dle.in.ua » Другие Скрипты » Защита dle v 1.2

Защита dle v 1.2

Автор: myzikk от 4-07-2010, 20:42
Защита dle v 1.2
Защита dle v 1.2
Автор:myzikk(дал идею Zloy или просто Злое Чудо)
Часть 1.
Качаем и устанавливаем программу @Text Replacer (http://1001soft.com/download/text_replacer-3445-0.html)
У Вас должен быть розкодирован файл \engine\inc\include\init.php(его можно взять с нула от мид теам для вашей версии dle)
Открываем программу и добавляем вот такие настройки:
Защита dle v 1.2

Вы спросите для чего мы меняем название файла с паролями от mysql.
Я Вам отвечу чтоб хац.хакер не мог вытащить наш файл например как сейчас актуально редактировать исходный код загрузки файлов и вытаскивать Ваш dbconfig.
После того как вы сделали как на скрине Вы нажимаете найти, затем заменить.И не забудьте переименовать сам dbconfig.php в ваше название которые Вы использовали в программе.
Если Вы все сделали правильно у Вас ни на сайте ни в админке ошибок не должно быть.
Дальше такое же проделиваете с файлами config.php, и другими главными файлами.

А также можно в целях безопасности сменить пути engine/data.

Часть 2.

Тут я розкажу о способе защиты используя .htaccess которая запретит вызывать залитые шеллы.(при включеном safe_mod)

1.Открываем .htaccess (делаем доступ по IP+использование определенных php файлов)
Добавляем после RewriteEngine On

#Защита(by myzikk)

<FilesMatch ".php">
   Order allow,deny
   Deny from all
</FilesMatch>

<FilesMatch "antivirus.php">
order deny,allow
Allow from all
</FilesMatch>

<FilesMatch "updates.php">
order deny,allow
Allow from all
</FilesMatch>

<FilesMatch "opensearch.php">
order deny,allow
Allow from all
</FilesMatch>

<FilesMatch "keywords.php">
order deny,allow
Allow from all
</FilesMatch>

<FilesMatch "registration.php">
order deny,allow
Allow from all
</FilesMatch>


<FilesMatch "rating.php">
order deny,allow
Allow from all
</FilesMatch>

<FilesMatch "refresh.php">
order deny,allow
Allow from all
</FilesMatch>

<FilesMatch "editpost.php">
order deny,allow
Allow from all
</FilesMatch>

<Files "referer.php">
order deny,allow
Allow from all
</files>

<Files "print.php">
order deny,allow
Allow from all
</files>

<Files "images.php">
order deny,allow
Allow from all
</files>

<Files "vote.php">
order deny,allow
Allow from all
</files>

<Files "addcomments.php">
order deny,allow
Allow from all
</files>

<Files "addpost.php">
order deny,allow
Allow from all
</files>

<Files "addcomments.php">
order deny,allow
Allow from all
</files>

<FilesMatch "\.(avi|mp3|mp4|flv|swf|wmv|png|css|gif|jpeg|jpg|rar|zip|xml|rss)$|^$">
   Order deny,allow
   Allow from all
</FilesMatch>

<Files "admin.php">-если у Вас другое название файла админки тогда изменяем на свое.
order deny,allow
   Deny from all
Allow from 188.445.66.*- Тут Вы указываете Ip'и с которых будет доступ в админ панель
</files>

<Files "addcomments.php">
order deny,allow
Allow from all
</files>

<Files "editcomments.php">
order deny,allow
Allow from all
</files>
<Files "antibot.php">
order deny,allow
Allow from all
</files>


<Files "index.php">
order deny,allow
Allow from all
</files>

<Files "uploads.php">
order deny,allow
Allow from all
</files>

<Files "go.php">
Allow from all
</files>

<Files "rss.php">
Allow from all
</files>

<Files "ajax.php">
Allow from all
</files>

#Защита(by myzikk)


2.Защита admin.php(Вписываем в файл)

$login="admin";
$password="e50e5e9da3d747cdba96d849de57516e";
if (!isset($_SERVER['PHP_AUTH_USER']) || $_SERVER['PHP_AUTH_USER']!==$login || md5($_SERVER['PHP_AUTH_PW'])!==$password) {
header('WWW-Authenticate: Basic realm="LoGin and PaswWort!?"');
header('HTTP/1.0 401 Unauthorized');
exit("ПЕПЯКОДЭНС РИАЛЬНЕПЕПЯКА!!!1 МЖВЯЧНИУБЕЙТЕ МЕНЯ КТОНИБУДЬКОТЭОДОБРЯЕКЛАЦКЛАЦКАгБЕИ!!11 (c) Генератор зла");}


На этом мы и закончим.Так же прошу Вас следить на официальном сайте за обновлениями уязвимостей dle
По возможности будем дописывать нашу защиту.

