[Revenant]

Вобщем сегодня обалдел немного, сижу в админке новость обновляю, такой берет и выкидывает меня. Ну думаю хз, зайду снова. Пароль не подходит. Бегом в админку хостера, лезу в бд, сбрасываю пароль. Логинюсь и по быстрому меняю адрес файла с админкой. Вобщем полез обратно в мускул и увидел что это чудо залезло из под оперы мини ip 80.239.242.174. Раньше помню была тема, что как-то ломали с помощью оперы мини. Благо ничего не успели удалить, только авторизация прошла как в журнале написано. Кто что подскажет?нулл от мидтима.антивирус ругается ток на модуль catface, blockpro,referer,ichat и на редактор tiny_mice =/

[MacLeo]

Ну вот тот же referer и дырявый. Да еще и плюс к тому что это нулл. Дле сам по себе не достаточно защищенный двиг, а если ставить на него еще дырявые модули - добра с этого не будет :)

[Revenant]

MacLeo, я что-то не вижу в админке возможность привязать админку к ip. было бы неплохо, у меня статический ип :) и вообще была же какая-то тема с какими-то злодеями взламывающими именно через оперу мини...

[heavig]

Привязать админку к ip можно через htaccess.
Что-то вроде:

Код:

<Files "admin.php">
order deny,allow
   Deny from all
   Allow from *.*.*.*
</files>

[digitfix]

heavig, такой вариант, как я понимаю, подойдет и для других CMS? А для ограничения доступа к папке что указать?
А можно диапазон IP указать? У меня он не статичный, но у провайдера есть диапазон IP которые он выдает, вот его и прописать.

[Sillys]

heavig, Самый удобный способ. Сам им пользуюсь. Можно использовать где угодно.

[Revenant]

heavig,да, годная тема.жалко надо полностью ip а не подсеть.

[heavig]

digitfix,
Да, таким образом можно ограничить доступ к любому файлу в любой CMS. С ограничением доступа к папке никогда не сталкивался, помочь не смогу.. Можно указать свою подсеть:

PHP код:

*.*. 


т.е. только две цифры.

---------- Сообщение добавлено 19:07 ---------- Предыдущее 19:06 ----------

Revenant,
Можно и подсеть. Пример выше.

[CherVal]

А для ограничения доступа к папке что указать?

Положить в папку htaccess с содержанием:

Код:

order deny,allow
deny from all
allow from ip

[Revenant]

heavig,хм пробовал звездочки просто оставить спасибо, теперь норм
кстати на оффсайте появилось описание уязвимости

Развернуть текст

Проблема: Проведение SQL инъекций, в случае игнорирования администратором сайта уведомления в админпанели скрипта, о недопустимости включения на сервере небезопасной настройки register_globals, а также возможность обхода кода безопасности CAPTCHA при регистрации.

Ошибка в версии: 9.7 и все более ранние версии

Степень опасности: Высокая при использовании включенной настройки register_globals, отсутствует при выполнении рекомендаций по отключению данной настройки в настройках сервера. Установка патча тем не менее обязательна для всех, т.к. патч устраняет возможный обход каптчи и другие проблемы.

Для исправления скачайте и скопируйте на свой сервер патч: _http://dle-news.ru/files/dle97_path.zip, данный патч предназначен только для версии 9.7 скрипта. Дистрибутив версии 9.7 обновлен.

Пользователи, использующие более ранние версии скрипта должны внести вручную следующие изменения в файлы скрипта:

1. Откройте файл engine/modules/sitelogin.php и найдите:
$dle_login_hash = "";

Ниже добавьте:
$_TIME = time () + ($config['date_adjust'] * 60);

Далее в этом файле найдите:
if( $member_id['user_id'] ) {

Ниже добавьте:
session_regenerate_id();

Далее в этом файле найдите:
$member_id = $db->super_query( "SELECT * FROM " . USERPREFIX . "_users WHERE user_id='" . intval( $_COOKIE['dle_user_id'] ) . "'" );

Ниже добавьте:
session_regenerate_id();


2. Откройте файл engine/init.php и найдите:
if (in_array ( $_POST['dlenewssortby'], $allowed_sort )) {

Замените на:
if (in_array($_POST['dlenewssortby'], $allowed_sort) AND stripos($find_sort, "dle_sort_") === 0) {


3. Откройте файл engine/modules/functions.php и найдите:
global $tpl;

Ниже добавьте:
if (!class_exists('dle_template')) {
return;
}

[свернуть]