- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
На одном из вебфорумов один человек выкладывал лог что делает этот бот tehApocalypse
Заливает картинку аватар, Далее отправляет личное сообщение (я так понимаю с адресом аватарки).
Аватарку за собой потом стирает с сервера.
я там не писал, что это моё, ок?
вы писали что то типа "я выкладываю" и не указывали источник.
позволил себе предположить, что это ваши решения. ну раз нет, так нет. не в этом суть. а скорее в том, что они уже существует относительно давно, а преподносятся как нечто неизвестное. проехали.
пожалуйста, ответьте все таки на вопрос, в каком файле проверка превышения int не работает и в какой версии дле? я не подкалываю, действительно интересно.
P.S. немного покапитаню, поля типа intval в mysql не существует :)
вы писали что то типа "я выкладываю" и не указывали источник.
позволил себе предположить, что это ваши решения. ну раз нет, так нет. не в этом суть. а скорее в том, что они уже существует относительно давно, а преподносятся как нечто неизвестное. проехали.
пожалуйста, ответьте все таки на вопрос, в каком файле проверка превышения int не работает и в какой версии дле? я не подкалываю, действительно интересно.
P.S. немного покапитаню, поля типа intval в mysql не существует :)
в mySQL - int
А при проверке в php-файле intval, ок? Возможно, я неправильно выразился или Вы не так поняли.
В какой версии? Сейчас точно не скажу, но 9-ая линейка. В каком файле? Я Вам намёк дал, такая небольшая недоработочка вызывает крэш mySQL => можно узнать немного полезной информации. Не буду здесь всё описывать, ибо злодеи тоже читают сёрч.
вы писали что то типа "я выкладываю" и не указывали источник.
Собственно, на офф.сайте информации пока нет, однако на ачате уже давно идёт обсуждение баги с неопределенностью переменной $_TIME в некоторых случаях.
это злобный троллинг? Всё, теперь точно прекращаю общение. Удачи!
вы считаете, что в ветку форума, где народ пытается найти уже существующую уязвимость, заходят злодеи, чтобы найти новые уязвимости? :) разве что над нами постебаться ;)
просто если речь о постраничной навигации, то все давно прикрыто. начиная с версии 8, а в последних и еще одно условие добавили на величину номера страницы
об этом, в принципе, на античате писали, я думаю вы в курсе.
Тут надо заменить файл templates.class.php
Но, почему нету тут строчки
if( ! defined( 'DATALIFEENGINE' ) ) {die( "<b>Hacking attempt!</b>" );}
???
Там только объявления класса, и больше нечего, так что он особо без надобности.
А есть может какой смысл в том чтобы права на запись убрать с config.php, dbconfig.php, init.php, engine.php, index.php, .htaccess?
А есть может какой смысл в том чтобы права на запись убрать с config.php, dbconfig.php, init.php, engine.php, index.php, .htaccess?
для всех кроме config.php можно, так как настойки не смогут сохранятся. но врядли смысл есть.
Также полезно отключить функции:
exec, system, popen, shell_exec, proc_open, proc_close, proc_nice, get_current_user, getmyuid, posix_getpwuid, apache_get_modules, virtual, posix_getgrgid, getmyinode, fileowner, filegroup, getmypid, apache_get_version, apache_getenv, apache_note, apache_setenv, dl, ini_restore, openlog, syslog, highlight_file, show_source, symlink, disk_total_space, ini_get_all, get_current_user, posix_uname
хотя это тоже не панацея, но от взлома в начале этого месяца когда через minify.php в cache/system ломали и удаляли .htaccess. помогало....
Если изменения вносят в файлы, которые движку не нужны для записи, то можно например поставить другого владельца и группу (при правильных настройках сервера.)
Аватарку за собой потом стирает с сервера.
Востанавливайте из бэкаппа, запрещайте загрузку файлов к вам, в том числе и аватаров...
На одном из вебфорумов один человек выкладывал лог что делает этот бот tehApocalypse
Заливает картинку аватар, Далее отправляет личное сообщение (я так понимаю с адресом аватарки).
Аватарку за собой потом стирает с сервера.
Возможно это и оно но бот там не один. Я лично штук 20 удалил за прошедший месяц. Они в логах пишут что-то типо этого
или вот такое
или
Это сейчас неудачно всё у ботов до патчей были статусы что всё ок типа, зарегался.
Могу сказать что таких ботов замечал и раньше, а ники с которыми они заходили были зареганы уже как пол года. Может это и не те боты) но как-то странно что у других они тоже регаются.
ЗЫ. tehApocalypse был зареган в тот день когда перестал идти трафик с мобильных устройств) т.е. 9 января сего года.
А есть может какой смысл в том чтобы права на запись убрать с config.php, dbconfig.php, init.php, engine.php, index.php, .htaccess?
Какой смысл в этом?
Ну не смогут изменить настройки сайта, думаю им это нгафик не впало.
как уже сказал asmakovec2 , скорее всего уязвимость в Личных сообщениях
Заливают картинку gif Далее отправляет личное сообщение
Аватарку за собой потом стирает с сервера.
На одном моем Дле 9.5 именно так и было, по логам была аватарка но в папке ее небыло.
На сайтах где отключена регистрация новых юзеров проблем взлома нет.
---------- Добавлено 19.01.2013 в 13:53 ----------
Этот юзер есть у всех кого взломали и вставили этот код
в фалы
engine\data\config.php
engine\data\dbconfig.php
engine\engine.php
engine\init.php
\index.php
Так же встречается этот юзер на не взломанных сайтах. Только непонятно почему он зарегался и не взломал. Что-то у него не получилось.
Тут скорее всего определенные версии движка, в одних есть дырка в других нету, либо запрет в htaccess.