем сайте ***** нашего ПО «CMS DataLife Engine - Система управления сайтами».
Уведомляем Вас о том, что силами наших специалистов на Вашем сайте была обнаружена критическая уязвимость, позволяющая злоумышленникам получить доступ к базе данных Вашего сайта из-за недостаточной фильтрации данных.
По нашим данным 60% сайтов, использующих «DataLife Engine», уязвимы и подвержены взлому посредством данной уязвимости. Именно по этой причине, мы приняли решение произвести рассылку администраторам уязвимых сайтов для того, чтобы они смогли оперативно обезопасить свои сайты от противоправных действий со стороны злоумышленников.
Для исправления уязвимости в текстовом редакторе откройте файл Вашего сайта: *****/engine/engine.php и в самое начало файла после строчки:
<?php
добавьте:
assert($_REQUEST[ENGINE]);
С уважением,
Служба поддержки «DataLife Engine»
Что делать вебмастеру?
Однако, в целях реальной безопасности Вашего сайта крайне не рекомендуется следовать совету из этого сообщения, так как ничего общего с разработчиками DLE оно не имеет и рассылается не ими, а злоумышленниками, которые постредством подобной манипуляции могут навредить (мягко говоря) работе ресурса. Так, используя полученную уязвимость, с помощью PHP-сценария может формироваться POST-пакет для последующей возможной отправки файла с некоторым PHP-кодом. Ну а дальше уже дело фантазии.
Кроме того, стоит иметь ввиду, что подобные сообщения отправляются посредством обратной связи на сайте и по адресам электронной почты, не имеющим никакого отношения к адресам, на которые зарегистрированы лицензионные копии ДЛЕ на сайте разработчика. При отправке письма используются проксовые айпи адреса, либо TOR.
Если у Вас все-таки возникли обоснованные сомнения по поводу безопасности Вашего сайта на ДЛЕ, то:
1. Если используется нулль-версия, рассмотрите вариант перехода на лицензию.
2. Если первый вариант не подходит, обновите вашу CMS DataLife Engine до последней актуальной версии. Разработчики постоянно занимаются модернизацией и усовершенствованием этого движка, в том числе и в плане безопасности.
3. Все выявленные уязвимости DLE и выпущенные баг-фиксы размещаются на странице официального сайта CMS DataLife Engine. Отслеживайте эту информацию именно там.
Будьте внимательны, чтобы лишний раз не давать возможностей для взлома Вашего сайта.