celsoft 6 077 Опубликовано: 13 ноября 2009 Рассказать Опубликовано: 13 ноября 2009 Автор По хорошему счёту данная проблема, в первую очередь, должна волновать не нас ( тех кто купил и пользуется продкутом DLE), а разработчиков. Мы с вами заплатили деньги, купили готовый продукт, проблемы с безопасностью скрипта должны решать разработчики. Вам что не предоставили решение? Да проблемы с безопасности должны решать разработчики, ее решили патч вышел в течении 10 !!!! минут после обнаружения проблемы. В течении 15 минут, всем клиентам было разослано уведомление о проблеме. Мне непонятно какой еще реакции вы ожидаете. Я не снимаю с себя никакой ответственности за ошибку, да я ее допустил, но я обычный человек, я не господь бог. Любой человек может допустить ошибку и степень ответственности определяется тем как на нее реагируют, и я не сидел и не говорил это ваши проблемы и я не знаю в чем баг. Но я не увидел на этом форуме не одного адекватного ответа от разработчиков на вопрос: что могли сделать злоумышленники и как проверить что они натворили на сайте. Ответ был один- они могли сделать то что и вы можете делать в своей админке. Это разве неадекватный ответ? Это четко сформированный и наиболее верный ответ, т.к. это является правдой. А что именно делал человек в вашей админпанели мне неизвестно, т.к. я мыслей людей не читаю и на расстояния не вижу. А вы? 1 Ссылка на сообщение Поделиться на других сайтах
planetaknig 0 Опубликовано: 13 ноября 2009 Рассказать Опубликовано: 13 ноября 2009 Кстати управление "к" такими вопросами не занимается Управление "К" МВД России В 1997 г. в Российской Федерации была введена уголовная ответственность за преступления в сфере компьютерной информации; в 1998 г. в МВД России создано специальное подразделение по борьбе с преступлениями в сфере информационных технологий. В настоящее время задачи по выявлению и пресечению данных преступлений решаются управлением "К" ГУСТМ МВД России и подразделениями "К" в субъектах Российской Федерации. На настоящий момент данные специализированные подразделения работают в 81 регионе России. Читайте дальше. http://www.mvd.ru/struct/10000220/10000288/ Ссылка на сообщение Поделиться на других сайтах
djrogoff_ru 0 Опубликовано: 13 ноября 2009 Рассказать Опубликовано: 13 ноября 2009 свежий список: 95.135.91.155 82.207.50.167 193.138.247.180 95.135.15.237 dle-82@yandex.ru 94.143.240.125 googl-man@yandex.ru 92.243.166.243 90.151.189.39 95.133.162.160 77.45.206.120 94.198.54.142 80.252.245.51 188.17.39.219 Ссылка на сообщение Поделиться на других сайтах
PaSSoR 19 Опубликовано: 13 ноября 2009 Рассказать Опубликовано: 13 ноября 2009 свежий список: Ну и что ты с ним предлогаешь сделать? Ссылка на сообщение Поделиться на других сайтах
djrogoff_ru 0 Опубликовано: 13 ноября 2009 Рассказать Опубликовано: 13 ноября 2009 свежий список: Ну и что ты с ним предлогаешь сделать? тебе лично ничего Ссылка на сообщение Поделиться на других сайтах
planetaknig 0 Опубликовано: 13 ноября 2009 Рассказать Опубликовано: 13 ноября 2009 Только закончил анализировать логи. Меня славо богу спас от слива базы .htaccess сделаный когдато на backup директорию. Когда то еще додумался сделать его когда появились переборщики имен backup файлов. Я хотел бы рекомендовать разработчику dle вообще предусмотреть админку на ssl. Много кто бы Вам спасибо сказал. Ссылка на сообщение Поделиться на других сайтах
