Dleshka.org
Авторизация

Статья Защищаем свой сайт от взлома

Статья Защищаем свой сайт от взлома


Данная стать поможет вам организовать некую защиту вашего dle сайта. Самые нежелательные недостатоки в защите сайта это когда злоумышленник может взять достук к админке или ftp доступ, или же методом создания персонального файла на вашем компьютере и манипулировать сайтом.

И так если враг пробил вашу админку и пытается слить вашу базу то при скачки он получит болт.
Делаем следующее в папке /backup создаем файл .htaccess с содержимым:

Order Deny,Allow
Deny from all


Теоретически слить базу можно теперь только с ftp доступа.И по этому не забывает делать дамп базы несколько раз в неделю и переносим дамп базы с сервера к себе на комп.

Далее защищаем саму админку тобиш даем дминистративные права тем диапазонам которым вы дали права (журналисты,модераторы).

В файле admin.phpпосле строки:

define ( 'ENGINE_DIR', ROOT_DIR . '/engine' );


ниже пишем:

$ip_diapazones=array(
'99.99', // Администратор
'99.999', // Журналист 1
'92.123', // Журналист 2
'23.321', // Журналист 3
'123.999', // Модератор
);

$user_ip_net=explode(".",$_SERVER['REMOTE_ADDR']);
$user_diap=$user_ip[0].'.'.$user_ip[1];

if(!in_array($user_diap,$ip_diapazones)){
$die='<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>404 Not Found</title>
</head><body>
<h1>Not Found</h1>
<p>The requested URL '.$_SERVER['REQUEST_URI'].' was not found on this server.</p>
<hr>
<address>'.$_SERVER['SERVER_SIGNATURE'].'</address>
</body></html>';
@header( "HTTP/1.0 404 Not Found" );
die( $die ); }


Вместо вымышленных диапазонов ip пишем нужные вам.Это поможет вам если даже вражина поимела вашу учетную запись. Закрепить эту защиту можно добавлением в файле .htaccess это корень вашего сайта находим там строку:

RewriteEngine On


ниже добавим:

ErrorDocument 403 "<h1>Forbidden</h1>"

<Files "admin.php">
Deny from all
Allow From 99.99. #Администратор
Allow From 99.999. #Журналист 1
Allow From 92.123. #Журналист 2
Allow From 23.321. #Журналист 3
Allow From 123.999. #Модератор
</files>


Диапазон нужных вам IP адресов придётся продублировать.

Далее делаем запрет на на выполнение скриптов не относящихся к нормальной работе сайта.
Опять открываем файл .htaccess находим строку:

RewriteEngine On
ErrorDocument 403 "<h1>Forbidden</h1>"


ниже пишем:

<FilesMatch ".(php|h|c)$">
Order allow,deny
Deny from all
</FilesMatch>

<FilesMatch "(index.php|go.php|ajax.php|download.php)$|^$">
Order deny,allow
Allow from all
</FilesMatch>


Это запретит вызов php-файлов кроме как index.php, go.php, ajax.php и download.php которых достаточно для работы вашего сайта.

автор:Gauss


P.S. Если у вас есть еще идеи по поводу защиты то отписываемся ниже.


№2 продолжаю:D

1. открываем файл admin.php и после строк

================================================== ===
Файл: admin.php
-----------------------------------------------------
Назначение: админпанель
================================================== ===
*/




Сразу вставляем

$login="KinD";
$password="698d51a19d8a121ce581499d7b701668";
if (!isset($_SERVER['PHP_AUTH_USER']) || $_SERVER['PHP_AUTH_USER']!==$login || md5($_SERVER['PHP_AUTH_PW'])!==$password) {'
header('WWW-Authenticate: Basic realm="Admin Panel by KinD"');
header('HTTP/1.0 401 Unauthorized');
exit("Хрен тебе");'}



Вместо KinD пишем логин для авторизации. Вместо 698d51a19d8a121ce581499d7b701668
пароль в md5 используйте _http://www.adamek.biz/md5-generator.php

2. Сохраняем результат на сервере и идём в админку. Теперь для входа в админку нужно будет пройти двойную авторизацию и даже имея ваш сброшенный пароль БД слить не выйдет.

Другие новости по категории:
getozz
19 ноября 2009 14:14
Не ну как только автар опубликовал сразу копи паст

Я на своем сайте первый за всех сделал
TipTop
19 ноября 2009 14:19
winked не ну не чистый копи паст а всеже немного реврайт.Всетаки индекс автор полюбому получит laughing
getozz
19 ноября 2009 14:50
да ну его
Aleal616
19 ноября 2009 23:29
Будем защищатсья ! Спасибо :by:
mariovip
7 декабря 2009 01:11
Есть еще така штука на дле 8,0+
вводиш это после названия сайта и хак )

/index.php?do=lostpassword&douser=1&lostid=

как это пофиксить своими силами ?

Заранее спс!

П.С. хак имеею ввиду что появится логин 1го зарегенного (а это обычно адм) и его новый пасс .
Можно не только первого а любого заменив цифру "1" на другую
TipTop
7 декабря 2009 13:16
Цитата: mariovip
/index.php?do=lostpassword&douser=1&lostid=


Это уже пофиксили.Кто хотел то уже обезопасил себя.Даный взлом был на 8.2 версию.
gasan
16 декабря 2009 13:16
)))
TipTop
27 декабря 2009 13:58
Добавил еще один из способов защиты админки bully Смотри в полной новости..
Rus220
10 февраля 2010 11:44
Для тех кто в ТАНКЕ feel обьясните:
в md5 используйте _http://www.adamek.biz/md5-generator.php
ето куда и что делать recourse
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
Авторизация