Перейти к публикации

Рекомендованные сообщения

Обращаюсь за советом. Дело в том что ярый фанат моего сайта терроризирует меня, получая доступы к различным аккаунтам. Что мне известно:

1) Пароль он всегда знает. Тоесть не юзает куки, а просто тупо узнает пароль.

2) Когда он ломает сайты, то втихую прописывает некоторым членам команды сайта в профиле собственный емэйл.

3) Я думал он делает это через форму восстановления пароля, я её удалил но взломы продолжаются, возможно потому, что о 2 пункте я узнал недавно и прикрыл его пару часов назад, после чего взломов пока не было.

Собсно спрашиваю всех, как вообще можно просмотреть пароль то? Точнее заказать его себе на мыло, указанное в профиле, от которого ты не знаешь пароль?

Ссылка на сообщение
Поделиться на других сайтах

Была дыра, фикс на которую лежит уже фиг знает сколько :) И информация о баг-фиксах приходит на клиентский мейл, то , что вы не закрыли вовремя - ваша вина

Ссылка на сообщение
Поделиться на других сайтах

Ссылочку можете дать? У меня 8.5. После выхода этой версии баг фиксов не видел.

Изменено пользователем kingkill
Ссылка на сообщение
Поделиться на других сайтах

хм.. если 8.5, даже не знаю. А ставили последние 2 фикса ?

http://dle-news.ru/bags/v85/1037-provedenie-ataki-mezhsajtovogo-skriptinga-xss.html

http://dle-news.ru/bags/v85/1040-nedostatochnaya-filtraciya-vxodyashhix-dannyx.html

Кстати, поменяйте пароли от ФТП, MySQL (скорее всего он 1 раз получил пароль от mysql И через phpMyAdmin дает себе права)

Изменено пользователем kpravda
Ссылка на сообщение
Поделиться на других сайтах

http://dle-news.ru/bags/ :rolleyes:

Ссылка на сообщение
Поделиться на других сайтах

А ставили последние 2 фикса ?

Качал версию 8.5 первого июля,так что думаю с дистрибутивом все ок.

Кстати, поменяйте пароли от ФТП, MySQL

Это не возможно. На сервере стоит защита и через myphpadmin нельзя изменить значения ячеек

Изменено пользователем kingkill
Ссылка на сообщение
Поделиться на других сайтах

Подскажите, почему меня не пускает в админку, когда в admin.php прописываю:

$ip_diapazones=array(

'93.178.',

);


$user_ip_net=explode(".",$_SERVER['REMOTE_ADDR']);

$user_diap=$user_ip[0].'.'.$user_ip[1];


if(!in_array($user_diap,$ip_diapazones)){

$die='<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">

<html><head>

<title>404 Not Found</title>

</head><body>

<h1>Not Found</h1>

<p>The requested URL '.$_SERVER['REQUEST_URI'].' was not found on this server.</p>

<hr>

<address>'.$_SERVER['SERVER_SIGNATURE'].'</address>

</body></html>';

@header( "HTTP/1.0 404 Not Found" );

die( $die ); }

Ип у меня точно такой как указан, проверял и в сервисах и в профиле своем.

Ссылка на сообщение
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...