DLE - защита сайта от взлома. Основные приёмы - Форум портала FILEBURG.RU

СТАТИСТИКА TОП 5
» Последние новости » Самые отвечаемые темы » Самые популярные новости » Последние сообщения
Album Player 2.1... 09.08.15
Лето На Русском ... 09.08.15
PerfMonitor2 2.0... 09.08.15
Древняя Месопота... 09.08.15
Sergelin - Мебел... 09.08.15
Анекдоты и прико... [187]
Флуд [164]
ИЩУ СКРИПТЫ! [142]
Смешное видео [112]
Ваши предложения... [103]
Cant Turn Back: ... [Просмотров: 67231]
Album Player 2.1... [Просмотров: 46313]
Nikon ViewNX 2.2... [Просмотров: 16804]
HD игры Gameloft... [Просмотров: 15800]
Обои на 3 рабочи... [Просмотров: 12232]
          Тема        Дата, Время  Автор сообщения
Мультплощадка 17.08.17, 21:54
Мне понравился ... 13.08.17, 15:50
Готовим ко дню... 13.08.17, 15:47
Сколько стоят у... 11.08.17, 08:40
PR-VIP.RU: авто... 04.08.17, 11:24
Слушаем музыку ... 04.08.17, 11:23
Скоро в Кино 04.08.17, 11:22
Где взять креди... 27.07.17, 12:08
Полезные ссылки... 21.07.17, 05:48
Платежные систе... 20.07.17, 12:33
» Новые горожане » Лучшие журналисты » Активные форумчане
gis68 21.08.17
Yury 17.08.17
kasenka 15.08.17
lubimov 13.08.17
carterturner 07.08.17
Gunpowder [5844]
nik34 [5455]
pashanpa [4585]
PLAYBOY [4063]
RKIYAN [3914]
Dennis [Постов: 910]
Admin [Постов: 785]
povlark [Постов: 762]
Kayena [Постов: 406]
Navigator [Постов: 352]
Страница 1 из 11
Модератор форума: Admin 
Форум портала FILEBURG.RU » Улица WEB-мастеров » CMS - обсуждение и вопросы » DLE - защита сайта от взлома. Основные приёмы
DLE - защита сайта от взлома. Основные приёмы
Admin
Дата: Воскресенье, 06.11.11, 20:10 | Сообщение1
Мэр
Сообщений: 785
Пользователь №1
ICQ номер: Скрывает :)
Регистрация: 16.06.08
Репутация:
« 159 »
Статус:
Отсутствует
DLE - защита сайта от взлома. Основные приёмы

1 вариант. Злоумышленник завладел аккаунтом администратора и получил доступ к панели управления DataLife Engine. Теперь он может: редактировать комментарии/новости, редактировать конфигурационный файл движка, редактировать .TPL и .CSS файлы шаблона.

Решение: переименуем /admin.php, к примеру, в 9tEazy4SXN.php; присвоим .TPL и .CSS файлам шаблона и конфигурационному файлу /engine/data/config.php (CHMOD) 644, это запретит их редактирование как через панель администратора, так и через файловый менеджер.

Примечание: после того, как Вы переименовали admin.php, ни в коем случае не вписываем новое имя файла в настройках движка, иначе оно будет отображаться в панели пользователя.

2 вариант. Злоумышленнику удается залить в папку {THEME} либо в /uploads/ шелл, таким образом, он получает полный контроль над файлами Вашего движка, над Вашей базой данных и, в некоторых случаях, над всем Вашим сервером.

Решение (только для DLE ниже 9.x): поместим в папки /templates/ и /uploads/ файл .htaccess, со следующим содержимым:

Code
<FilesMatch "\.([Pp][Hh][Pp]|[Cc][Gg][Ii]|[Pp][Ll]|[Ph][Hh][Tt][Mm][Ll])\.?">
      Order allow,deny
      Deny from all
</FilesMatch>


этим действием, мы запретили запуск сторонних скриптов, расположенных в вышеуказанных папках.

3 вариант. Злоумышленник знает название файла для создания резервных копий БД - cron.php, это дает ему возможность "убить" на неопределенное время Вашу БД, тем самым остановить работу сайта. P.S. особенно актуально для сайтов с большим размером базы данных.

Решение: переименуем файл cron.php

4 вариант. Загрузка файлов через /engine/images.php разрешена только группе "Модераторы", злоумышленник завладел аккаунтом одного из модераторов и пытается загрузить файл, что для Вас крайне не желательно.

Решение: в файле /engine/images.php, после

Code
<?PHP


помещаем следующий код:

Code
$q_ = array( "login" => "pass" );

if (!isset($_SERVER['PHP_AUTH_USER']) || md5(md5($_SERVER['PHP_AUTH_PW'])) !==  $q_[ $_SERVER['PHP_AUTH_USER'] ] )
{

       header('WWW-Authenticate: Basic realm="Access forbidden!"');
       header('HTTP/1.0 401 Unauthorized');
       exit("Access forbidden!");

}


где login и pass - логин и пароль для доступа, зашифрованные в md5. Эти данные мы можем выдать каждому из модераторов.

Вот основные базовые методы защиты сайта на DLE от взлома.

Пишем в теме ещё хорошие и эффективные методы защиты от взлома сайтов на этом движке.
silly09
Дата: Воскресенье, 19.03.17, 18:31 | Сообщение2
Гостящий
Сообщений: 11
Пользователь №14110
ICQ номер: Скрывает :)
Регистрация: 18.02.17
Репутация:
« 0 »
Статус:
Отсутствует
Спасибо за труд!

Добавлено (19.03.17, 18:31)
---------------------------------------------
Плюсик. Нагнал))

Форум портала FILEBURG.RU » Улица WEB-мастеров » CMS - обсуждение и вопросы » DLE - защита сайта от взлома. Основные приёмы
Страница 1 из 11
Поиск:
Владельцы и создатели данного сайта не несут ответственность за использование и содержание ссылок и информации, представленных на этом сайте,
а также за возможное игнорирование пользователями коммерческого статуса программного обеспечения, к которому ведут ссылки, представленные на данном сайте.
При копировании материалов активная ссылка на наш форум обязательна!
Design powered by Schmied © 2008-∞ | Используются технологии uCoz