Перейти к публикации

Рекомендованные сообщения

http://positive.xa7.ru/

Подскажите как скрыть имя админ-файла (admin.php или другой измененный ) при просмотре исходного кода сайта через браузер?:

<body class="pagebg" OnLoad="display()">

<div id="loading-layer" style="display:none"><div id="loading-layer-text">Загрузка. Пожалуйста, подождите...</div></div>

<script language="javascript" type="text/javascript">

<!--

var dle_root       = '/';

var dle_admin      = 'admin.php';

var dle_login_hash = 'f96fb92ec4d865877f61951c60501c49';

var dle_group      = 1;

var dle_skin       = 'Default';

var dle_wysiwyg    = 'no';

var quick_wysiwyg  = '0';

var dle_act_lang   = ["Да", "Нет", "Ввод", "Отмена"];

var menu_short     = 'Быстрое редактирование';

var menu_full      = 'Полное редактирование';

var menu_profile   = 'Просмотр профиля';

var menu_send      = 'Отправить сообщение';

var menu_uedit     = 'Админцентр';

var dle_info       = 'Информация';

var dle_confirm    = 'Подтверждение';

var dle_prompt     = 'Ввод информации';

var dle_req_field  = 'Заполните все необходимые поля';

var dle_del_agree  = 'Вы действительно хотите удалить? Данное действие невозможно будет отменить';

var dle_del_news   = 'Удалить новость';

var allow_dle_delete_news   = true;

var dle_search_delay   = false;

var dle_search_value   = '';

$(function(){

	FastSearch();

});//-->

</script>

Ссылка на сообщение
Поделиться на других сайтах

1. Файл нужно переименовать в админпанели и на сервере.

2. В исходном коде он виден только администратору.

Ссылка на сообщение
Поделиться на других сайтах

Файл нужно переименовать в админпанели

А вот это совсем не обязательно.

Переименовывать это нужно только для того, чтобы работал тег {admin-link}, если никто кроме админа не заходит в АЦ, тогда можно просто изменить название файла через FTP, и заходить в админку ручками

Ссылка на сообщение
Поделиться на других сайтах

можно просто изменить название файла через FTP, и заходить в админку ручками

При таком варианте не будет работать полное редактирование.

Ссылка на сообщение
Поделиться на других сайтах

При таком варианте не будет работать полное редактирование.

Я для себя отметил многие особенности движка, и это не проблема.

Можно просто по урл увидеть ID новости (cat/1234-opapapa.html)

А дальше уже идти по пути admin.php?mod=editnews&action=editnews&id=1234

Ссылка на сообщение
Поделиться на других сайтах

и нафига такой геморой?

Потому что если стянут Ваш config.php , как это делали раньше на всех версиях и не обновленных 9.0, то узнают месторасположение админки. Еще вопросы? :)

Да и вообще это не гемор, заходите в админку, редактировать новость, любую выбираете, вписываете нужный ID, ентер и все.

Ссылка на сообщение
Поделиться на других сайтах

Потому что если стянут Ваш config.php

Нафига мне Ваша админка, если я у Вас уже конфиг стяну? Тем более конфиг то на месте всегда у всех ;)

заходите в админку, редактировать новость, любую выбираете, вписываете нужный ID, ентер и все.

Вы в админку только новости редактировать ходите? :blink:

Ссылка на сообщение
Поделиться на других сайтах

если я у Вас уже конфиг стяну?

И что вы сделаете с конфигом, если нет админки? Ок, стянете dbconf.php, найдете каким-то образом phpmyadmin, сделаете себя админом, и что дальше?

Вы в админку только новости редактировать ходите?

Дык руками введя урл до админки, все ее функции работать будут, вы хотя бы пробовали сделать то, что мы сейчас обсуждаем?

Ссылка на сообщение
Поделиться на других сайтах

если я у Вас уже конфиг стяну?

И что вы сделаете с конфигом, если нет админки? Ок, стянете dbconf.php, найдете каким-то образом phpmyadmin, сделаете себя админом, и что дальше?

бред.. :lol: автор сам не понимает о чем говорит!

зачем мне админка, если есть у меня аккаунт и пароль -_-

Изменено пользователем 6748222
Ссылка на сообщение
Поделиться на других сайтах

Ок, стянете dbconf.php, найдете каким-то образом phpmyadmin

Вы хоть что то в этом понимаете? Похоже нет... Мне нафиг не нужна будет админка, ещё раз повторяю, если я получу тем более доступ к БД! Получив конфиг и доступ к БД я могу с Вашим сайтом что угодно делать: снести полностью, добавлять свои коды или ссылки в материалы и т.п.

Дык руками введя урл до админки

Ну да, лёгких путей не ищем... :D

вы хотя бы пробовали сделать то, что мы сейчас обсуждаем?

Файлы и т.п. я меняю ещё при установке, есть и более лучшие способы защиты- доступ по паролю с помощью функций хостинга, ограничение по IP к разделам некоторым, да тем же .htaccess. В инете даже по этой теме уже полно материала.

P.S. Файл админки кому надо, вычислят легко, как бы Вы его не переименовывали ;)

Ссылка на сообщение
Поделиться на других сайтах

зачем мне админка, если есть у меня аккаунт и пароль

очередной фейспалм

Вы хоть что то в этом понимаете? Похоже нет... Мне нафиг не нужна будет админка, ещё раз повторяю, если я получу тем более доступ к БД! Получив конфиг и доступ к БД я могу с Вашим сайтом что угодно делать: снести полностью, добавлять свои коды или ссылки в материалы и т.п.

