X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость ( Вход | Регистрация )

Открыть тему
Тема закрыта
> Приемы для доп. защиты DataLife Engine от взлома
pafnyt
pafnyt
Topic Starter сообщение 6.11.2011, 16:12; Ответить: pafnyt
Сообщение #1


Бывалый
****

Группа: User
Сообщений: 279
Регистрация: 29.7.2011
Из: Вьетнам
Поблагодарили: 79 раз
Репутация:   28  


1 вариант. Злоумышленник завладел аккаунтом администратора и получил доступ к панели управления DataLife Engine. Теперь он может: редактировать комментарии/новости, редактировать конфигурационный файл движка, редактировать .TPL и .CSS файлы шаблона.

Решение: переименуем /admin.php, к примеру, в 9tEazy4SXN.php; присвоим .TPL и .CSS файлам шаблона и конфигурационному файлу /engine/data/config.php (CHMOD) 644, это запретит их редактирование как через панель администратора, так и через файловый менеджер.

Примечание: после того, как Вы переименовали admin.php, ни в коем случае не вписываем новое имя файла в настройках движка, иначе оно будет отображаться в панели пользователя.

2 вариант. Злоумышленнику удается залить в папку {THEME} либо в /uploads/ шелл, таким образом, он получает полный контроль над файлами Вашего движка, над Вашей базой данных и, в некоторых случаях, над всем Вашим сервером.

Решение (только для DLE ниже 9.x): поместим в папки /templates/ и /uploads/ файл .htaccess, со следующим содержимым:

<FilesMatch "\.([Pp][Hh][Pp]|[Cc][Gg][Ii]|[Pp][Ll]|[Ph][Hh][Tt][Mm][Ll])\.?">
   Order allow,deny
   Deny from all
</FilesMatch>


этим действием, мы запретили запуск сторонних скриптов, расположенных в вышеуказанных папках.

3 вариант. Злоумышленник знает название файла для создания резервных копий БД - cron.php, это дает ему возможность "убить" на неопределенное время Вашу БД, тем самым остановить работу сайта. P.S. особенно актуально для сайтов с большим размером базы данных.

Решение: переименуем файл cron.php

4 вариант. Загрузка файлов через /engine/images.php разрешена только группе "Модераторы", злоумышленник завладел аккаунтом одного из модераторов и пытается загрузить файл, что для Вас крайне не желательно.

Решение: в файле /engine/images.php, после <?PHP, помещаем следующий код:

$q_ = array( "login" => "pass" );

if (!isset($_SERVER['PHP_AUTH_USER']) || md5(md5($_SERVER['PHP_AUTH_PW'])) !==  $q_[ $_SERVER['PHP_AUTH_USER'] ] )
{

    header('WWW-Authenticate: Basic realm="Access forbidden!"');
    header('HTTP/1.0 401 Unauthorized');
    exit("Access forbidden!");

}


где login и pass - логин и пароль для доступа, зашифрованные в md5. Эти данные мы можем выдать каждому из модераторов.

- - - - - - - - -

Эта лишь малая часть того, что пришло в голову и с чем я сталкивался. Пишем свои варианты развития событий, с решением подскажу =)

P.S. Если у Вас возникли проблемы с движком DataLife Engine - не можете установить модуль, не получается обновиться, появляется "левый" код, часто взламывают и т.д. и т.п., прошу в PM.

Сообщение отредактировал pafnyt - 6.11.2011, 16:17


Поблагодарили: (2)
1
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
taxi2008
taxi2008
сообщение 6.11.2011, 16:18; Ответить: taxi2008
Сообщение #2


Старожил
******

Группа: Active User
Сообщений: 2034
Регистрация: 29.7.2008
Из: Нефтекамск
Поблагодарили: 470 раз
Репутация:   114  


Первые 3 обсуждалось много раз.. 4ый не помню..

P.S. Если у Вас возникли проблемы с движком DataLife Engine - не можете установить модуль, не получается обновиться, появляется "левый" код, часто взламывают и т.д. и т.п., прошу в PM.

Установил ping модуль, в итоге при отправке в пинг сервисы не выводиться отчет, точнее вообще ничего не происходит..
Обращался к разработчику - отправил в тех поддержку хостинга, ссылаясь на то, что дело в хостинге..
Обратился в тех поддержку - просто помотали головой и ласково послали..
Есть мысли в чем может быть проблема?

