Задать вопрос
Не нравятся результаты поиска? Попробуйте другой поиск!
DLE FAQ » Все вопросы » Общие вопросы » Как можно залить shell без доступа к админке? Никак же.

Как можно залить shell без доступа к админке? Никак же.

     18.03.2014    Все вопросы » Общие вопросы    5995

вопрос
Прочитал некую инфу на сайте:

Сайты на движке dle нуленном, очень часто подвергаются взломам, так как при кряке создаются, так называемые "дыры", которые позволяют злоумышленникам возможность с легкостью взломать Ваш сайт на движке dle.

Как обычно работают хакеры? Самым распространенным взломом, является взлом через шелы(shell), это, как я понял, файлы, которые могут, попав на сайт(хостинг), выполнять различные функции, в частности красть данные из файлов, таких, как bdconfing.php, и иметь данные к вашей базе данных. Также покупаем увлажнитель воздуха для комнаты от нашего партнёра. По сладким ценам с отличным качеством!

Откуда ждать угрозы? Единственные папки, в которые могут заливать шелы, это /uploads/ и /templates/, так как именно они имеют атрибуты 777(запись, редактирование и тд), которые позволяют нам через админ панель, или при добавлении новостей редактировать их: заливать картинки, менять шаблон, файлы на сервер.

Что нужно предпринять?
1. Создать файл .htaccess
2. Вписать в него:
а)
php_flag engine  off

б)

Order allow,deny
Deny from all

PS, если а) не работает, использовать б)
3. Залить .htaccess в папки /uploads/ и /templates/.


Мучает вопрос:так как без доступа к админке смогут залить shell??
Гуглил - не нашел.

Ответа пока нет

 

9 комментариев

feniks01
Гости

feniks01 - 18 марта 2014 19:58 -

О безопасности заволновался :D
Gopr
Юзер

Gopr - 18 марта 2014 20:40 -

Сохрани прикрепленную картинку к этому комменту и открой через блокнот. Прочитай там последнюю строчку xD

Хм запоганился код... хотя до отправления коммента сохранил себе все норм было.
alexcreew
Юзер

alexcreew - 18 марта 2014 20:03 -

На сколько мне известно, могут через вышеописанные "дыры" ну или стандартным способом (при добавлении новости или загрузке аватарки) заливать картинку, которая на самом деле является не картинкой, а каким-либо скриптом. Тоесть у вас в папке появится файлик "super_photo.jpg" открыв вы её в браузере ничего не увидите, но а запустив ссылку на эту картинку в своей супер-проге, которая умеет обрабатывать такие "чудо-картинки" он (злоумышленик) активирует этот скрипт и он выполняет свою функцию: тырит данные из бд или доступ к админке и тп...
feniks01
Гости

feniks01 - 18 марта 2014 20:13 -

На сайте, только админ и никто другой не может загрузить, если он каким-то волшебным образом окажется в пользователях
DaivZ
Юзер

DaivZ - 18 марта 2014 20:06 -

alexcreew,
картинки пофиксены в 10.1
David
Юзер

David - 18 марта 2014 20:13 -

DaivZ, а в версии 10 ?
dj-avtosh
PHP-developer

dj-avtosh - 19 марта 2014 03:41 -

Вполне могут оказаться всякие CKeditor'ы дырявые. У них там нет проверки на содержание файла, лишь на сигнатуру.

Хакер заливает фотку с php кодом, потом через функцию переименования папки переименовывает изображение в файл с расширением php.

И кстати - не всегда сработает отключение интерпретации php.
По заказам пишем сюда: @Rud00y

ЯД: 41001679231462
Заказы в telegram (ремонт модулей, оптимизация нагрузок и т.п.):
В телегу писать сразу задачу и бюджет.
vitnet
PHP-developer

vitnet - 19 марта 2014 09:46 -

Сайты на движке dle нуленном, очень часто подвергаются взломам, так как при кряке создаются, так называемые "дыры", которые позволяют злоумышленникам возможность с легкостью взломать Ваш сайт на движке dle
Мне вот интересно кто это писал? Какие дыры вы о чем, там всего лишь одну строчку нужно изменить и та только на проверку ключа ;)
Здесь есть другая хитрость
dj-avtosh
PHP-developer

dj-avtosh - 20 марта 2014 07:03 -

По типу хайд линков :D
По заказам пишем сюда: @Rud00y

ЯД: 41001679231462
Заказы в telegram (ремонт модулей, оптимизация нагрузок и т.п.):
В телегу писать сразу задачу и бюджет.
Чтобы комментировать - войдите или зарегистрируйтесь на сайте