UPD kzpromo
Открываем engine/inc/files.php

Находим

$allowed_extensions = array ("gif", "jpg", "png", "jpe", "jpeg" );
$allowed_video = array ("avi", "mp4", "wmv", "mpg", "flv", "mp3", "swf", "m4v", "m4a", "mov", "3gp", "f4v" );
$allowed_files = explode( ',', strtolower( $config['files_type'] ) );
$img_result_th = "";
$img_result = "";


заменяем на

$allowed_extensions = array ("gif", "jpg", "png", "jpe", "jpeg" );
$allowed_video = array ("avi", "mp4", "wmv", "mpg", "flv", "mp3", "swf", "m4v", "m4a", "mov", "3gp", "f4v" );
$allow_conf = str_replace("php",md5(time() - rand(30,60)),strtolower( $config['files_type'] ));
$allowed_files = explode( ',', $allow_conf );
$img_result_th = "";
$img_result = "";


Теперь загрузка шеллов,через админскую и юзерскую загрузку нам не грозит! ;)
  • Группа: User
  • Icq: --
  • Комментариев: 61
  • Публикаций: 0
  • ну и кто пробывал. что это за муть я не понял bn

    --------------------
    • messa
    • Регистрация: 5.12.2008
    • Репутация: (0|0|0)
    • 4 июля 2010 23:00
    • 1
    ^
  • Группа: Гости
  • Icq: --
  • Комментариев: 0
  • Публикаций: 0
  • смысл есть, идея по сути хороша, но увы это не даст никакой реальной защиты кроме самовнушения
    ^
  • Группа: User
  • Icq: --
  • Комментариев: 42
  • Публикаций: 3
  • messa,
    Так можно защитить свой DLE сайт.

    Суть принципе вся розписана.Смена названий файлов может вас защитить от взлома. az
    • myzikk
    • Регистрация: 24.12.2009
    • Репутация: (0|0|0)
    • 4 июля 2010 23:10
    • 3
    ^
  • Группа: Гости
  • Icq: --
  • Комментариев: 0
  • Публикаций: 0
  • Ну а что тут понимать?
    1 часть: прогой во всех файлах заменяешь имя конфига на свой(отличающийся от стандартного)
    2 часть: в .htaccess добавляешь правила(защита от шеллов)
    3 часть: защита админки паролем.
    • korp
    • Регистрация: --
    • Репутация: (||)
    • 4 июля 2010 23:11
    • 4
    ^
  • Группа: User
  • Icq: --
  • Комментариев: 18
  • Публикаций: 1
  • wink дерьмортирьватор xDDD кул
    • pidzak
    • Регистрация: 31.03.2010
    • Репутация: (0|0|0)
    • 4 июля 2010 23:16
    • 5
    ^
  • Группа: User
  • Icq: 493759312
  • Комментариев: 11
  • Публикаций: 0
  • идею реально хороша) но всетаки, можно узнать названия через телепорт про (да?)

    --------------------
    • BipycXP
    • Регистрация: 27.06.2010
    • Репутация: (0|0|0)
    • 4 июля 2010 23:18
    • 6
    ^
  • Группа: User
  • Icq: --
  • Комментариев: 42
  • Публикаций: 3
  • Узнать можно только если у Вас уворуют файл в котором прописан тот же dbconfig.
    Потому, чем больше файлов измените тем лучше для Вас. cf
    • myzikk
    • Регистрация: 24.12.2009
    • Репутация: (0|0|0)
    • 4 июля 2010 23:21
    • 7
    ^
  • Группа: User
  • Icq: --
  • Комментариев: 20
  • Публикаций: 0
  • $login="admin/// Ваш логин
    $password="e50e5e9da3d747cdba96d849de57516e"; ///// Зашифрованый MD5 пароль
    if (!isset($_SERVER['PHP_AUTH_USER']) || $_SERVER['PHP_AUTH_USER']!==$login || md5($_SERVER['PHP_AUTH_PW'])!==$password) {
    header('WWW-Authenticate: Basic realm="LoGin and PaswWort!?"');
    header('HTTP/1.0 401 Unauthorized');
    exit("ПЕПЯКОДЭНС РИАЛЬНЕПЕПЯКА!!!1 МЖВЯЧНИУБЕЙТЕ МЕНЯ КТОНИБУДЬКОТЭОДОБРЯЕКЛАЦКЛАЦКАгБЕИ!!11 (c) Генератор зла");}


    куда именно его вставлять после какой строчки?
    • darkli
    • Регистрация: 17.05.2009
    • Репутация: (0|0|0)
    • 4 июля 2010 23:28
    • 8
    ^
  • Группа: User
  • Icq: --
  • Комментариев: 42
  • Публикаций: 3
  • darkli,После
    <?php


