Обновление: как сломать сайт на dle
Здесь предоставлена информация как «сломали» один из моих сайтов на DLE.
Информация предоставлена только для ознакомления и для тех, кто стремится защитить свои сайты на движке Data Life Engine.
Как вы наверное знаете большая часть хостингов не позволяют рассылать email спам со своих аккаунтов и многие блокируют аккаунт на автомате при попытке создать массовую рассылку.
На моем дле сайте стояло уведомление пользователей о новых личных сообщениях. кто то использовал спец софт для спама вличку дле сайтов, возможно «DLE PM ME» или какое то другое решение.
Отправил например по 10 личных сообщений каждому из 1000 зарегистрированных пользователей, вот движок DLE и попытался одновременно отправить 10 000 email уведомлений о новых сообщениях. Бац! Срабатывает автомат на хостинге, и аккаунт отключается вместе с сайтом. Подозреваю подобная схема может отправить в небытие сайт на любом движке при наличии у него email уведомлений о личных сообщениях. и это даже не уязвимость движка DLE а уязвимость моего хостера.
Самое что неприятное так это то, что бекапы я так и не получил, долго спорил с хостером о восстановлении аккаунта, но он остался неприступным в позиции «нам не важно по чьей вине возникла массовая рассылка, ваш аккаунт закрыт за спам».
Чтобы обезопасить себя от подобных неприятностей необходимо чтобы в настройках пользователей, в графе:
Стояло «Нет»
З.Ы. с DLE мне вообще везет, вот некоторые статьи которые я писал про уязвимости дле:
З.Ы.2. Теперь я знаю Интернет магазин, где купить корсет и прочие красивые женские штучки.
Источник: http://m113.ru