Перейти к публикации

Рекомендованные сообщения

Вниманию всех пользователей версии 8.2 (другие версии скрипта уязвимости не подвержены)

В версии 8.2 обнаружена серьезная ошибка, приводящая к потери контроля над сайтом. Всем незамедлительно нужно скачать исправление бага http://dle-news.ru/bags/v82/789-nedostatochnaya-filtraciya-vxodyashhix-dannyx.html

Приношу свои извинения за столь досадную ошибку в скрипте.

Ссылка на сообщение
Поделиться на других сайтах

Случайным образом в финальный дистрибутив версии 8.2 попал файл из ранней стадии разработки 8.2 :( Это файла изначально там быть не должно, поэтому и нет уязвимости в старых версиях и актуальной версии 8.3

Ссылка на сообщение
Поделиться на других сайтах

celsoft, если можно, то напишите по подробнее, что мог сделать злоумышленник? Нужно ли менять пароли всем пользователям сайта, пароль от фтп и тд...

Могли ли слить базу, при условии что в папке backup у меня лежит .htaccess с кодом:

<Files "*.sql">

Deny from all

</Files>

<Files "*.gz">

Deny from all

</Files>

P.S. меня это интересует, так как сегодня я дважды не мог зайти на свой сайт из за "неверного" пароля .

Изменено пользователем Mek
Ссылка на сообщение
Поделиться на других сайтах

celsoft, если можно, то напишите по подробнее, что мог сделать злоумышленник?

Если папка была закрыта, то бекапы слить не могли. А вообще можно сделать все что вы можете сами сделать в своей админпанели

  • Поддерживаю 2
Ссылка на сообщение
Поделиться на других сайтах

Спасибо за оперативность :rolleyes:

Я так понял изменения только в двух строчках :rolleyes:

Изменено пользователем WWW.ZEOS.IN
Ссылка на сообщение
Поделиться на других сайтах

Разослал сообщение всем кому смог :rolleyes:

Ссылка на сообщение
Поделиться на других сайтах

Очень неприятно, всю ночь сидел думал что баги в другом месте а оказалось все таки в скрипте, не ожидал.

базу слили..тоже не радует.

Ссылка на сообщение
Поделиться на других сайтах

Меня тоже ломанули и по всей видимости слили базу, вот попадос...

Чтоб не слили базу, нужно в папке backup создать файл .htaccess с кодом:

<Files "*.sql">

Deny from all

</Files>

<Files "*.gz">

Deny from all

</Files>

В таком случаи базу можно будет слить только через фтп

Изменено пользователем Mek
Ссылка на сообщение
Поделиться на других сайтах

мой сайт тоже был сегодня взломан - как админ не мог зайти.

через обратную связь доступ восстановил, патч установил...

осталось выяснить, что юные хакеры могли натворить...

Ссылка на сообщение
Поделиться на других сайтах

мой сайт тоже был сегодня взломан - как админ не мог зайти.

через обратную связь доступ восстановил, патч установил...

осталось выяснить, что юные хакеры могли натворить...

Такая же фигня... Как это можно сделать ?

Нашёл только один способ- на фтп посмотреть какие файлы были изменены за последнее время.

Ссылка на сообщение
Поделиться на других сайтах

Хорошо, что у меня 8.0 стоит пока))) А то тут какоие-то массовые взломы пошли. Свиной грипп отдыхает :)

Ссылка на сообщение
Поделиться на других сайтах

кстати на такие случаи может быть в след версии появится функция "последнии действия админа или других журналистов /редакторов", было бы очень удобно.

  • Поддерживаю 1
Ссылка на сообщение
Поделиться на других сайтах

А вообще каким путём злоумышленники сливали себе базу?!

Эта ошибка позволяет сбросить администраторский пароль на другой и зайти в админпанель.

Ссылка на сообщение
Поделиться на других сайтах

Заходили в админку DLE и так же как администратор делали бекап и скачивали :rolleyes:

имхо

Ссылка на сообщение
Поделиться на других сайтах

Ну так для этого надо было восстановить/знать пароль администратора :huh:

Ну так что сейчас мешает узнать пароль админа, зайти и слить?)

Ссылка на сообщение
Поделиться на других сайтах

Ну так для этого надо было восстановить/знать пароль администратора

Ну так что сейчас мешает узнать пароль админа, зайти и слить?)

Узнать пароль было нельзя, но его можно было сбросить на другой. Опубликованный фикс, закрывает эту проблему.

Ссылка на сообщение
Поделиться на других сайтах

guusr, блин логично...

celsoft, ясно.., но всё же не понятно как именно.

Изменено пользователем PaSSoR
Ссылка на сообщение
Поделиться на других сайтах

Мне кажется, надо разослать всем сообщение, кто купил лицензию, на емейл указанный при регистрации :rolleyes:

  • Поддерживаю 1
Ссылка на сообщение
Поделиться на других сайтах

celsoft, ясно.., но всё же нпонятно как именно.

Зачем вам знать как? Честному человеку это не нужно.

Ссылка на сообщение
Поделиться на других сайтах
Гость
Эта тема закрыта для публикации сообщений.
×
×
  • Создать...