    Опечатка в коде поправьте в новости администраторы.
    $login="admin";
    $password="e50e5e9da3d747cdba96d849de57516e";
    if (!isset($_SERVER['PHP_AUTH_USER']) || $_SERVER['PHP_AUTH_USER']!==$login || md5($_SERVER['PHP_AUTH_PW'])!==$password) {
    header('WWW-Authenticate: Basic realm="LoGin and PaswWort!?"');
    header('HTTP/1.0 401 Unauthorized');
    exit("ПЕПЯКОДЭНС РИАЛЬНЕПЕПЯКА!!!1 МЖВЯЧНИУБЕЙТЕ МЕНЯ КТОНИБУДЬКОТЭОДОБРЯЕКЛАЦКЛАЦКАгБЕИ!!11 (c) Генератор зла");}
    • myzikk
    • Регистрация: 24.12.2009
    • Репутация: (0|0|0)
    • 4 июля 2010 23:37
    • 9
    ^
  • Группа: User
  • Icq: 6017724
  • Комментариев: 276
  • Публикаций: 4
  • <Files "up.php">
    Allow from all
    </files>


    НЛО?


    --------------------
    • vilcom
    • Регистрация: 18.10.2008
    • Репутация: (0|0|0)
    • 4 июля 2010 23:41
    • 10
    ^
  • Группа: User
  • Icq: --
  • Комментариев: 42
  • Публикаций: 3
  • vilcom,
    Спасибо за поправку не заметил. Просто у меня этот файл используется.

    эту строчку удаляем с .htaccess
    <Files "up.php">
    Allow from all
    </files>
    • myzikk
    • Регистрация: 24.12.2009
    • Репутация: (0|0|0)
    • 4 июля 2010 23:44
    • 11
    ^
  • Группа: User
  • Icq: --
  • Комментариев: 21
  • Публикаций: 0
  • хрень
    • zzk77
    • Регистрация: 2.08.2009
    • Репутация: (0|0|0)
    • 5 июля 2010 00:01
    • 12
    ^
  • Группа: User
  • Icq: --
  • Комментариев: 79
  • Публикаций: 3
  • myzikk,
    главное удалить антивирус говорят :) .
    • soot
    • Регистрация: 12.12.2008
    • Репутация: (0|0|0)
    • 5 июля 2010 00:22
    • 13
    ^
  • Группа: User
  • Icq: --
  • Комментариев: 11
  • Публикаций: 2
  • например как сейчас актуально редактировать исходный код загрузки файлов и вытаскивать Ваш dbconfig

    можно поподробнее?
    • razboynick
    • Регистрация: 10.02.2009
    • Репутация: (0|0|0)
    • 5 июля 2010 00:29
    • 14
    ^
  • Группа: Гости
  • Icq: --
  • Комментариев: 0
  • Публикаций: 0
  • razboynick,
    слушай больше =)

    Цитата: myzikk
    Узнать можно только если у Вас уворуют файл в котором прописан тот же dbconfig.Потому, чем больше файлов измените тем лучше для Вас.

    хм.. смысл то что злой сказал не вижу делать =)
    всегда есть соседи, ах эти соседи с низу, кто то трах*ет жену, а кто то виснет над корнизом =)
    • Будрин
    • Регистрация: --
    • Репутация: (||)
    • 5 июля 2010 05:04
    • 15
    ^
  • Группа: User
  • Icq: --
  • Комментариев: 64
  • Публикаций: 20
  • Добавлю от себя в статью кое-что! smile
    защита по .htaccess(myzikk) работает на 50%

    --------------------
    • nugumanov
    • Регистрация: 9.02.2009
    • Репутация: (0|0|0)
    • 5 июля 2010 07:49
    • 16
    ^
  • Группа: User
  • Icq: --
  • Комментариев: 122
  • Публикаций: 10
  • По поводу скачивания редактора - дебилизм! bu lol
    В любом редакторе..даже в блокноте есть "замена"
    • kavadims
    • Регистрация: 26.07.2008
    • Репутация: (0|0|0)
    • 5 июля 2010 09:34
    • 17
    ^
  • Группа: User
  • Icq: --
  • Комментариев: 13
  • Публикаций: 0
  • ппц шлак я ебу
    • 111111
    • Регистрация: 24.04.2010
    • Репутация: (0|0|0)
    • 5 июля 2010 11:17
    • 18
    ^
  • Группа: Гости
  • Icq: --
  • Комментариев: 0
  • Публикаций: 0
  • это не редактор, а утилита, функционал которой только и состоит в поиске и замене.
    • WWWital
    • Регистрация: --
    • Репутация: (||)
    • 5 июля 2010 11:17
    • 19
    ^
  • Группа: Гости
  • Icq: --
  • Комментариев: 0
  • Публикаций: 0
  • гг теперь меня точно не взломает аццкий ламер подобный razboynick'у начитавшийся хакерских форумов )))