Похожие вопросы

 01.10.2011 Mr. Hyde  Общие вопросы
 16.12.2012 german2802  Общие вопросы
 17.12.2012 Гость  Все вопросы, Общие вопросы
 19.03.2013 region029  Общие вопросы
 02.04.2013 burda_a_m  Общие вопросы
 18.09.2013 sahep  Общие вопросы
 23.03.2014 feniks01  Общие вопросы
 27.03.2014 legallaz  Общие вопросы, MySQL
 16.07.2014 yozuul  Общие вопросы
 04.06.2015 zip  Общие вопросы
  • TeraMoune | Как отключить миниатюры стандартной гале ...
    Фото TeraMoune
    TeraMoune
    Как отключить миниатюры стандартной галереи Fancybox?
    Сегодня, 06:00
    В файле engine/classes/fancybox/fancybox.js искать нужную инициализацию и добавлять соответствующие параметры, весь список параметров и их описание можно найти на этой странице https://fancyapps.com/fancybox/api/options/

    Например: параметр Thumbs: false отключает миниатюры.
    Fancybox.bind("[data-highslide]", {
	groupAttr: 'data-highslide',
	idle:2000,
	Thumbs: false,
	caption: (fancybox, slide) => {
		if(  slide.thumbEl && slide.thumbEl.alt ) {
			return slide.thumbEl.alt
		}
	}
});
  • derebas | Как реализовать шифрование трафика? 3
    Фото derebas
    derebas
    Как реализовать шифрование трафика?
    18-11-2024, 16:52
    Ну в теории, можно использовать src на site.com разместить прокси на site2.com а выдавать видео с site3.com, при этом прямой доступ на site3.com закрыть, отдача будет только если запрос с site2.com, таким образом палится только site2.com, НО источник потокового видео, все равно можно увидеть если захотеть, а ссылки, ну купить домен dsac-43efew-csdds.uz как пример
  • Gordi | Перенёс сайт - не работают кнопки, не от ... 8
    Фото Gordi
    Gordi
    Перенёс сайт - не работают кнопки, не отображаются новости. Как вылечить?
    18-11-2024, 14:46
    я уже делал. Пользователь 1000 (это я так понимаю root) и chmod 777
    Так и было...
  • lutskboy | Перенёс сайт - не работают кнопки, не от ... 8
    Фото lutskboy
    lutskboy
    Перенёс сайт - не работают кнопки, не отображаются новости. Как вылечить?
    18-11-2024, 14:39
    чтоб не удалять выстави права и пользователя какие там идут на файлы. .
  • Gordi | Перенёс сайт - не работают кнопки, не от ... 8
    Фото Gordi
    Gordi
    Перенёс сайт - не работают кнопки, не отображаются новости. Как вылечить?
    18-11-2024, 14:37
    т.е. мне снести всё, что я уже загрузил как root, зайти под юзером и закачать снова?
    Видосы в директории upload можно хоть оставить? их там 80 Гб
  • lutskboy | Перенёс сайт - не работают кнопки, не от ... 8
    Фото lutskboy
    lutskboy
    Перенёс сайт - не работают кнопки, не отображаются новости. Как вылечить?
    18-11-2024, 14:17
    фтп обычный юзер а не root
  • Gordi | Перенёс сайт - не работают кнопки, не от ... 8
    Фото Gordi
    Gordi
    Перенёс сайт - не работают кнопки, не отображаются новости. Как вылечить?
    18-11-2024, 14:15
    дэк только так и загружаю
  • Gordi | Как реализовать шифрование трафика? 3
    Фото Gordi
    Gordi
    Как реализовать шифрование трафика?
    18-11-2024, 14:14
    я тоже не понимаю....товарищ один, представитель хостинга сказал, что даже есть модули такие специальные под популярные цмс
  • lutskboy | Перенёс сайт - не работают кнопки, не от ... 8
    Фото lutskboy
    lutskboy
    Перенёс сайт - не работают кнопки, не отображаются новости. Как вылечить?
    18-11-2024, 14:13
    Gordi,
    через фтп загружай
  • Gordi | Перенёс сайт - не работают кнопки, не от ... 8
    Фото Gordi
    Gordi
    Перенёс сайт - не работают кнопки, не отображаются новости. Как вылечить?
    18-11-2024, 14:11
    Привет Николай!
    Всегда загружал от root... посмотришь может? твой плагин тоже не виден ((
    или направь на путь истинный, пжст
наверх