Сообщение отредактировал taxi2008 - 6.11.2011, 16:23
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
pafnyt
pafnyt
Topic Starter сообщение 6.11.2011, 16:23; Ответить: pafnyt
Сообщение #3


Бывалый
****

Группа: User
Сообщений: 279
Регистрация: 29.7.2011
Из: Вьетнам
Поблагодарили: 79 раз
Репутация:   28  


Первые 3 обсуждалось много раз.. 4ый не помню..


Многие забывают про эти простейшие правила, а некоторые, вообще о них не слышали.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Schmied
Schmied
сообщение 6.11.2011, 16:25; Ответить: Schmied
Сообщение #4


Бывалый
****

Группа: User
Сообщений: 460
Регистрация: 17.2.2010
Из: UA
Поблагодарили: 87 раз
Репутация:   11  


pafnyt, спасибо, полезная информация. плюсанул тему smile.gif
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
pafnyt
pafnyt
Topic Starter сообщение 6.11.2011, 16:27; Ответить: pafnyt
Сообщение #5


Бывалый
****

Группа: User
Сообщений: 279
Регистрация: 29.7.2011
Из: Вьетнам
Поблагодарили: 79 раз
Репутация:   28  


Установил ping модуль, в итоге при отправке в пинг сервисы не выводиться отчет, точнее вообще ничего не происходит..
Обращался к разработчику - отправил в тех поддержку хостинга, ссылаясь на то, что дело в хостинге..


Ссылку на модуль и на его технические требования. Какой хостер, тариф?

Есть мысли в чем может быть проблема?


А вообще, тема для обсуждения безопасности движка, а не работоспособности сторонних модулей. Но в любом случае, я постараюсь Вам помочь.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
AmoSeo
AmoSeo
сообщение 6.11.2011, 17:07; Ответить: AmoSeo
Сообщение #6


Завсегдатай
*****

Группа: Active User
Сообщений: 523
Регистрация: 10.6.2011
Поблагодарили: 130 раз
Репутация:   22  


Пользуюсь dle начинаяс 4 версии по 9 и "ни единого разрыва" тоесть не единого взлома - благодаря 2. варианту безопасности (запрет на выполнение динамических файлов в папках загрузок) что привел тс.
Остальные кто утверждает что дле дырявое - ну ребятки либо башка дырявая либо с хостером "повезло", в редких случаях недочеты допущены самим разработчиков НО это быстро фиксят такчто следите почаще за багтреком на офф сайте_http://dle-news.ru/bags/ . Дешевые и свежеиспеченные хостинги грешат недостаточной безопастностью, а также нуленные версии дле со сторонних варехзников напичканы всякими линками шеллами и т.д.

Замечание модератора:
Эта тема была закрыта автоматически ввиду отсутствия активности в ней на протяжении 100+ дней.
Если Вы считаете ее актуальной и хотите оставить сообщение, то воспользуйтесь кнопкой
или обратитесь к любому из модераторов.


--------------------
Предоставляю услуги: Content Downloader - настройка парсера для любого сайта. (опыт с 2011 г.)
Наполнение магазинов товарами: Opencart, SimplaCMS, Webasyst и т.д.


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Горячая тема (нет новых ответов) AviTool - мощный инструмент для автоматизации работы с Avito
58 Shadow 33906 Вчера, 16:48
автор: Shadow
Открытая тема (нет новых ответов) Где можно купить подписчиков для Viber-канала?
0 GlazunOFF 373 26.5.2018, 15:56
автор: GlazunOFF
Открытая тема (нет новых ответов) Сборка WP для сайтов знакомств, объявлений, каталогов и т.д.
6 Seodjo 4198 25.5.2018, 16:04
автор: Seodjo
Горячая тема (нет новых ответов) Программа для instagram Socialkit
182 socialkit 64361 25.5.2018, 13:09
автор: socialkit
Открытая тема (нет новых ответов) Верстаю для портфолио
5 paradoks0 727 24.5.2018, 19:34
автор: paradoks0


 



RSS Текстовая версия Сейчас: 28.5.2018, 2:12
Дизайн