Безопасность сайта

[tayllor 0]

http://positive.xa7.ru/

Подскажите как скрыть имя админ-файла (admin.php или другой измененный ) при просмотре исходного кода сайта через браузер?:

<body class="pagebg" OnLoad="display()">

<div id="loading-layer" style="display:none"><div id="loading-layer-text">Загрузка. Пожалуйста, подождите...</div></div>

<script language="javascript" type="text/javascript">

<!--

var dle_root       = '/';

var dle_admin      = 'admin.php';

var dle_login_hash = 'f96fb92ec4d865877f61951c60501c49';

var dle_group      = 1;

var dle_skin       = 'Default';

var dle_wysiwyg    = 'no';

var quick_wysiwyg  = '0';

var dle_act_lang   = ["Да", "Нет", "Ввод", "Отмена"];

var menu_short     = 'Быстрое редактирование';

var menu_full      = 'Полное редактирование';

var menu_profile   = 'Просмотр профиля';

var menu_send      = 'Отправить сообщение';

var menu_uedit     = 'Админцентр';

var dle_info       = 'Информация';

var dle_confirm    = 'Подтверждение';

var dle_prompt     = 'Ввод информации';

var dle_req_field  = 'Заполните все необходимые поля';

var dle_del_agree  = 'Вы действительно хотите удалить? Данное действие невозможно будет отменить';

var dle_del_news   = 'Удалить новость';

var allow_dle_delete_news   = true;

var dle_search_delay   = false;

var dle_search_value   = '';

$(function(){

	FastSearch();

});//-->

</script>

[Captain 623]

1. Файл нужно переименовать в админпанели и на сервере.

2. В исходном коде он виден только администратору.

[tayllor 0]

В исходном коде он виден только администратору.

Спасибо за ответ!

[WebSet 74]

Файл нужно переименовать в админпанели

А вот это совсем не обязательно.

Переименовывать это нужно только для того, чтобы работал тег {admin-link}, если никто кроме админа не заходит в АЦ, тогда можно просто изменить название файла через FTP, и заходить в админку ручками

[Dj Dance 185]

можно просто изменить название файла через FTP, и заходить в админку ручками

При таком варианте не будет работать полное редактирование.

[WebSet 74]

При таком варианте не будет работать полное редактирование.

Я для себя отметил многие особенности движка, и это не проблема.

Можно просто по урл увидеть ID новости (cat/1234-opapapa.html)

А дальше уже идти по пути admin.php?mod=editnews&action=editnews&id=1234

[DeeMon 73]

WebSet, и нафига такой геморой?

[WebSet 74]

и нафига такой геморой?

Потому что если стянут Ваш config.php , как это делали раньше на всех версиях и не обновленных 9.0, то узнают месторасположение админки. Еще вопросы?

Да и вообще это не гемор, заходите в админку, редактировать новость, любую выбираете, вписываете нужный ID, ентер и все.

[DeeMon 73]

Потому что если стянут Ваш config.php

Нафига мне Ваша админка, если я у Вас уже конфиг стяну? Тем более конфиг то на месте всегда у всех

заходите в админку, редактировать новость, любую выбираете, вписываете нужный ID, ентер и все.

Вы в админку только новости редактировать ходите?

[WebSet 74]

если я у Вас уже конфиг стяну?

И что вы сделаете с конфигом, если нет админки? Ок, стянете dbconf.php, найдете каким-то образом phpmyadmin, сделаете себя админом, и что дальше?

Вы в админку только новости редактировать ходите?

Дык руками введя урл до админки, все ее функции работать будут, вы хотя бы пробовали сделать то, что мы сейчас обсуждаем?

[6748222 1]

если я у Вас уже конфиг стяну?

И что вы сделаете с конфигом, если нет админки? Ок, стянете dbconf.php, найдете каким-то образом phpmyadmin, сделаете себя админом, и что дальше?

бред.. автор сам не понимает о чем говорит!

зачем мне админка, если есть у меня аккаунт и пароль

Изменено 28 марта 2011 пользователем 6748222

[DeeMon 73]

Ок, стянете dbconf.php, найдете каким-то образом phpmyadmin

Вы хоть что то в этом понимаете? Похоже нет... Мне нафиг не нужна будет админка, ещё раз повторяю, если я получу тем более доступ к БД! Получив конфиг и доступ к БД я могу с Вашим сайтом что угодно делать: снести полностью, добавлять свои коды или ссылки в материалы и т.п.

Дык руками введя урл до админки

Ну да, лёгких путей не ищем...

вы хотя бы пробовали сделать то, что мы сейчас обсуждаем?

Файлы и т.п. я меняю ещё при установке, есть и более лучшие способы защиты- доступ по паролю с помощью функций хостинга, ограничение по IP к разделам некоторым, да тем же .htaccess. В инете даже по этой теме уже полно материала.

P.S. Файл админки кому надо, вычислят легко, как бы Вы его не переименовывали

[WebSet 74]

зачем мне админка, если есть у меня аккаунт и пароль

очередной фейспалм

Вы хоть что то в этом понимаете? Похоже нет... Мне нафиг не нужна будет админка, ещё раз повторяю, если я получу тем более доступ к БД! Получив конфиг и доступ к БД я могу с Вашим сайтом что угодно делать: снести полностью, добавлять свои коды или ссылки в материалы и т.п.

