Перейти к контенту
  • 0

Сказ про то, как ломанул меня добрый кулхацкер.

TIER_FOREVER

Спросил TIER_FOREVER,

 Поделиться

Вопрос

TIER_FOREVER

TIER_FOREVER

Опубликовано
Опубликовано

Ломанул меня добпый кулхацкер, вернее получил админские права и доступ к админке, а потом написал мне в аську м сказал, чтобы я обновился до 2.2, тогда ни он, ни ему подобные, не смогут меня беспокоить. Я спросил, а где дырки в коде на моей версии 2.1.7 и как их исправить, он сказал, что архитектуру IPB не знает, но ломанул вот так: Includ mogno sdelat 4erez eval

 

Отсюда вопрос к ГУРАМ: какой includ и через какой eval?

 

У меня слишком много модов, не хотелось бы обновляться автоматически до 2.2 и сносить тем самым все моды. Подскажите, что знаете. :D

Ссылка на комментарий
Поделиться на других сайтах

14 ответов на этот вопрос

Рекомендуемые сообщения

  • 0
LeeLaNa

LeeLaNa

Опубликовано
Опубликовано
Мне тоже на днях взломали форум. Но ничего не посоветовали ;) Просто прислали новый пароль админа с ехидной улыбкой :D
Ссылка на комментарий
Поделиться на других сайтах
  • 0
Song

Song

Опубликовано
Опубликовано
Ломанул меня добпый кулхацкер, вернее получил админские права и доступ к админке, а потом написал мне в аську м сказал, чтобы я обновился до 2.2, тогда ни он, ни ему подобные, не смогут меня беспокоить. Я спросил, а где дырки в коде на моей версии 2.1.7 и как их исправить, он сказал, что архитектуру IPB не знает, но ломанул вот так: Includ mogno sdelat 4erez eval

 

Отсюда вопрос к ГУРАМ: какой includ и через какой eval?

 

У меня слишком много модов, не хотелось бы обновляться автоматически до 2.2 и сносить тем самым все моды. Подскажите, что знаете. :D

!!! Уязвимость удалённого выполнения команд на сервере от 25 апреля 2006 года

Ссылка на комментарий
Поделиться на других сайтах
  • 0
TIER_FOREVER

TIER_FOREVER

Опубликовано
  • Автор
Опубликовано

Ломанул меня добпый кулхацкер, вернее получил админские права и доступ к админке, а потом написал мне в аську м сказал, чтобы я обновился до 2.2, тогда ни он, ни ему подобные, не смогут меня беспокоить. Я спросил, а где дырки в коде на моей версии 2.1.7 и как их исправить, он сказал, что архитектуру IPB не знает, но ломанул вот так: Includ mogno sdelat 4erez eval

 

Отсюда вопрос к ГУРАМ: какой includ и через какой eval?

 

У меня слишком много модов, не хотелось бы обновляться автоматически до 2.2 и сносить тем самым все моды. Подскажите, что знаете. :D

!!! Уязвимость удалённого выполнения команд на сервере от 25 апреля 2006 года

 

Только на этот код заменить и всё?

 

$this->output = preg_replace( "#(value=[\"']".intval($this->ipsclass->input['lastdate'])."[\"'])#i", "\\1 selected='selected'", $this->output );

 

Спасибо, а были еще серьёзные дырки?

Ссылка на комментарий
Поделиться на других сайтах
  • 0
NtX

NtX

Опубликовано
Опубликовано

Есть такая программка htpasswd. С ее помощью создаем учетную запись с логином/паролем в зашифрованном виде. Полученный файл размещаем в какой-нибудь папочке в которую же помещаем .htaccess с deny from all. А в корне сайта создаем файлик .htaccess со следующим текстом:

**********

<Files ~ "\admin.php$">

AuthName "Administration Zone"

AuthType Basic

AuthUserFile полный_путь_к _папке_от_корня_хостового_сервера/.htpasswd

require valid-user

</Files>

**********

В таком случае для доступа к админским файлам вводится еще один уровень защиты.

 

Для того же, что бы не получили доступ к БД SQL нужно сделать подмену файла config_global (указать в нем перенаправление на реальный конфиг), а реальный config_global разместить в папочке в которую же помещаем .htaccess с deny from all.

 

ИМХО, если все это сделать, то надежность повышается в десятки раз!!!

И меняйте стандартные префиксы в SQL при создании сайтов...

 

Может быть еще кто что добавит?

Ссылка на комментарий
Поделиться на других сайтах
  • 0
tankisteble

tankisteble

Опубликовано
Опубликовано

Тоже хочу извиниться я понял так в папке форума создаем .htpasswd

В нем пароль и логин от админки,в этой же папке .htaccess

с такой записью

<Files ~ "/.htpasswd">

deny from all

</Files>

А в корне форума

.htaccess

с содержымым

<Files ~ "\admin.php$">

AuthName "Administration Zone"

AuthType BasicAuthUserFile полный_путь_к _папке_от_корня_хостового_сервера/.htpasswd

require valid-user

</Files>

Если не прав,а я думаю в начале не прав,то поправте!

Ссылка на комментарий
Поделиться на других сайтах
  • 0
NtX

NtX

Опубликовано
Опубликовано
Все верно, только файлик .htpasswd создается специальной программой htpasswd.exe, при генерации пароля не забываем включить шифрацию MD5. Все подробные настройки описаны вместе с самой программкой.
Ссылка на комментарий
Поделиться на других сайтах

Присоединиться к обсуждению

Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.

Гость
Ответить на вопрос...

×   Вы вставили отформатированный текст.   Удалить форматирование

  Допустимо не более 75 смайлов.

×   Ваша ссылка была автоматически заменена на медиа-контент.   Отображать как ссылку

×   Ваши публикации восстановлены.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

Зарузка...
×
 Поделиться
Перейти к списку вопросов
×
×
  • Создать...

Важная информация

Находясь на нашем сайте, вы соглашаетесь на использование файлов cookie, а также с нашим положением о конфиденциальности Политика конфиденциальности и пользовательским соглашением Условия использования.

  Согласен