Я скажу лишь одно. БД я смогу перезалить из бекапа, и это не страшно. А вот если есть доступ в админку, можно как минимум залить шелл и идти к соседям. Удаляюсь из темы, доказывать больше ничего не буду :)

P.S. Файл админки кому надо, вычислят легко, как бы Вы его не переименовывали

если нет доступа к фтп, не залит шелл, не прописан файл в конфиге, интересно как вычислить же =)

Ссылка на сообщение
Поделиться на других сайтах

интересно как вычислить же =)

Спросите на соответствующих форумах, ответят, можете даже свой сайт на тест там дать B) думаю будете неприятно удивлены...

Ссылка на сообщение
Поделиться на других сайтах

думаю будете неприятно удивлены...

да ну, у меня все по стандарту :)

Спросите на соответствующих форумах, ответят

ну дык если вы не знаете, зачем же тогда говорите? =(

p.s.

ну все, тему закрыли, по углам разбежались, выводы для себя сделали :)

Ссылка на сообщение
Поделиться на других сайтах

ну дык если вы не знаете, зачем же тогда говорите?

Я и мой коллега ставили уже эксперимент, на 12 сайтах обнаружили админский файл за буквально 20-30 минут B), на 2-х из них получили доступ к БД и админке(дырявый сервер и его настройки).

Ссылка на сообщение
Поделиться на других сайтах

Получив конфиг и доступ к БД я могу с Вашим сайтом что угодно делать: снести полностью, добавлять свои коды или ссылки в материалы и т.п.

а можно вот здесь поподробнее?

возможно я чего то не понимаю, но

1) что тебе даст доступ к базе? допустим ты знаешь юзернейм, пароль, базу

и что дальше? разве на 99% серверов не запрещены подключения к базе кроме как с локалхоста?

2) что тебе даст путь к админке? не имея юзернейма с правами, что можно сделать?

Ссылка на сообщение
Поделиться на других сайтах

разве на 99% серверов не запрещены подключения к базе кроме как с локалхоста?

Нет.

что тебе даст доступ к базе?

По сути всё, особо кучеряво если сайт имеет кучу материала и кучу пользователей, ну про не заметное внедрение ссылок в материалы на сайте я вобще молчу. Ну чаще просто пакостят по детски- сливают базу и удаляют её на сервере.

что тебе даст путь к админке? не имея юзернейма с правами, что можно сделать?

Далее там дело техники- куки и т.п.

Ссылка на сообщение
Поделиться на других сайтах

в том свете как ты описываешь, понятно что можно сделать с базой.

но я первый раз слышу, что майскл всегда разрешает удаленные подключения.

насколько я знаю, по умолчанию разрешено только с локалхоста, и чтобы подключаться извне, надо прописывать ип адреса откуда можно подключаться.

в таком случае знание паролей от базы ничего не даст

далее. в случае со знанием файла админки..

какие куки? как ты их получишь? кроме того, в куках специально не хранится пароль, а хранится определенный хэш. даже если ты его узнаешь и подставишь с другого ип адреса, скрипт его обнулит и придется снова вводить пароли.

давайте все таки обсудим и придем к общему знаменателю.

Изменено пользователем prikindel
Ссылка на сообщение
Поделиться на других сайтах

но я первый раз слышу, что майскл всегда разрешает удаленные подключения.

phpMyAdmin тоже не даёт доступа из вне? :huh:

Ссылка на сообщение
Поделиться на других сайтах

1) что тебе даст доступ к базе? допустим ты знаешь юзернейм, пароль, базу

и что дальше? разве на 99% серверов не запрещены подключения к базе кроме как с локалхоста?

2) что тебе даст путь к админке? не имея юзернейма с правами, что можно сделать?

1. Нет, не 99%, тут 50 на 50.

2. Поэтому мы через базу делаем юзера админа.

(дырявый сервер и его настройки).

Мы обсуждаем не настройки сервера, а скрипт. Так что все-таки я был прав.

phpMyAdmin тоже не даёт доступа из вне?

Все зависит от настроек.

Ссылка на сообщение
Поделиться на других сайтах

Все зависит от настроек.

Например? Ваш хостинг предоставляет настройки к доступу к phpmyadmin? Таких пока не встречал...

Ссылка на сообщение
Поделиться на других сайтах

DeeMon,

ах, пхпмайдамин.. не подумал про него, но опять таки:

выставлять майадмин в свободный доступ в виде незапароленной папки, мягко говоря, неумно.

а не подумал, потому что в основном имею дело с цпанелью и с плеском

там необходимо сперва залогиниться в панель, перед тем как производить какие либо действия с pma

в крайнем случае можно просто запаролить папку.

кстати, в логах апача очень часто вижу, как народ коннектится и перебирает всевозможные варианты расположения pma ;)

1. Нет, не 99%, тут 50 на 50.

откуда такая статистика? можно ссылку?

по умолчанию, в таблице юзеров и привилегий запрещено подключение с внешних ип адресов

их вносят отдельно, по необходимости, например, когда надо коннектиться в одного сервака на другой

Ссылка на сообщение
Поделиться на других сайтах

кстати, в логах апача очень часто вижу, как народ коннектится и перебирает всевозможные варианты расположения pma

На РБК она у всех на одном месте B) (кстати их досят сегодня), на SWEB достаточно знать имя сервера и так на многих...

Ссылка на сообщение
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...