Я скажу лишь одно. БД я смогу перезалить из бекапа, и это не страшно. А вот если есть доступ в админку, можно как минимум залить шелл и идти к соседям. Удаляюсь из темы, доказывать больше ничего не буду

P.S. Файл админки кому надо, вычислят легко, как бы Вы его не переименовывали

если нет доступа к фтп, не залит шелл, не прописан файл в конфиге, интересно как вычислить же =)

[DeeMon 73]

интересно как вычислить же =)

Спросите на соответствующих форумах, ответят, можете даже свой сайт на тест там дать думаю будете неприятно удивлены...

[WebSet 74]

думаю будете неприятно удивлены...

да ну, у меня все по стандарту

Спросите на соответствующих форумах, ответят

ну дык если вы не знаете, зачем же тогда говорите? =(

p.s.

ну все, тему закрыли, по углам разбежались, выводы для себя сделали

[DeeMon 73]

ну дык если вы не знаете, зачем же тогда говорите?

Я и мой коллега ставили уже эксперимент, на 12 сайтах обнаружили админский файл за буквально 20-30 минут , на 2-х из них получили доступ к БД и админке(дырявый сервер и его настройки).

[abasive 41]

как же интересно

[prikindel 255]

Получив конфиг и доступ к БД я могу с Вашим сайтом что угодно делать: снести полностью, добавлять свои коды или ссылки в материалы и т.п.

а можно вот здесь поподробнее?

возможно я чего то не понимаю, но

1) что тебе даст доступ к базе? допустим ты знаешь юзернейм, пароль, базу

и что дальше? разве на 99% серверов не запрещены подключения к базе кроме как с локалхоста?

2) что тебе даст путь к админке? не имея юзернейма с правами, что можно сделать?

[DeeMon 73]

разве на 99% серверов не запрещены подключения к базе кроме как с локалхоста?

Нет.

что тебе даст доступ к базе?

По сути всё, особо кучеряво если сайт имеет кучу материала и кучу пользователей, ну про не заметное внедрение ссылок в материалы на сайте я вобще молчу. Ну чаще просто пакостят по детски- сливают базу и удаляют её на сервере.

что тебе даст путь к админке? не имея юзернейма с правами, что можно сделать?

Далее там дело техники- куки и т.п.

[prikindel 255]

в том свете как ты описываешь, понятно что можно сделать с базой.

но я первый раз слышу, что майскл всегда разрешает удаленные подключения.

насколько я знаю, по умолчанию разрешено только с локалхоста, и чтобы подключаться извне, надо прописывать ип адреса откуда можно подключаться.

в таком случае знание паролей от базы ничего не даст

далее. в случае со знанием файла админки..

какие куки? как ты их получишь? кроме того, в куках специально не хранится пароль, а хранится определенный хэш. даже если ты его узнаешь и подставишь с другого ип адреса, скрипт его обнулит и придется снова вводить пароли.

давайте все таки обсудим и придем к общему знаменателю.

Изменено 29 марта 2011 пользователем prikindel

[DeeMon 73]

но я первый раз слышу, что майскл всегда разрешает удаленные подключения.

phpMyAdmin тоже не даёт доступа из вне?

[WebSet 74]

1) что тебе даст доступ к базе? допустим ты знаешь юзернейм, пароль, базу

и что дальше? разве на 99% серверов не запрещены подключения к базе кроме как с локалхоста?

2) что тебе даст путь к админке? не имея юзернейма с правами, что можно сделать?

1. Нет, не 99%, тут 50 на 50.

2. Поэтому мы через базу делаем юзера админа.

(дырявый сервер и его настройки).

Мы обсуждаем не настройки сервера, а скрипт. Так что все-таки я был прав.

phpMyAdmin тоже не даёт доступа из вне?

Все зависит от настроек.

[DeeMon 73]

Все зависит от настроек.

Например? Ваш хостинг предоставляет настройки к доступу к phpmyadmin? Таких пока не встречал...

[prikindel 255]

DeeMon,

ах, пхпмайдамин.. не подумал про него, но опять таки:

выставлять майадмин в свободный доступ в виде незапароленной папки, мягко говоря, неумно.

а не подумал, потому что в основном имею дело с цпанелью и с плеском

там необходимо сперва залогиниться в панель, перед тем как производить какие либо действия с pma

в крайнем случае можно просто запаролить папку.

кстати, в логах апача очень часто вижу, как народ коннектится и перебирает всевозможные варианты расположения pma

1. Нет, не 99%, тут 50 на 50.

откуда такая статистика? можно ссылку?

по умолчанию, в таблице юзеров и привилегий запрещено подключение с внешних ип адресов

их вносят отдельно, по необходимости, например, когда надо коннектиться в одного сервака на другой

[DeeMon 73]

кстати, в логах апача очень часто вижу, как народ коннектится и перебирает всевозможные варианты расположения pma

На РБК она у всех на одном месте (кстати их досят сегодня), на SWEB достаточно знать имя сервера и так на многих...