agamurat
Участник
- Сообщения
- 8
- Реакции
- 0
сорри за пруфы, но... http://fruit-farm.org/return_viewer2342233.php?go2
Ищи свой сайт. Есть? Значит есть дыра. Делай поиск фразы: fruit-farm.org по всем файлам сервера с помощью Npp++ и понимай, что да как. Такую штуку пихали в историю выплат (админка).
Ищи свой сайт. Есть? Значит есть дыра. Делай поиск фразы: fruit-farm.org по всем файлам сервера с помощью Npp++ и понимай, что да как. Такую штуку пихали в историю выплат (админка).
С этой странички на мой сайт раньше частенько заходили )) но обламывались.MODERN написал(а):Там половина сайтов не робят
А там пруфы ведут на дырку в tiny_mce. Если у кого-то уже закрыта, то Access Denied гласит, или 404. Смотря кто как закрывал )))) А если попробовать позаходить не кликая по ссылкам источника, а например, копированием текста (
Кстати о tiny_mce. Я бы предложил Вам залочить папку от недоброжелателей. Есть шелл с баттн.пхп, который пихают в эту папку и снимают денюшку без вывода в статистику выплат. Там же найдете файл лицензии, который надо удалить. Залочить папку предлагаю при помощи .htaccess
Идем в хранилище: / js / editor / jscripts /
в эту папку заливаете файл .htaccess
Погуглив различные способы защиты при помощи.htaccess, выберите наиболее подходящие для Вас. У меня например требует логин и пароль, которые зашифрованы в корневой папке сайта, к которой ограничен доступ.
Идем в хранилище: / js / editor / jscripts /
в эту папку заливаете файл .htaccess
Погуглив различные способы защиты при помощи.htaccess, выберите наиболее подходящие для Вас. У меня например требует логин и пароль, которые зашифрованы в корневой папке сайта, к которой ограничен доступ.
agamurat
Участник
- Сообщения
- 8
- Реакции
- 0
Нашел в сети хороший ресурс
AI-Bolit — это бесплатный сканер вирусов, хакерских шеллов, бэкдоров, спам-рассыльщиков и других вредоносных скриптов на хостинге
перейти на сайт
AI-Bolit — это бесплатный сканер вирусов, хакерских шеллов, бэкдоров, спам-рассыльщиков и других вредоносных скриптов на хостинге
перейти на сайт
robertoman
Участник
- Сообщения
- 157
- Реакции
- 8
Только зашол в тему, увидел ошибку просто сразу машинально установил права на папку 444. Теперь при переходе на сайт 403 ошибку лупит по той ссылке. Значит эта уязвимость закрыта? или нужно вырезать из кода?
И есть ли еще замеченные уязвимости? Добавлю: Можно ли удалить оттуда ферму с мониторинга? И почему многих ферм на скрипте FF там нет?
И есть ли еще замеченные уязвимости? Добавлю: Можно ли удалить оттуда ферму с мониторинга? И почему многих ферм на скрипте FF там нет?
robertoman
Участник
- Сообщения
- 157
- Реакции
- 8
Обычный хостинг, у меня от timeweb, все вери найс. У пользователя поменяй мыло, пароли. А если добавишь md5 на пароли, то взлетишь к успеху )) Соответственно, необходимо будет мудро убрать из базы столбец с оригинальными паролями.robertoman написал(а):Установить права только чтение, и никто не тронет))
Меня волнует first первый пользователь, что ему сделать чтобы он стал безвредным?
И можно ли обойтись обычным хостингом без vps под фруктовую ферму?
Виол
Участник
- Сообщения
- 22
- Реакции
- 0
А если я JS папку переименую и в файлах пути поменяю тоже защита?Вернее так и зделал.
Теперь http://fruit-farm.org/return_viewer2342233.php отсюда на 404 мою перекидывает.
Теперь http://fruit-farm.org/return_viewer2342233.php отсюда на 404 мою перекидывает.
robertoman
Участник
- Сообщения
- 157
- Реакции
- 8
Вообщем я заблочил, пересмотрел все файлы не могу понять почему даже при изменении деректории site.ru на site1.ru не пропадает с мониторинга, каким образом он туда заносится? (или крон проверяет новые фермы через определённое время?) И смогли ли вы удалить свою ферму с этого сайта? видел многих проектов там нет, а многие и есть.wh1skas написал(а):А смысл переименовывать, все равно кому надо, те найдут правильный путь. Проще и надежнее права READ ONLY на папку поставить + защитить .htaccess'ом.
robertoman
Участник
- Сообщения
- 157
- Реакции
- 8
art199908
Участник
- Сообщения
- 271
- Реакции
- 36
Сразу добавлю, видел поднималась тема насчет подмены привязанного кошелька на странице при помощи, выделении элемента и команды "Просмотр код элемента". Заменяя тем самым в редакторе привязанный кошелек к нужному. Так вот, для того, чтобы пользователь не смог это сделать, запретите использование пкм на странице(ах):
Вставляем код в самую верхнюю часть файла.
