kingkill 7 Опубликовано: 7 августа 2010 Рассказать Опубликовано: 7 августа 2010 Обращаюсь за советом. Дело в том что ярый фанат моего сайта терроризирует меня, получая доступы к различным аккаунтам. Что мне известно: 1) Пароль он всегда знает. Тоесть не юзает куки, а просто тупо узнает пароль. 2) Когда он ломает сайты, то втихую прописывает некоторым членам команды сайта в профиле собственный емэйл. 3) Я думал он делает это через форму восстановления пароля, я её удалил но взломы продолжаются, возможно потому, что о 2 пункте я узнал недавно и прикрыл его пару часов назад, после чего взломов пока не было. Собсно спрашиваю всех, как вообще можно просмотреть пароль то? Точнее заказать его себе на мыло, указанное в профиле, от которого ты не знаешь пароль? Ссылка на сообщение Поделиться на других сайтах
kpravda 102 Опубликовано: 7 августа 2010 Рассказать Опубликовано: 7 августа 2010 Была дыра, фикс на которую лежит уже фиг знает сколько И информация о баг-фиксах приходит на клиентский мейл, то , что вы не закрыли вовремя - ваша вина Ссылка на сообщение Поделиться на других сайтах
kingkill 7 Опубликовано: 7 августа 2010 Рассказать Опубликовано: 7 августа 2010 Автор Ссылочку можете дать? У меня 8.5. После выхода этой версии баг фиксов не видел. Ссылка на сообщение Поделиться на других сайтах
kpravda 102 Опубликовано: 7 августа 2010 Рассказать Опубликовано: 7 августа 2010 хм.. если 8.5, даже не знаю. А ставили последние 2 фикса ? http://dle-news.ru/bags/v85/1037-provedenie-ataki-mezhsajtovogo-skriptinga-xss.html http://dle-news.ru/bags/v85/1040-nedostatochnaya-filtraciya-vxodyashhix-dannyx.html Кстати, поменяйте пароли от ФТП, MySQL (скорее всего он 1 раз получил пароль от mysql И через phpMyAdmin дает себе права) Ссылка на сообщение Поделиться на других сайтах
WWW.ZEOS.IN 1161 Опубликовано: 7 августа 2010 Рассказать Опубликовано: 7 августа 2010 http://dle-news.ru/bags/ Ссылка на сообщение Поделиться на других сайтах
kingkill 7 Опубликовано: 7 августа 2010 Рассказать Опубликовано: 7 августа 2010 Автор А ставили последние 2 фикса ? Качал версию 8.5 первого июля,так что думаю с дистрибутивом все ок. Кстати, поменяйте пароли от ФТП, MySQL Это не возможно. На сервере стоит защита и через myphpadmin нельзя изменить значения ячеек Ссылка на сообщение Поделиться на других сайтах
kingkill 7 Опубликовано: 8 августа 2010 Рассказать Опубликовано: 8 августа 2010 Автор Подскажите, почему меня не пускает в админку, когда в admin.php прописываю: $ip_diapazones=array( '93.178.', ); $user_ip_net=explode(".",$_SERVER['REMOTE_ADDR']); $user_diap=$user_ip[0].'.'.$user_ip[1]; if(!in_array($user_diap,$ip_diapazones)){ $die='<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> <html><head> <title>404 Not Found</title> </head><body> <h1>Not Found</h1> <p>The requested URL '.$_SERVER['REQUEST_URI'].' was not found on this server.</p> <hr> <address>'.$_SERVER['SERVER_SIGNATURE'].'</address> </body></html>'; @header( "HTTP/1.0 404 Not Found" ); die( $die ); } Ип у меня точно такой как указан, проверял и в сервисах и в профиле своем. Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Архивировано
Эта тема находится в архиве и закрыта для публикации сообщений.