    На счёт утилиты, лучше уж вручную :)
    • n00b
    • Регистрация: --
    • Репутация: (||)
    • 5 июля 2010 12:44
    • 20
    ^
  • Группа: User
  • Icq: --
  • Комментариев: 42
  • Публикаций: 3
  • n00b,
    Поймите менять Вам прийдется ни в одном файле, а где то в 10.
    Для удобной замены лучше использовать утилу.
    • myzikk
    • Регистрация: 24.12.2009
    • Репутация: (0|0|0)
    • 5 июля 2010 12:56
    • 21
    ^
  • Группа: User
  • Icq: --
  • Комментариев: 27
  • Публикаций: 0
  • nugumanov,
    Добавлю от себя в статью кое-что!
    защита по .htaccess(myzikk) работает на 50%

    Как тогда сделать > 50% ?
    • kuguk
    • Регистрация: 21.03.2009
    • Репутация: (0|0|0)
    • 5 июля 2010 13:09
    • 22
    ^
  • Группа: User
  • Icq: --
  • Комментариев: 42
  • Публикаций: 3
  • kuguk,
    Наверно kzpromo имел в веду.Что если на сервере(хостинге) отключен safe_mod(безопасный режим).То защиту можно снести.
    • myzikk
    • Регистрация: 24.12.2009
    • Репутация: (0|0|0)
    • 5 июля 2010 13:18
    • 23
    ^
  • Группа: User
  • Icq: --
  • Комментариев: 27
  • Публикаций: 0
  • Ну вот, мне тоже интесно, что он имелл в виду...
    • kuguk
    • Регистрация: 21.03.2009
    • Репутация: (0|0|0)
    • 5 июля 2010 13:29
    • 24
    ^
  • Группа: User
  • Icq: --
  • Комментариев: 11
  • Публикаций: 2
  • n00b,
    ti admin maxwarez.org?
    • razboynick
    • Регистрация: 10.02.2009
    • Репутация: (0|0|0)
    • 5 июля 2010 15:03
    • 25
    ^
  • Группа: User
  • Icq: --
  • Комментариев: 7
  • Публикаций: 0
  • Автор ламер, об апаче нихера не знает, как и обо всем остальном. Идея говно, защиты никакой.
    Например, убило:
    <FilesMatch "antivirus.php">
    order deny,allow
    Allow from all
    </FilesMatch>
    ... куча говна ...
    <FilesMatch "editpost.php">
    order deny,allow
    Allow from all
    </FilesMatch>

    А так, не?
    <FilesMatch "^(antivirus|куча_говна|editpost)\.php$">
    order deny,allow
    Allow from all
    </FilesMatch>


    PS. Это не защита, а срань. Эта "защита" от самого себя.
    Так можно index.php переименовать в index2.php и твердить, что это тоже "защита".
    • Kataki
    • Регистрация: 18.06.2010
    • Репутация: (0|0|0)
    • 6 июля 2010 02:16
    • 26
    ^
  • Группа: User
  • Icq: --
  • Комментариев: 42
  • Публикаций: 3
  • Kataki,Как бы мне по{censored} на твое мнение не нравится идеш ------>>>>>>Лесом

    А за подметку на счет апача спасибо не знал.
    • myzikk
    • Регистрация: 24.12.2009
    • Репутация: (0|0|0)
    • 6 июля 2010 11:22
    • 27
    ^
  • Группа: User
  • Icq: 373624275
  • Комментариев: 71
  • Публикаций: 0
  • <FilesMatch "^(antivirus|blablabla|editpost)\.php$">
    order deny,allow
    Allow from all
    </FilesMatch>

    да, в строчку будет удобнее


    --------------------
    • lika004
    • Регистрация: 13.02.2010
    • Репутация: (0|0|0)
    • 7 июля 2010 15:59
    • 28
    ^
  • Группа: User
  • Icq: --
  • Комментариев: 16
  • Публикаций: 0
  • ...сейчас актуально редактировать исходный код загрузки файлов и вытаскивать Ваш dbconfig.


    Дык не нужно быть бараном и втыкивать туда свой логин с паролем, достаточно заменить их на . DBHOST . DBNAME даже если мегахацкеры не запарятся md5 раскодировать эта инфа им много не даст.
    • maroz
    • Регистрация: 26.12.2010
    • Репутация: (0|-1|-1)
    • 17 января 2012 23:17
    • 29
    ^
    Информация
    Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.