pagemaster 1 Опубликовано: 13 ноября 2009 Рассказать Опубликовано: 13 ноября 2009 (изменено) да я ее допустил, но я обычный человек, я не господь бог. На чернобыльской АЭС тоже ошибку допустили до сих пор не разгребсти S.T.A.L.K.E.R. Изменено 13 ноября 2009 пользователем pagemaster Ссылка на сообщение Поделиться на других сайтах
WWW.ZEOS.IN 1 161 Опубликовано: 13 ноября 2009 Рассказать Опубликовано: 13 ноября 2009 Меня славо богу спас от слива базы .htaccess сделаный когдато на backup директорию.Я вообще считаю, что данный файл должен быть по умолчанию в DLE и убрать из DLE функцию выкачки базы данных из админки. По FTP зашел и слил базу, если надо. А в админке надо только или делать бекап или восстанавливать его. Ссылка на сообщение Поделиться на других сайтах
PaSSoR 19 Опубликовано: 13 ноября 2009 Рассказать Опубликовано: 13 ноября 2009 WWW.ZEOS.IN, нее, вот тут ты не прав. Не удобно будет в фтп шастать и залазить.. Ссылка на сообщение Поделиться на других сайтах
zimka 1 Опубликовано: 13 ноября 2009 Рассказать Опубликовано: 13 ноября 2009 А вообще эту тему нужно было создавать в закрытом топике Ссылка на сообщение Поделиться на других сайтах
Al-x 7 Опубликовано: 13 ноября 2009 Рассказать Опубликовано: 13 ноября 2009 Я вообще считаю, что данный файл должен быть по умолчанию в DLE и убрать из DLE функцию выкачки базы данных из админки. Я на всякий пожарный вообще руками удаляю файлы редактирования шаблонов, файл оптимизации бд и ещё некоторые. Вы тут всё обсуждали про доп защиту admin.php. Она есть и делается следующим образом: ищите у себя на хостинге паролирование директорий и файлов и ставите пароль. Только как это сделать с дле я пока затрудняюсь ответить, т.к. сам применяю несколько иные меры. А никакие переименования или блокировка по IP не поможет. На то он и сброс пароля - чтобы можно было войти на сайт, если потреяется пароль или сменится ip. Ссылка на сообщение Поделиться на других сайтах
WWW.ZEOS.IN 1 161 Опубликовано: 13 ноября 2009 Рассказать Опубликовано: 13 ноября 2009 Я на всякий пожарный вообще руками удаляю файлы редактирования шаблоновВот был бы признателен, если бы рассказал, что удалить, чтобы через админку DLE нельзя было просматривать шаблоны. Не редактировать, а именно вообще не выдеть шаблоны и его исходный код. Ссылка на сообщение Поделиться на других сайтах
IgorA100 90 Опубликовано: 13 ноября 2009 Рассказать Опубликовано: 13 ноября 2009 А вообще эту тему нужно было создавать в закрытом топике Вообще-то не все клиенты имеют доступ к закрытому топику... Ссылка на сообщение Поделиться на других сайтах
celsoft 6 077 Опубликовано: 13 ноября 2009 Рассказать Опубликовано: 13 ноября 2009 Автор Вот был бы признателен, если бы рассказал, что удалить, чтобы через админку DLE нельзя было просматривать шаблоны. Не редактировать, а именно вообще не выдеть шаблоны и его исходный код. В файле .htaccess <Files "admin.php"> order deny,allow Deny from all Allow from 11.11.11.11 Allow from 22.22. </files>[/code] где admin.php имя файла админпанели, 11.11.11.11 ip которого разрешен доступ, 22.22. подсеть с которого разрешен доступ если например IP динамический. Ссылка на сообщение Поделиться на других сайтах
WWW.ZEOS.IN 1 161 Опубликовано: 13 ноября 2009 Рассказать Опубликовано: 13 ноября 2009 Класс, спасибо )) Ссылка на сообщение Поделиться на других сайтах
