Перейти к публикации

Рекомендованные сообщения

<Files "*.sql">

Deny from all

</Files>

<Files "*.gz">

Deny from all

</Files>

Лажа, проверил, БД можно стянуть. Как себя обезопасить на будущее? Может быть, стоит сделать новость и предупредить людей, чтобы пароли сменили?

Изменено пользователем Mr.Smith
Ссылка на сообщение
Поделиться на других сайтах

Может быть, стоит сделать новость и предупредить людей, чтобы пароли сменили?

не нужно, пароли узнать было нельзя

Как себя обезопасить на будущее?

От чего?

Я так понял тем у кого 8.3, париться не надо, да?

Как хорошо что с выходом 8.3, сразу обновился... =))

нет не нужно

Ссылка на сообщение
Поделиться на других сайтах

Слили БД, что из нее могут взять для себя злоумышленники? Пользователям, у которых слили БД нужно что-нибудь предпринимать теперь?

Вроде ясно написал, попробую снова. Что сделать, чтобы БД можно было слить только через ФТП, это реально? т.к. решение предложенное на первой странице темы не работает, я проверил.

Изменено пользователем Mr.Smith
Ссылка на сообщение
Поделиться на других сайтах

Mr.Smith,

да ничего они оттуда не стянут кроме ваших новостей..

составят списки мейлов и асек для спама :lol:

Ссылка на сообщение
Поделиться на других сайтах

Что сделать, чтобы БД можно было слить только через ФТП, это реально?

Конечно реально, давно я уже писал как это сделать на форуме. добавляете в папку .htaccess

Order Deny,Allow
Deny from all[/code]

Ссылка на сообщение
Поделиться на других сайтах

Как вы все узнаёте, что базу стянули? У меня, например, только завтра будут логи хостера и я смогу увидеть были ли обращения к админке с других IP :unsure:

Интересно, тем у кого стоит блокировка по IP в админке DLE, тоже могли сменить пароль? Или сменить пароль можно было только с моего IP, если стоит блокировка? :(

Ссылка на сообщение
Поделиться на других сайтах

Как вы все узнаёте, что базу стянули? У меня, например, только завтра будут логи хостера и я смогу увидеть были ли обращения к админке с других IP :unsure:

Интересно, тем у кого стоит блокировка по IP в админке DLE, тоже могли сменить пароль? Или сменить пароль можно было только с моего IP, если стоит блокировка? :(

посмотри бэкапы БД, в частности дату создания...

Ссылка на сообщение
Поделиться на других сайтах

Блин, у меня тоже сегодня были "гости" 2 раза сделали базу в разное время, на фтп видны созданые базы и когда заходил "админ" но у меня в папке backup там htaccess написано следующее:

<FilesMatch ".*">

Order allow,deny

Deny from all

</FilesMatch>

<FilesMatch "\.(avi|mp3|mp4|flv|swf|wmv)$|^$">

Order deny,allow

Allow from all

</FilesMatch>

celsoft они всё же могли скачать базу?

Хотя я пробывал у меня не скачивается. :P

Ссылка на сообщение
Поделиться на других сайтах

А официальный сайт не ломали? Потому что взломаны походу очень многие сайты, если вобще не все. Откуда могли взять список сайтов?

Ссылка на сообщение
Поделиться на других сайтах

А официальный сайт не ломали?

Нет. Как и любые другие, которые использую актуальную версию скрипта.

Ссылка на сообщение
Поделиться на других сайтах

Я так понимаю, если в .htaccess будет прописано:

Order Deny,Allow

Deny from all

То из админке DLE:

1) Нельзя будет сделать бекап

2) Нельзя будет его скачать

3) Нельзя будет его восстановить

Это тоже не удобно :(

Всё равно тот, кто имеет доступ в админку, может разрешить закачку php файлов, залить шел, и потом зайти в dbconfig.php, чтобы узнать логин и пароль от базы данных :(

Или же в шаблонах прописать подключение php файла {include file="/mymod.jpg"} и на сайт залить картинку jpg, где внутри будет прописан нужный php код :(

Ссылка на сообщение
Поделиться на других сайтах

1) Нельзя будет сделать бекап

можно

2) Нельзя будет его скачать

нельзя

3) Нельзя будет его восстановить

можно

Всё равно тот, кто имеет доступ в админку, может разрешить закачку php файлов, залить шел, и потом зайти в dbconfig.php, чтобы узнать логин и пароль от базы данных

невозможно

Или же в шаблонах прописать подключение php файла {include file="/mymod.jpg"} и на сайт залить картинку jpg, где внутри будет прописан нужный php код

невозможно

Ссылка на сообщение
Поделиться на других сайтах

celsoft они всё же могли скачать базу?

