Помощь Взлом DLE 8.3

Тема в разделе "DLE", создана пользователем yeaahhh, 23 окт 2010.

Информация :
Актуальная версия DataLife Engine 11.1
( Final Release v.11.1 | Скачать DataLife Engine | Скачать 11.1 demo )
Нужно ли обновляться | Как обновиться | Изменения в шаблонах
> Нет русских символов <
[Приватная тема DLE (Все подробности в ЛС к модератору раздела)]

Версии 10.0 и ниже - уязвимы!

Локализации | F.A.Q. | Внешний вид
Правила раздела | Правила форума
Обсуждение хайда карается баном!
В каждом сообщении указывайте версию DLE, которого они касаются!
Статус темы:
Закрыта.
Модераторы: killoff
  1. yeaahhh

    yeaahhh

    Регистр.:
    8 май 2008
    Сообщения:
    278
    Симпатии:
    11
    Привет, ребят. Сегодня на своём сайте обнаружил среди администраторов - нового админа с ником adm1n. Явно был создан через запрос к БД..
    В файлике error_log появилась ощибка
    PHP:
    [23-пЛФ-2010 16:07:33PHP Warning:  mysqli_fetch_assoc() expects parameter 1 to be mysqli_resultboolean given in /home/indakino/public_html/engine/classes/mysqli.class.php on line 101
    Вопрос: какие самые главные возможности получает злоумышленник, если он получает доступ к админке(в частности, может ли он слить бд?)? И как быстрее всего можно найти дыру? Заранее спасибо.
     
  2. yavasilek

    yavasilek vasilek_gorbunok

    Регистр.:
    5 окт 2008
    Сообщения:
    1.175
    Симпатии:
    423
    бд - конечно. Зашел admin.php?mod=dboption ... сохранил базу и скачал))
     
  3. -=ZorG=-

    -=ZorG=-

    Регистр.:
    18 авг 2010
    Сообщения:
    262
    Симпатии:
    47
    Чтобы этого не было добавь в папку backup файл .htaccess
     
  4. yeaahhh

    yeaahhh

    Регистр.:
    8 май 2008
    Сообщения:
    278
    Симпатии:
    11
    При сохранении резервной копии через admin.php?mod=dboption, она создаётся в папке backup.. А если там нет бэкапов, то резервной копии создано не было, верно? Значит, взломщику сохранить бд не удалось?
     
  5. Gerami

    Gerami Создатель

    Регистр.:
    2 янв 2009
    Сообщения:
    17
    Симпатии:
    0
    Бин такая же беда!!!!! Зашел а там второй админ! Это вообще как у него получилось добавить себя админом??!??!?
     
  6. yeaahhh

    yeaahhh

    Регистр.:
    8 май 2008
    Сообщения:
    278
    Симпатии:
    11
    Дыра какая-то.. У тебя какая версия и вид движка? нулл/лицензия/крякнутая лицензия??
     
  7. Demon425

    Demon425

    Регистр.:
    9 июл 2008
    Сообщения:
    439
    Симпатии:
    96
    -=ZorG=- ну и? что это даст?

    Помимо создания самого файла, в него нужно прописать код, который может быть как таким, что разрешает загрузку, так и такой, который запрещает.

    Самый правильный:
    Код:
    Order Deny,Allow
    Deny from all
     
  8. BKK

    BKK

    Регистр.:
    21 окт 2009
    Сообщения:
    163
    Симпатии:
    45
    удаляете из админки полностью модуль бекапа и никто не сольет базу, при необходимости сливаете бекап через phpmyadmin
    удаляете модуль templetes из админки, и никто не задефейсит
    ставите заплатки от шеллов и никто точно ничего не сделает
     
  9. Lion18

    Lion18

    Регистр.:
    28 июл 2010
    Сообщения:
    198
    Симпатии:
    10
    А что это?Как сделать?
     
  10. yeaahhh

    yeaahhh

    Регистр.:
    8 май 2008
    Сообщения:
    278
    Симпатии:
    11
    Тоже интересует, какие заплатки подразумеваются..
     
Статус темы:
Закрыта.