X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость ( Вход | Регистрация )

Открыть тему
Тема закрыта
> Приемы для доп. защиты DataLife Engine от взлома
pafnyt
pafnyt
Topic Starter сообщение 6.11.2011, 16:12; Ответить: pafnyt
Сообщение #1


Бывалый
****

Группа: User
Сообщений: 272
Регистрация: 29.7.2011
Из: Санкт-Петербург
Поблагодарили: 79 раз
Репутация:   28  


1 вариант. Злоумышленник завладел аккаунтом администратора и получил доступ к панели управления DataLife Engine. Теперь он может: редактировать комментарии/новости, редактировать конфигурационный файл движка, редактировать .TPL и .CSS файлы шаблона.

Решение: переименуем /admin.php, к примеру, в 9tEazy4SXN.php; присвоим .TPL и .CSS файлам шаблона и конфигурационному файлу /engine/data/config.php (CHMOD) 644, это запретит их редактирование как через панель администратора, так и через файловый менеджер.

Примечание: после того, как Вы переименовали admin.php, ни в коем случае не вписываем новое имя файла в настройках движка, иначе оно будет отображаться в панели пользователя.

2 вариант. Злоумышленнику удается залить в папку {THEME} либо в /uploads/ шелл, таким образом, он получает полный контроль над файлами Вашего движка, над Вашей базой данных и, в некоторых случаях, над всем Вашим сервером.

Решение (только для DLE ниже 9.x): поместим в папки /templates/ и /uploads/ файл .htaccess, со следующим содержимым:

<FilesMatch "\.([Pp][Hh][Pp]|[Cc][Gg][Ii]|[Pp][Ll]|[Ph][Hh][Tt][Mm][Ll])\.?">
   Order allow,deny
   Deny from all
</FilesMatch>


этим действием, мы запретили запуск сторонних скриптов, расположенных в вышеуказанных папках.

3 вариант. Злоумышленник знает название файла для создания резервных копий БД - cron.php, это дает ему возможность "убить" на неопределенное время Вашу БД, тем самым остановить работу сайта. P.S. особенно актуально для сайтов с большим размером базы данных.

Решение: переименуем файл cron.php

4 вариант. Загрузка файлов через /engine/images.php разрешена только группе "Модераторы", злоумышленник завладел аккаунтом одного из модераторов и пытается загрузить файл, что для Вас крайне не желательно.

Решение: в файле /engine/images.php, после <?PHP, помещаем следующий код:

$q_ = array( "login" => "pass" );

if (!isset($_SERVER['PHP_AUTH_USER']) || md5(md5($_SERVER['PHP_AUTH_PW'])) !==  $q_[ $_SERVER['PHP_AUTH_USER'] ] )
{

    header('WWW-Authenticate: Basic realm="Access forbidden!"');
    header('HTTP/1.0 401 Unauthorized');
    exit("Access forbidden!");

}


где login и pass - логин и пароль для доступа, зашифрованные в md5. Эти данные мы можем выдать каждому из модераторов.

- - - - - - - - -

Эта лишь малая часть того, что пришло в голову и с чем я сталкивался. Пишем свои варианты развития событий, с решением подскажу =)

P.S. Если у Вас возникли проблемы с движком DataLife Engine - не можете установить модуль, не получается обновиться, появляется "левый" код, часто взламывают и т.д. и т.п., прошу в PM.

Сообщение отредактировал pafnyt - 6.11.2011, 16:17


Поблагодарили: (2)
1
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
taxi2008
taxi2008
сообщение 6.11.2011, 16:18; Ответить: taxi2008
Сообщение #2


Оптимизатор
******

Группа: Active User
Сообщений: 2034
Регистрация: 29.7.2008
Поблагодарили: 470 раз
Репутация:   114  


Первые 3 обсуждалось много раз.. 4ый не помню..

P.S. Если у Вас возникли проблемы с движком DataLife Engine - не можете установить модуль, не получается обновиться, появляется "левый" код, часто взламывают и т.д. и т.п., прошу в PM.