Всё, что ты сам можешь сделать из своей админки, то мог сделать и злоумышленник... Конечно могли. Смотри, когда резервные копии были сделаны последний раз.

Сегодня тоже не мог зайти на сайт по свим паролем. Восстановил через почту))) Были некоторые сомнения, но я забил на это дело. Сейчас наткнулся на этот топик... Тут же по FTP проверил, когда были сделаны бекапы... В общем, у меня базу слили два раза. Причём, один раз без сжатия, второй с сжатием)))) :rolleyes: На базу-то пофиг, по большому счёту. А вот, как бы в коде никаких изменений не было сделано... Только это напрягает. Знать бы ещё, как проверить.

Ссылка на сообщение
Поделиться на других сайтах

Что сделать, чтобы БД можно было слить только через ФТП, это реально?

Конечно реально, давно я уже писал как это сделать на форуме. добавляете в папку .htaccess

Order Deny,Allow

Deny from all

Странно, создал .htaccess, проверил, БД сливается через браузер, что не так?

Ссылка на сообщение
Поделиться на других сайтах

Странно, создал .htaccess, проверил, БД сливается через браузер, что не так?

Сервер. Пишите хостинг провайдеру, у вас не работает ограничение доступа.

Ссылка на сообщение
Поделиться на других сайтах

Mr.Smith, вижу новый бекап базы: **********_2009-11-12_01-27.sql

У меня на сайте вообще из контента ничего нет, так что воровать базу небыло вообще никакого смысла. Но кто-то в 01:27 ночи сделал бекап :blink:

Ссылка на сообщение
Поделиться на других сайтах

Всё, что ты сам можешь сделать из своей админки, то мог сделать и злоумышленник... Конечно могли. Смотри, когда резервные копии были сделаны последний раз.

И что я как админ не могу собственную базу слить, я спрашивал могли бы это обойти.

Ссылка на сообщение
Поделиться на других сайтах

Но кто-то в 01:27 ночи сделал бекап

У меня в 3.05 ))) Ночной вор баз данных...

Что-то не похоже, при такой массовости, что он это всё ручками проделывал.

Конечно реально, давно я уже писал как это сделать на форуме. добавляете в папку .htaccess

Order Deny,AllowDeny from all

Спасибо, работает.

Ссылка на сообщение
Поделиться на других сайтах

там создается DUMP SQL File

Открыть с помощью WinRar

Ссылка на сообщение
Поделиться на других сайтах

У меня на сайте вообще из контента ничего нет, так что воровать базу небыло вообще никакого смысла. Но кто-то в 01:27 ночи сделал бекап

Юзеры были? База емайлов асек для рассылки , захэшированные пароли.

Это очень плохой баг вскрылся :(

Ссылка на сообщение
Поделиться на других сайтах

Mr.Smith, вижу новый бекап базы: **********_2009-11-12_01-27.sql

У меня на сайте вообще из контента ничего нет, так что воровать базу небыло вообще никакого смысла. Но кто-то в 01:27 ночи сделал бекап :blink:

Ясно что это делалось не руками, подготовлено все было заранее и очень основательно.

У меня на сайте вообще из контента ничего нет, так что воровать базу небыло вообще никакого смысла. Но кто-то в 01:27 ночи сделал бекап

Юзеры были? База емайлов асек для рассылки , захэшированные пароли.

Это очень плохой баг вскрылся :(

Очень плохой баг.. Не похоже на dle

Ссылка на сообщение
Поделиться на других сайтах
Гость
Эта тема закрыта для публикации сообщений.
×
×
  • Создать...