MasterUA 1 Опубликовано: 13 ноября 2009 Рассказать Опубликовано: 13 ноября 2009 да я ее допустил, но я обычный человек, я не господь бог. На чернобыльской АЭС тоже ошибку допустили до сих пор не разгребсти S.T.A.L.K.E.R. имхо, бред... нашли, что сравнить это раз, и два: можно подумать Вы никогда не допускали ошибку Ссылка на сообщение Поделиться на других сайтах
WWW.ZEOS.IN 1 161 Опубликовано: 13 ноября 2009 Рассказать Опубликовано: 13 ноября 2009 (изменено) А можно как-то прописать несколько файлов в одном правиле? <Files "admin.php, autobackup.php"> Order Deny,Allow Deny from all Allow from 123.123.123.123 </Files> Или для каждого файла надо отдельно прописывать такое правило? Изменено 13 ноября 2009 пользователем WWW.ZEOS.IN Ссылка на сообщение Поделиться на других сайтах
pagemaster 1 Опубликовано: 13 ноября 2009 Рассказать Опубликовано: 13 ноября 2009 (изменено) Социальная Сеть 3.2 (14:31): Good afternoon. Who? No, and you in what occasion? Супер Начо (14:34): You in hackers have written down 14:40 уже свалил из аськи Изменено 13 ноября 2009 пользователем pagemaster Ссылка на сообщение Поделиться на других сайтах
zimka 1 Опубликовано: 13 ноября 2009 Рассказать Опубликовано: 13 ноября 2009 А вообще эту тему нужно было создавать в закрытом топике Вообще-то не все клиенты имеют доступ к закрытому топику... Почему? Ссылка на сообщение Поделиться на других сайтах
zeta777 3 Опубликовано: 13 ноября 2009 Рассказать Опубликовано: 13 ноября 2009 (изменено) по поводу http://forum.xeka.ru/f58/t1669/ - можно ли в качестве временной меры залить в версию 8.2 файл engine/init.php от 8.3? Так как сейччас обновляться времени ну никак нет. Или давайте уже патч какой-нить для этого файлы версии 8.2 Кстати, у меня четыре лицензии dle на двух email-ах - ни на одни из них никакого письма до сих пор не приходило... Узнала об уязвимости, когда взломали... Вот так вот, а столько лет абсолютно доверяла dle Изменено 13 ноября 2009 пользователем zeta Ссылка на сообщение Поделиться на других сайтах
celsoft 6 077 Опубликовано: 13 ноября 2009 Рассказать Опубликовано: 13 ноября 2009 Автор Или давайте уже патч какой-нить для этого файлы версии 8.2 Какой вам патч нужен? Это не является уязвимостью, и ничего с вашим сайтом не случиться, это обычная ошибка и не более того. Обычные ошибки исправляются планово с выходом новой версии скрипта. Новая версия вышла, можете обновлять и устранить ошибку. Ссылка на сообщение Поделиться на других сайтах
IgorA100 90 Опубликовано: 13 ноября 2009 Рассказать Опубликовано: 13 ноября 2009 Почему? Ну не знаю, кажется туда пускают либо тех кто владеет пожизненной лицензией, либо тех, кто оплатил тех поддержку. Ссылка на сообщение Поделиться на других сайтах
WMDrakon 20 Опубликовано: 13 ноября 2009 Рассказать Опубликовано: 13 ноября 2009 Почему? Ну не знаю, кажется туда пускают либо тех кто владеет пожизненной лицензией, либо тех, кто оплатил тех поддержку. Вы полностью правы. Ссылка на сообщение Поделиться на других сайтах
zeta777 3 Опубликовано: 13 ноября 2009 Рассказать Опубликовано: 13 ноября 2009 Это не является уязвимостью, и ничего с вашим сайтом не случиться, это обычная ошибка и не более того то есть это не критично? Вы уверены, что ничего не случится? Знаете, после вчерашнего как-то неуютно уже становится Ссылка на сообщение Поделиться на других сайтах
celsoft 6 077 Опубликовано: 13 ноября 2009 Рассказать Опубликовано: 13 ноября 2009 Автор то есть это не критично? Вы уверены, что ничего не случится? абсолютно уверен. Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения