Cum la spre hack site-uri DLE? Cum de a adăuga script-uri virus atacatori, cod, Shell,, acces back-Dory administrator la DataLife Engine? Cum de a proteja site-ul dvs. de hacking DLE?
Un pericol grav pentru site-urile sub controlul motorului DataLife motorului 10.0 și mai mici decât versiunea pe care dezvoltatorii DLE script-ul, ca și în cazul în care a plecat special, pentru că ei nu știu că este imposibil.
Dar cel mai neplăcut, ceva care dezvoltatorii instalat în secret această protecție la noua versiune a DLE 10.1 și de mai sus, nici măcar informați utilizatorii lor, care au achiziționat această vulnerabilitate care permite atacatorilor să dezumfle întreaga bază de date MySQL sau chiar pentru a face orice modificări în ea.
Deci, dacă aveți un site care rulează versiunea motorului 10.0, 9,8, 9,7, 9,6, 9,5 sau mai jos, și o puteți actualiza din cauza numărului mare de module și hacks, apoi ia în considerare faptul că oricine poate să site-ul dvs. pentru a introduce un nou administrator și de a crea în cazul în care el vrea sa. În același timp, elimina toate acțiunile lor, astfel încât nici măcar nu știu de prezența sa.
Dacă sunteți hacked, ați adăugat un administrator necunoscut mod, script-ul, virusul, cod, și așa mai departe, și nu știi cum a fost făcut, citiți aici răspunsul și soluția la problema de vulnerabilitate a script-ul DataLife Engine 10.0-9.0.
Aici este o cerere RLC simplu în browser:
(Cod În schimb dbconfig.php) poate dezumfla orice fișier PHP, de exemplu, să învețe ce nume ai schimbat admin.php, fișierul config.php Pompat.
PS. Schimbările de nume admin.php pentru a proteja împotriva hackerilor panoul de administrare a motorului (de la brutoforsa etc.)
o astfel de provocare pot obține informații complete din fișierul dbconfig.php în cazul în care sunt stocate datele
define ( "DBNAME", "Numele bazei de date");
define ( "DBPASS", "parola");
Ei bine, cei care știu, oferind phpMyAdmin sau acces deplin la baza de date, cred că înțeleg gravitatea acestui pericol. La urma urmei, în cazul în care puteți face totul: pentru a edita știri, introduceți datele în profilul utilizatorului, pentru a adăuga un script pentru a dezumfle întreaga bază de date, etc. Chiar și șterge fișierul .htaccess oriunde pe motorul dvs., care servește ca o protecție a sistemului de la adăugarea și manipulați fișiere cu PHP.
Ca urmare a acestor modificări, nici măcar nu știu ce a fost făcut cu resursa dumneavoastră dacă observați modificări în mod accidental.
Pentru a elimina acest pericol în DLE 10.0-8.5 procedați după cum urmează:
Descărcați motorul DLE 10.1 sau mai mare, să ia un fișier .htaccess în directorul / motor / clase / min / si arunca-te in acelasi folder.
Sau creați un director / motor / clase / min / fișier .htaccess. și adăugați codul de interior:
Un alt fișier .htaccess ia de 10.1 sau mai mare în directorul / motorului / clase /
Sau creați un director / motor / clase / fișier .htaccess. și adăugați codul de interior:
Este recomandabil să se verifice toate funcțiile motorului și site-ul după adăugarea.
Apropo, această amenințare sunt supuse multe SMS-uri, nu numai DataLife Engine, dar, de asemenea, Joomla, WP, etc. Judecând după mesajele pe Internet. Prin urmare, pentru a nu să aștepte pentru atacatorii vor găsi o nouă oportunitate de a avea acces la baza de date Import Import phpMyAdmin, puteți solicita dvs. de găzduire teh.sluzhbu închide tot afară, inclusiv tu.
Acest lucru se pot face, dacă adăugați un dosar phpMyAdmin fișier .htaccess cu codul interzice accesul la baza de date.
După ce fișierul de bază de date pot fi create în panoul motorului, și apoi descărcați, acesta va fi localizat in / folder / de backup, edita pe un laptop care apoi re-injectat în / folder / copie de rezervă, și apoi setați (butonul pentru a restabili baza de date).
Acum, uita-te la motorul DLE care există modalități diferite de protecție: puteți redenumi fișierul admin.php, setați IP-ul pentru a te inregistra, resetarea parolei, vedeți și cine a folosit admin (de modul în care această protecție poate fi ușor ocolite) și trece peste acest bug.
Acesta este același care creează Supertank cu armura impenetrabil, tot felul de detectare țintă, reflectivitatea, etc. dar pentru a face un rezervor de combustibil din placaj.
Și urât, nu pentru a informa utilizatorii cu privire la vulnerabilitatea versiunilor mai vechi!
Pentru a proteja site-ul de la cei care au ajuns într-un fel de acces la site-ul ca administrator, puteți face următoarele:
1. Instalați toate motor .htaccess CMHD dreapta 444 (atenție nu la fișierele și directoarele de pe motor, dar numai pe fișierul .htaccess sau mai multe stații de lucru)
2. Setați toate fișierele șablon CMHD dreapta 444 (cu excepția foldere). O astfel de protecție nu va permite nimănui să schimbe fișierele șablon, chiar și cu drepturi de administrator, puteți verifica în managementul motorului șablon panoul de administrare.
Aici voi vorbi despre metoda de protecție folosind .htaccess în rădăcina serverului. în cazul în care există un fișier robots.txt pentru a restricționa cauza scăldată Shelley. (când safe_mod)
deschide .htaccess
Adăugați după RewriteEngine On
4. Sau, upgrade de fiecare dată la noua versiune, care nu este convenabil pentru multe! Template-uri DLE pentru 11.2