Установил ping модуль, в итоге при отправке в пинг сервисы не выводиться отчет, точнее вообще ничего не происходит..
Обращался к разработчику - отправил в тех поддержку хостинга, ссылаясь на то, что дело в хостинге..
Обратился в тех поддержку - просто помотали головой и ласково послали..
Есть мысли в чем может быть проблема?

Сообщение отредактировал taxi2008 - 6.11.2011, 16:23
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
pafnyt
pafnyt
Topic Starter сообщение 6.11.2011, 16:23; Ответить: pafnyt
Сообщение #3


Бывалый
****

Группа: User
Сообщений: 272
Регистрация: 29.7.2011
Из: Санкт-Петербург
Поблагодарили: 79 раз
Репутация:   28  


Первые 3 обсуждалось много раз.. 4ый не помню..


Многие забывают про эти простейшие правила, а некоторые, вообще о них не слышали.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Schmied
Schmied
сообщение 6.11.2011, 16:25; Ответить: Schmied
Сообщение #4


Бывалый
****

Группа: User
Сообщений: 460
Регистрация: 17.2.2010
Из: UA
Поблагодарили: 87 раз
Репутация:   11  


pafnyt, спасибо, полезная информация. плюсанул тему smile.gif
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
pafnyt
pafnyt
Topic Starter сообщение 6.11.2011, 16:27; Ответить: pafnyt
Сообщение #5


Бывалый
****

Группа: User
Сообщений: 272
Регистрация: 29.7.2011
Из: Санкт-Петербург
Поблагодарили: 79 раз
Репутация:   28  


Установил ping модуль, в итоге при отправке в пинг сервисы не выводиться отчет, точнее вообще ничего не происходит..
Обращался к разработчику - отправил в тех поддержку хостинга, ссылаясь на то, что дело в хостинге..


Ссылку на модуль и на его технические требования. Какой хостер, тариф?

Есть мысли в чем может быть проблема?


А вообще, тема для обсуждения безопасности движка, а не работоспособности сторонних модулей. Но в любом случае, я постараюсь Вам помочь.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
AmoSeo
AmoSeo
сообщение 6.11.2011, 17:07; Ответить: AmoSeo
Сообщение #6


Завсегдатай
*****

Группа: Active User
Сообщений: 523
Регистрация: 10.6.2011
Поблагодарили: 130 раз
Репутация:   22  


Пользуюсь dle начинаяс 4 версии по 9 и "ни единого разрыва" тоесть не единого взлома - благодаря 2. варианту безопасности (запрет на выполнение динамических файлов в папках загрузок) что привел тс.
Остальные кто утверждает что дле дырявое - ну ребятки либо башка дырявая либо с хостером "повезло", в редких случаях недочеты допущены самим разработчиков НО это быстро фиксят такчто следите почаще за багтреком на офф сайте_http://dle-news.ru/bags/ . Дешевые и свежеиспеченные хостинги грешат недостаточной безопастностью, а также нуленные версии дле со сторонних варехзников напичканы всякими линками шеллами и т.д.


--------------------
Предоставляю услуги: Content Downloader - настройка парсера для любого сайта. (опыт с 2011 г.)
Наполнение магазинов товарами: Opencart, SimplaCMS, Webasyst и т.д.


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Открытая тема (нет новых ответов) Нужен человек для поиска клиентов за процент от сделки
3 Evgos 519 Вчера, 22:34
автор: Yepperoni
Открытая тема (нет новых ответов) Вопрос по seo для интернет магазина
куда девать продвинутые товары, которые уже не выпускают
18 viktormerke 2769 Вчера, 15:18
автор: Smspva
Открытая тема (нет новых ответов) ВНИМАНИЕ: Тема для обсуждения работ фотоконкурса «Новогодний косплей» 18+
6 admin 1055 Вчера, 15:14
автор: admin
Горячая тема (нет новых ответов) Тема имеет прикрепленные файлыSE Ranking – новый сервис для проверки позиций сайтов в поисковиках
173 seranking 158078 Вчера, 14:29
автор: seranking
Открытая тема (нет новых ответов) SimplePay: Прием платежей на сайте для юридических и физических лиц
4 kuprum 494 Вчера, 14:07
автор: kuprum


 



RSS Текстовая версия Сейчас: 16.12.2017, 3:43
Дизайн