Авторизация
Форк на » dleshka.org » DLE 18.1 оригинал с бекдором на dleshka.org
🛑 Актуальная угроза
Всё ещё работает, доступен в выдаче, никто не отреагировал — максимальная опасность

DLE 18.1 оригинал с бекдором на dleshka.org

🕵️ Дело №1. Бэкдор в движке. Или как мы проверили DLE 18.1 от dleshka.org и нашли кое-что интересное

Если кратко: мы установили факт модификации CMS DLE 18.1, распространяемой с сайта dleshka.org, с добавленным скрытым PHP-бэкдором в одном из системных классов. Назначение бэкдора — удалённое управление файловой системой сервера через Web-интерфейс. Подобная схема характерна не для бесплатного энтузиазма, а для организованного сбора доступа.


Иногда всё начинается с обычного поискового запроса.
"Скачать DLE 18.1" - казалось бы, рядовая задача. Нажал, скачал, развернул, шаблон натянул - и в путь. Но мы - не из тех, кто идёт проторённой дорогой, не посмотрев, не заминирована ли она.

Итак, расследование:

Кейс #1: Бэкдор в DLE 18.1 от dleshka.org

Категории:
— Продукт: [DLE 18.1]
— Канал входа: [Google]
— Источник: [dleshka.org]
— Хостинг вредоносного файла: [gofile.io]
— Тип угрозы: [бэкдор], [PHP файловый менеджер]
— Жертва: [админ CMS]
— Дата: 2025-07-21

📼 Видео 1: Приманка

  1. Открываем Google.

  2. Вводим: скачать dle 18.1.

  3. Первый в списке - сайт dleshka.org.

  4. Сохраняем URL сайта и кнопку "Скачать оригинал DLE 18.1" в текстовом - Дело№1.txt.

  5. Скачиваем архив.

  6. Записываем точный размер в байтах и SHA-1.

  7. Перезаливаем архив на Gofile и Google Drive - на всякий случай.

📼 Видео 2: Подлинник

  1. Переходим на официальный сайт DataLife Engine.

  2. Скачиваем оттуда оригинальный архив DLE 18.1.

  3. Копируем ссылку, хэши, размер - как в первом случае.

  4. Размещаем оба архива рядом: обычный и (orig).

  5. Подготавливаем почву к сравнению.

📼 Видео 3: Сопоставление

  1. Сравниваем два архива побайтово.

  2. Используем WinMerge для наглядности.

  3. Отличия? Да. Вроде бы не страшные: пробелы, табы.

  4. Но...
    Файл antivirus.class.php - в него внедрены дополнительные компоненты. А именно:

    • yandex.class.phpвнезапное пополнение коллекции классов.

    • В коде - логика, позволяющая редактировать файлы на сервере через особые сигналы (backdoor).

  5. Подозрительный код отправляется на анализ - в OpenAI. Результат:

    «Скрытый механизм удалённого доступа. Позволяет загружать, изменять и удалять файлы. Признаки вредоносного поведения налицо.»

📎 Вывод

Архив с сайта dleshka.org содержит модифицированный движок DLE 18.1, в котором:

  • внедрён скрытый файл;

  • реализован удалённый доступ к серверу;

  • файл antivirus.class.php маскирует инородный файл.

🔒 Такой механизм может использоваться для скрытого управления сайтом, сбора информации, установки шеллов, либо шантажа владельца ресурса.

👨‍✈️ Комментарий специалиста 

Судя по запаху кода - не sitemap это и уж точно не от Яндекс. Скорее, чья-то ностальгия по старой школе бэкдоров. Да ещё и через POST-пароль на md5. Видно - писали те, кто застал времена, когда в root входили с флоппика
Простой код? Может быть. Но почему он прячется, и кто дал ему право менять файлы на сервере?
Заложен без ведома автора движка - значит, подлог.
А где подлог - там и умысел.

И вот сидит владелец сайта, качает "оригинал", а через два дня у него на сервере - чужие глаза. 
Кто виноват? Ответ прост - тот, кто первым предложил “скачай с dleshka.org” и не предупредил.

А мы предупредили. И сделали это так, чтоб услышали - и Google, и автор.

Заключение

В архиве - след. В коде - замысел. В логике - система.


🎯 Суть. Для кого эта публикация:

Для юристов и владельцев сайтов:

Архив на dleshka.org не является оригинальным и содержит умышленно добавленный вредоносный код, внедрённый с целью удалённого управления установившими CMS пользователями. Это квалифицируется как несанкционированный доступ и нарушает законы большинства стран, включая ЕС, РФ и США.

Для технических специалистов:

Вирус не бросается в глаза - ни сигнатурами, ни поведением на первый взгляд. Обходит встроенные сканеры DLE, т.к. код "антивируса" пропатчен. Проверка integrity работает вхолостую.

Для поисковиков Google и др:

Если ваш алгоритм распознаёт сигналы о подмене оригинального контента и добавлении вредоносных компонентов - зафиксируйте. Это не кликбейт. Все доказательства и сравнения задокументированы и публичны.

Для автора бэкдора:

У вас был шанс использовать трафик для рекламы, партнёрок, платных шаблонов, чего угодно. Но вы сознательно пошли по пути встраивания системного доступа в CMS. Как минимум - удалите, как максимум - объясните.

Для простых пользователей:

Думали, качаете "движок для сайта"? 
А по факту, он качает вас)
Хотите проверить?
И не говорите потом, что не видели.


🔗 Приложения

DLE 18.1 с бэкдором попал в топ поисковиков. Кто виноват?


Комментарии (1)
Комментировать
Кликните на изображение чтобы обновить код, если он неразборчив
fork
fork Администраторы В пятницу в 10:38

dleshka.org так же выподает и в яндексе по запросу dle 18.1 на первых позициях

Ответить
Copyright © 2025 г. ForkRS - Все тексты и сравнительные данные ForkRS.net распространяются по CC BY‑SA 4.0. Берите, цитируйте, делайте зеркала — но сохраняйте ссылки и указывайте авторство.