• DONATE to NULLED!
    Форуму и его команде можно помочь, мотивировать модераторов разделов.
    Помогите модератору этого раздела killoff лично.

Помощь Взлом DLE 8.3

Статус
В этой теме нельзя размещать новые ответы.

yeaahhh

Старатель
Регистрация
8 Май 2008
Сообщения
278
Реакции
11
Привет, ребят. Сегодня на своём сайте обнаружил среди администраторов - нового админа с ником adm1n. Явно был создан через запрос к БД..
В файлике error_log появилась ощибка
PHP:
[23-пЛФ-2010 16:07:33] PHP Warning:  mysqli_fetch_assoc() expects parameter 1 to be mysqli_result, boolean given in /home/indakino/public_html/engine/classes/mysqli.class.php on line 101
Вопрос: какие самые главные возможности получает злоумышленник, если он получает доступ к админке(в частности, может ли он слить бд?)? И как быстрее всего можно найти дыру? Заранее спасибо.
 
бд - конечно. Зашел admin.php?mod=dboption ... сохранил базу и скачал))
 
При сохранении резервной копии через admin.php?mod=dboption, она создаётся в папке backup.. А если там нет бэкапов, то резервной копии создано не было, верно? Значит, взломщику сохранить бд не удалось?
 
Бин такая же беда!!!!! Зашел а там второй админ! Это вообще как у него получилось добавить себя админом??!??!?
 
Дыра какая-то.. У тебя какая версия и вид движка? нулл/лицензия/крякнутая лицензия??
 
-=ZorG=- ну и? что это даст?

Помимо создания самого файла, в него нужно прописать код, который может быть как таким, что разрешает загрузку, так и такой, который запрещает.

Самый правильный:
Код:
Order Deny,Allow
Deny from all
 
удаляете из админки полностью модуль бекапа и никто не сольет базу, при необходимости сливаете бекап через phpmyadmin
удаляете модуль templetes из админки, и никто не задефейсит
ставите заплатки от шеллов и никто точно ничего не сделает
 
Тоже интересует, какие заплатки подразумеваются..
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху