Перейти к контенту
  • 0

Сказ про то, как ломанул меня добрый кулхацкер.

TIER_FOREVER

Спросил TIER_FOREVER,

 Поделиться

Вопрос

TIER_FOREVER

TIER_FOREVER

Опубликовано
Опубликовано

Ломанул меня добпый кулхацкер, вернее получил админские права и доступ к админке, а потом написал мне в аську м сказал, чтобы я обновился до 2.2, тогда ни он, ни ему подобные, не смогут меня беспокоить. Я спросил, а где дырки в коде на моей версии 2.1.7 и как их исправить, он сказал, что архитектуру IPB не знает, но ломанул вот так: Includ mogno sdelat 4erez eval

 

Отсюда вопрос к ГУРАМ: какой includ и через какой eval?

 

У меня слишком много модов, не хотелось бы обновляться автоматически до 2.2 и сносить тем самым все моды. Подскажите, что знаете. :D

Ссылка на комментарий
Поделиться на других сайтах

14 ответов на этот вопрос

Рекомендуемые сообщения

  • 0
LeeLaNa

LeeLaNa

Опубликовано
Опубликовано
Мне тоже на днях взломали форум. Но ничего не посоветовали ;) Просто прислали новый пароль админа с ехидной улыбкой :D
Ссылка на комментарий
Поделиться на других сайтах
  • 0
Song

Song

Опубликовано
Опубликовано
Ломанул меня добпый кулхацкер, вернее получил админские права и доступ к админке, а потом написал мне в аську м сказал, чтобы я обновился до 2.2, тогда ни он, ни ему подобные, не смогут меня беспокоить. Я спросил, а где дырки в коде на моей версии 2.1.7 и как их исправить, он сказал, что архитектуру IPB не знает, но ломанул вот так: Includ mogno sdelat 4erez eval

 

Отсюда вопрос к ГУРАМ: какой includ и через какой eval?

 

У меня слишком много модов, не хотелось бы обновляться автоматически до 2.2 и сносить тем самым все моды. Подскажите, что знаете. :D

!!! Уязвимость удалённого выполнения команд на сервере от 25 апреля 2006 года

Ссылка на комментарий
Поделиться на других сайтах
  • 0
TIER_FOREVER

TIER_FOREVER

Опубликовано
  • Автор
Опубликовано

Ломанул меня добпый кулхацкер, вернее получил админские права и доступ к админке, а потом написал мне в аську м сказал, чтобы я обновился до 2.2, тогда ни он, ни ему подобные, не смогут меня беспокоить. Я спросил, а где дырки в коде на моей версии 2.1.7 и как их исправить, он сказал, что архитектуру IPB не знает, но ломанул вот так: Includ mogno sdelat 4erez eval

 

Отсюда вопрос к ГУРАМ: какой includ и через какой eval?

 

У меня слишком много модов, не хотелось бы обновляться автоматически до 2.2 и сносить тем самым все моды. Подскажите, что знаете. :D

!!! Уязвимость удалённого выполнения команд на сервере от 25 апреля 2006 года

 

Только на этот код заменить и всё?

 

$this->output = preg_replace( "#(value=[\"']".intval($this->ipsclass->input['lastdate'])."[\"'])#i", "\\1 selected='selected'", $this->output );

 

Спасибо, а были еще серьёзные дырки?

Ссылка на комментарий
Поделиться на других сайтах
  • 0
NtX

NtX

Опубликовано
Опубликовано

Есть такая программка htpasswd. С ее помощью создаем учетную запись с логином/паролем в зашифрованном виде. Полученный файл размещаем в какой-нибудь папочке в которую же помещаем .htaccess с deny from all. А в корне сайта создаем файлик .htaccess со следующим текстом:

**********

<Files ~ "\admin.php$">

AuthName "Administration Zone"

AuthType Basic

AuthUserFile полный_путь_к _папке_от_корня_хостового_сервера/.htpasswd

require valid-user

</Files>

**********

В таком случае для доступа к админским файлам вводится еще один уровень защиты.

 

Для того же, что бы не получили доступ к БД SQL нужно сделать подмену файла config_global (указать в нем перенаправление на реальный конфиг), а реальный config_global разместить в папочке в которую же помещаем .htaccess с deny from all.

 

ИМХО, если все это сделать, то надежность повышается в десятки раз!!!

И меняйте стандартные префиксы в SQL при создании сайтов...

 

Может быть еще кто что добавит?

Ссылка на комментарий
Поделиться на других сайтах
  • 0
tankisteble

tankisteble

Опубликовано
Опубликовано

Тоже хочу извиниться я понял так в папке форума создаем .htpasswd

В нем пароль и логин от админки,в этой же папке .htaccess

с такой записью

<Files ~ "/.htpasswd">

deny from all

</Files>

А в корне форума

.htaccess

с содержымым

<Files ~ "\admin.php$">

AuthName "Administration Zone"

AuthType BasicAuthUserFile полный_путь_к _папке_от_корня_хостового_сервера/.htpasswd

require valid-user

</Files>

Если не прав,а я думаю в начале не прав,то поправте!

Ссылка на комментарий
Поделиться на других сайтах
  • 0
NtX

NtX

Опубликовано
Опубликовано
Все верно, только файлик .htpasswd создается специальной программой htpasswd.exe, при генерации пароля не забываем включить шифрацию MD5. Все подробные настройки описаны вместе с самой программкой.
Ссылка на комментарий
Поделиться на других сайтах

Присоединиться к обсуждению

Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.

Гость
Unfortunately, your content contains terms that we do not allow. Please edit your content to remove the highlighted words below.
Ответить на вопрос...

×   Вы вставили отформатированный текст.   Удалить форматирование

  Допустимо не более 75 смайлов.

×   Ваша ссылка была автоматически заменена на медиа-контент.   Отображать как ссылку

×   Ваши публикации восстановлены.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

Зарузка...
×
 Поделиться
Перейти к списку вопросов
×
×
  • Создать...

Важная информация

Находясь на нашем сайте, вы соглашаетесь на использование файлов cookie, а также с нашим положением о конфиденциальности Политика конфиденциальности и пользовательским соглашением Условия использования.

  Согласен