Ну вот не прошло и нескольких дней как хакер(предположительно с Украины) продолжил свою деятельность по взому сайтов на DLE.
В этот раз встраиваемый код стал немного другим.
Перенаправление происходит на несколько сайтов:
statuses.ws
live-internet.ws
googlecount.ws
livecountall.ws
googleinternet.ws
yacounter.ws
getinternet.ws
yandex-google.ws
ya-googl.ws
ya-analytics.ws
yadirect.ws
На этих сайтах происходит перенаправление пользователей зашедших с некоторых мобильных устройств, не со всех.
Перенаправление происходит на СМС агрегатора, который внедряет в ваш телефон приложение или вынуждает отправить платное СМС.
На этот раз инфицируются следующие файлы:
/index.php
/engine/data/dbconfig.php
/engine/data/config.php
/engine/init.php
/engine/engine.php
/language/Russian/website.lng
При этом взломщик предусмотрел возможность апгрейта своего скрипта встраиванием шелл кода в файлы.
Будьте внимательны!
достали уже эти хакеры 😈