Приемы для доп. защиты DataLife Engine от взлома

Сообщение сайта

(Сообщение закроется через 3 секунды)

Здравствуйте, гость (

| Вход | Регистрация )

SEO форум MaulTalk.com > Веб-строительство > Программная часть

Приемы для доп. защиты DataLife Engine от взлома

Опции

pafnyt

Topic Starter

6.11.2011, 16:12; Ответить: pafnyt

Сообщение #1

Бывалый

Группа: User
Сообщений: 285
Регистрация: 29.7.2011
Из: Вьетнам
Поблагодарили: 79 раз
Репутация:

1 вариант. Злоумышленник завладел аккаунтом администратора и получил доступ к панели управления DataLife Engine. Теперь он может: редактировать комментарии/новости, редактировать конфигурационный файл движка, редактировать .TPL и .CSS файлы шаблона.

Решение: переименуем /admin.php, к примеру, в 9tEazy4SXN.php; присвоим .TPL и .CSS файлам шаблона и конфигурационному файлу /engine/data/config.php (CHMOD) 644, это запретит их редактирование как через панель администратора, так и через файловый менеджер.

Примечание: после того, как Вы переименовали admin.php, ни в коем случае не вписываем новое имя файла в настройках движка, иначе оно будет отображаться в панели пользователя.

2 вариант. Злоумышленнику удается залить в папку {THEME} либо в /uploads/ шелл, таким образом, он получает полный контроль над файлами Вашего движка, над Вашей базой данных и, в некоторых случаях, над всем Вашим сервером.

Решение (только для DLE ниже 9.x): поместим в папки /templates/ и /uploads/ файл .htaccess, со следующим содержимым:

<FilesMatch "\.([Pp][Hh][Pp]|[Cc][Gg][Ii]|[Pp][Ll]|[Ph][Hh][Tt][Mm][Ll])\.?">
Order allow,deny
Deny from all
</FilesMatch>

этим действием, мы запретили запуск сторонних скриптов, расположенных в вышеуказанных папках.

3 вариант. Злоумышленник знает название файла для создания резервных копий БД - cron.php, это дает ему возможность "убить" на неопределенное время Вашу БД, тем самым остановить работу сайта. P.S. особенно актуально для сайтов с большим размером базы данных.

Решение: переименуем файл cron.php

4 вариант. Загрузка файлов через /engine/images.php разрешена только группе "Модераторы", злоумышленник завладел аккаунтом одного из модераторов и пытается загрузить файл, что для Вас крайне не желательно.

Решение: в файле /engine/images.php, после <?PHP, помещаем следующий код:

$q_ = array( "login" => "pass" );

if (!isset($_SERVER['PHP_AUTH_USER']) || md5(md5($_SERVER['PHP_AUTH_PW'])) !==  $q_[ $_SERVER['PHP_AUTH_USER'] ] )
{

    header('WWW-Authenticate: Basic realm="Access forbidden!"');
    header('HTTP/1.0 401 Unauthorized');
    exit("Access forbidden!");

}

где login и pass - логин и пароль для доступа, зашифрованные в md5. Эти данные мы можем выдать каждому из модераторов.

- - - - - - - - -

Эта лишь малая часть того, что пришло в голову и с чем я сталкивался. Пишем свои варианты развития событий, с решением подскажу =)

P.S. Если у Вас возникли проблемы с движком DataLife Engine - не можете установить модуль, не получается обновиться, появляется "левый" код, часто взламывают и т.д. и т.п., прошу в PM.

Сообщение отредактировал pafnyt - 6.11.2011, 16:17

Поблагодарили: (2)

elek3k, Schmied

Ответить с цитированием данного сообщения

Ответов (1 - 5)

taxi2008 taxi2008 6.11.2011, 16:18; Сообщений: 2048 Поблагодарили: 475 раз Репутация: 114 Просмотр профиля	6.11.2011, 16:18; Ответить: taxi2008 Сообщение #2
Старожил Группа: Active User Сообщений: 2048 Регистрация: 29.7.2008 Из: Нефтекамск Поблагодарили: 475 раз Репутация: 114	Первые 3 обсуждалось много раз.. 4ый не помню.. P.S. Если у Вас возникли проблемы с движком DataLife Engine - не можете установить модуль, не получается обновиться, появляется "левый" код, часто взламывают и т.д. и т.п., прошу в PM. Установил ping модуль, в итоге при отправке в пинг сервисы не выводиться отчет, точнее вообще ничего не происходит.. Обращался к разработчику - отправил в тех поддержку хостинга, ссылаясь на то, что дело в хостинге.. Обратился в тех поддержку - просто помотали головой и ласково послали.. Есть мысли в чем может быть проблема? Сообщение отредактировал taxi2008 - 6.11.2011, 16:23 -------------------- ХОСТИНГ, на котором держу свои сайты Своим рефералам предоставлю 3 месяца хостинга бесплатно!

