Хак Защита админки в DLE

Тема в разделе "DLE", создана пользователем fumofuuu, 28 ноя 2012.

Информация :
Актуальная версия DataLife Engine 11.3
( Final Release v.11.3 | Скачать DataLife Engine | Скачать 11.3 demo )
Нужно ли обновляться | Как обновиться | Изменения в шаблонах
> Нет русских символов <
[Приватная тема DLE (Все подробности в ЛС к модератору раздела)]

Версии 11.2 и ниже - уязвимы!

Локализации | F.A.Q. | Внешний вид
Правила раздела | Правила форума
Обсуждение хайда карается баном!
В каждом сообщении указывайте версию DLE, которого они касаются!
Статус темы:
Закрыта.
Модераторы: killoff
  1. fumofuuu

    fumofuuu

    Регистр.:
    24 сен 2011
    Сообщения:
    280
    Симпатии:
    125
    Собственно защита адинки в DLE

    Защита сгодится для параноиков.:alko:
    Можно убрать проверку по IP, если у вашего персонала динамический IP.
    И сказать с какой страницы можно зайти в админку.

    PHP:
    if ($_SERVER[REMOTE_ADDR] != "1.2.3.4" && $_SERVER[REMOTE_ADDR] != "5.6.7.8")    { //в админку пускает только с IP, смените на свой IP
        
    header('Location: http://google.ru');  //отправляем в гугл, можно сделать перенаправление на главную страницу
        
    exit;
    }    else {
    //Защита по Реферу
    if ($_COOKIE['i777'] != "http://site.ru/1-best-news.html")    {  //проверяем куку реферера, если нету или не равна, то присваевам её.
    if ($_SERVER['HTTP_REFERER'] != "http://site.ru/1-best-news.html")    { //в админку пускает только если реферер http://site.ru/1-best-news.html, нужно изменить на свою страницу(любую)
        
    header('Location: http://google.ru'); //отправляем в гугл, можно сделать перенаправление на главную страницу
        
    exit;
    }    else    {
        
    SetCookie'i777'$_SERVER['HTTP_REFERER'], time() + 3600*6); //присваеваем куку на 6 часов, чтоб можно было лазить по админке свободно
    }}}
    // Двойной логин
    $login="BE4Fm739vE7fpaRm"//Логин2
    $password="81dc9bdb52d04dc20036dbd8313ed055"//пароль в MD5 воспользуемся сайтом md5.cz
    if (!isset($_SERVER['PHP_AUTH_USER']) || $_SERVER['PHP_AUTH_USER']!==$login || md5($_SERVER['PHP_AUTH_PW'])!==$password) {
    header('WWW-Authenticate: Basic realm="Admin Panel"');
    header('HTTP/1.0 401 Unauthorized');
    exit(
    "Access Denied");}
    // Двойной логин
    Можно также сменить имя файла admin.php, например T4uZ9ZHM8xYV6922.php
     
  2. spiderbuber

    spiderbuber

    Заблокирован
    Регистр.:
    20 июл 2009
    Сообщения:
    237
    Симпатии:
    61
    PHP:
    if ($_SERVER[REMOTE_ADDR] != "1.2.3.4" && $_SERVER[REMOTE_ADDR] != "1.2.3.4") {
    Какой смысл одинакового условия?
    Может лучше так:
    PHP:
     if ($_SERVER[REMOTE_ADDR] != "1.2.3.4") { 
    Хотя, наверное, имелось ввиду перечисление нескольких ИП адресов для доступа..
     
  3. fumofuuu

    fumofuuu

    Регистр.:
    24 сен 2011
    Сообщения:
    280
    Симпатии:
    125
    Верно, это как пример для двух IP, можно по примеру сделать несколько IP для своего персонала.
     
  4. SuperSergey

    SuperSergey Создатель

    Регистр.:
    10 дек 2012
    Сообщения:
    10
    Симпатии:
    1
    Сорри за оффтоп, а если запретить регистрацию пользователей DLE 9.6 - сохраняется ли риск взлома движка? Или он очень мал?
     
  5. Горбушка

    Горбушка Ищу её...

    Регистр.:
    2 май 2008
    Сообщения:
    3.175
    Симпатии:
    2.195
    Никак не влияет. В регистрации как раз уязвимость нет - её уже проверили перепроверили на низ :)

    Но естественно, это снизит вероятность взлома, т.к. банально меньше пользователей на сайте будет.

    И опять же, на данный момент ни одной уязвимости в дле нет.
     
  6. Slavutich

    Slavutich Постоялец

    Регистр.:
    29 ноя 2010
    Сообщения:
    122
    Симпатии:
    34
    По теме..а чем это не устраивает? работает на все 100...
    Перейти по ссылке
    Риск всегда есть, если вы используете кривые/дырявые модули.
     
  7. fumofuuu

    fumofuuu

    Регистр.:
    24 сен 2011
    Сообщения:
    280
    Симпатии:
    125
    то что вы скинули, это фейк админка. А то что под хайдом защита.
    В принципе тоже как идея, через пару дней переделаю защиту, чтоб было более менее прикольно.
     
  8. amf0154

    amf0154 Создатель

    Регистр.:
    16 дек 2012
    Сообщения:
    20
    Симпатии:
    2
    а кто пробавал закрыть доступ к admin.php через .htaccess ? доступ по ип-адресу сделать и вся защита.
     
  9. Горбушка

    Горбушка Ищу её...

    Регистр.:
    2 май 2008
    Сообщения:
    3.175
    Симпатии:
    2.195
    Флуд прекращаем. Тема создана не для обсуждения всех возможных защит, а для обсуждения конкретной защиты, предложенной ТС.
     
  10. spiderbuber

    spiderbuber

    Заблокирован
    Регистр.:
    20 июл 2009
    Сообщения:
    237
    Симпатии:
    61
    vad23, стоило упомянуть, что нужно поправить Перейти по ссылке на УРЛ своего сайта. Да и есть мод получше этого, который еще и логи пишет + автоматичекси ИП в блек заносит.
    Если найду - выложу..

    UPD: Выложил в отдельной теме.
     
Статус темы:
Закрыта.