pafnyt Topic Starter pafnytTopic Starter 6.11.2011, 16:23; Сообщений: 285 Поблагодарили: 79 раз Репутация: 28 Просмотр профиля	Topic Starter 6.11.2011, 16:23; Ответить: pafnyt Сообщение #3
Бывалый Группа: User Сообщений: 285 Регистрация: 29.7.2011 Из: Вьетнам Поблагодарили: 79 раз Репутация: 28	Первые 3 обсуждалось много раз.. 4ый не помню.. Многие забывают про эти простейшие правила, а некоторые, вообще о них не слышали.

Schmied Schmied 6.11.2011, 16:25; Сообщений: 460 Поблагодарили: 87 раз Репутация: 11 Просмотр профиля	6.11.2011, 16:25; Ответить: Schmied Сообщение #4
Бывалый Группа: User Сообщений: 460 Регистрация: 17.2.2010 Из: UA Поблагодарили: 87 раз Репутация: 11	pafnyt, спасибо, полезная информация. плюсанул тему

pafnyt Topic Starter pafnytTopic Starter 6.11.2011, 16:27; Сообщений: 285 Поблагодарили: 79 раз Репутация: 28 Просмотр профиля	Topic Starter 6.11.2011, 16:27; Ответить: pafnyt Сообщение #5
Бывалый Группа: User Сообщений: 285 Регистрация: 29.7.2011 Из: Вьетнам Поблагодарили: 79 раз Репутация: 28	Установил ping модуль, в итоге при отправке в пинг сервисы не выводиться отчет, точнее вообще ничего не происходит.. Обращался к разработчику - отправил в тех поддержку хостинга, ссылаясь на то, что дело в хостинге.. Ссылку на модуль и на его технические требования. Какой хостер, тариф? Есть мысли в чем может быть проблема? А вообще, тема для обсуждения безопасности движка, а не работоспособности сторонних модулей. Но в любом случае, я постараюсь Вам помочь.

AmoSeo

6.11.2011, 17:07; Ответить: AmoSeo

Сообщение #6

Завсегдатай

Группа: Active User
Сообщений: 525
Регистрация: 10.6.2011
Поблагодарили: 131 раз
Репутация:

Пользуюсь dle начинаяс 4 версии по 9 и "ни единого разрыва" тоесть не единого взлома - благодаря 2. варианту безопасности (запрет на выполнение динамических файлов в папках загрузок) что привел тс.
Остальные кто утверждает что дле дырявое - ну ребятки либо башка дырявая либо с хостером "повезло", в редких случаях недочеты допущены самим разработчиков НО это быстро фиксят такчто следите почаще за багтреком на офф сайте_http://dle-news.ru/bags/ . Дешевые и свежеиспеченные хостинги грешат недостаточной безопастностью, а также нуленные версии дле со сторонних варехзников напичканы всякими линками шеллами и т.д.

Замечание модератора:
Эта тема была закрыта автоматически ввиду отсутствия активности в ней на протяжении 100+ дней.
Если Вы считаете ее актуальной и хотите оставить сообщение, то воспользуйтесь кнопкой

или обратитесь к любому из модераторов.

--------------------

Предоставляю услуги: Content Downloader - настройка парсера для любого сайта. (опыт с 2011 г.)
Наполнение магазинов товарами: Opencart, SimplaCMS, Webasyst и т.д.

Поблагодарили: (1)

pafnyt

« Предыдущая тема · Программная часть · Следующая тема »

1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)

Пользователей: 0

Похожие темы

Тема	Ответов	Автор	Просмотров	Последний ответ
Посоветуйте массажер для спины и шеи	9	Boymaster	859	Сегодня, 13:56 автор: Vmir
Какой % отказов нормален для сайта?	14	Aloof	3341	Сегодня, 13:50 автор: Vmir
Люблю творить! Статьи для вас Копирайтинг- моя жизнь!	312	Zoya83	190638	Сегодня, 7:51 автор: DimonX
Современный сервис для быстрого и безопасного обмена валют.	15	CryptoTims	4942	Вчера, 22:32 автор: CryptoTims
Rebex.io – Ваша инновационная платформа для обмена криптовалюты!	2	Rebex	817	Вчера, 20:04 автор: Rebex

Режим отображения: Переключить на: Стандартный · Линейный · Переключить на: Древовидный

Подписка на тему · Сообщить другу · Версия для печати · Подписка на этот форум

Текстовая версия

Сейчас: 23.4.2024, 14:42

Дизайн