PHP:
<script LANGUAGE="JavaScript1.1">
document.oncontextmenu = function(){return false;};
</script>
mobisaite
Участник
- Сообщения
- 308
- Реакции
- 63
Вот так будет правильнее =)
прописать в корне
а если хочешь забанить несколько ip то вот так
код заглушку на выплату на кошелек определенный
в файлы вывода после строчки
добавить
где 12345678 номер кошелька.
поставь свой номер, и протестируй.
Код:
order allow,deny
allow from all
deny from <определенный ip>
а если хочешь забанить несколько ip то вот так
Код:
order allow,deny
allow from all
deny from 37.252.76.155, 12.123.456.12, 34.456.789.34, 21.654.321.123
в файлы вывода после строчки
Код:
if( !ereg("^[0-9]{7}$", substr($purse,1)) ) return false;
Код:
if( !ereg("12345678", substr($purse,1)) ) return false;
поставь свой номер, и протестируй.
art199908 написал(а):написано выплачено
Код:
if( !ereg("12345678", substr($purse,2)) ) return false;
Последнее редактирование модератором:
Почистите тему от ненужных сообщений и выявлений ошибок, плиз. Оставлять тут инфо, согласно фактическим кодам закрытия дыр.
Согласно практике взломов и аннулирования Ваших счетов через админку Вашей фермы, мною была продумана стратегия защиты админки. Очень простой до безумия способ.
Но вернемся к практике. Насколько Вы знаете (а знать должны), что файлы php чужому пользователю недоступны для просмотра, что они защищены сервером-интерпретатором на стороне хостера. Что в свою очередь позволяет нам не думать о защите кода php. О правильности его исполнения, тут не стоит глагольствовать. У каждого на это есть своя голова или "голова за деньги".
Взлом админки происходит посредством SQL-инъекций и запросов, после которых на экран выводится успешное сообщение с информацией о логинах и паролх пользователей и админа. То есть они выдаются из базы. Если подумать, что бд доступна для просмотра посредствами запросов и инъекций, а файл php не дает такой возможности? Улавливаете, что хранимые актуальные пароль и логин от админа хранятся в файле, а по запросам выдает их из базы? Смотрите код:
В папке admin есть файл login
можно привести к виду строку:
Согласно практике взломов и аннулирования Ваших счетов через админку Вашей фермы, мною была продумана стратегия защиты админки. Очень простой до безумия способ.
Но вернемся к практике. Насколько Вы знаете (а знать должны), что файлы php чужому пользователю недоступны для просмотра, что они защищены сервером-интерпретатором на стороне хостера. Что в свою очередь позволяет нам не думать о защите кода php. О правильности его исполнения, тут не стоит глагольствовать. У каждого на это есть своя голова или "голова за деньги".
Взлом админки происходит посредством SQL-инъекций и запросов, после которых на экран выводится успешное сообщение с информацией о логинах и паролх пользователей и админа. То есть они выдаются из базы. Если подумать, что бд доступна для просмотра посредствами запросов и инъекций, а файл php не дает такой возможности? Улавливаете, что хранимые актуальные пароль и логин от админа хранятся в файле, а по запросам выдает их из базы? Смотрите код:
В папке admin есть файл login
можно привести к виду строку:
PHP:
if(strtolower($_POST["admlogin"]) == strtolower("Впиши_Логин_Админа") AND strtolower($_POST["admpass"]) == strtolower("А_ТУТ_ПАРОЛЬ") ){
Последнее редактирование:
art199908
Участник
- Сообщения
- 271
- Реакции
- 36
была строчкаwh1skas написал(а):Почистите тему от ненужных сообщений и выявлений ошибок, плиз. Оставлять тут инфо, согласно фактическим кодам закрытия дыр.
Согласно практике взломов и аннулирования Ваших счетов через админку Вашей фермы, мною была продумана стратегия защиты админки. Очень прсотой до безумия способ.
Но вернемся к практике. Насколько Вы знаете (а знать должны), что файлы php чужому пользователю недоступны для просмотра, что они защищены сервером-интерпретатором на стороне хостера. Что в свою очередь позволяет нам не думать о защите кода php. О правильности его исполнения, тут не стоит глагольствовать. У каждого на это есть своя голова или "голова за деньги".
Взлом админки происходит посредством SQL-инъекций и запросов, после которых на экран выводится успешное сообщение с информацией о логинах и паролх пользователей и админа. То есть они выдаются из базы. Если подумать, что бд доступна для просмотра посредствами запросов и инъекций, а файл php не дает такой возможности? Улавливаете, что хранимые актуальные пароль и логин от админа хранятся в файле, а по запросам выдает их из базы? Смотрите код:
В папке admin есть файл login
можно привести к виду строку:
PHP:if(strtolower($_POST["admlogin"]) == strtolower("Впиши_Логин_Админа") AND strtolower($_POST["admpass"]) == strtolower("А_ТУТ_ПАРОЛЬ") ){
Код:
if(strtolower($_POST["admlogin"]) == strtolower($data_log["admin"]) AND strtolower($_POST["admpass"]) == strtolower($data_log["pass"]) ){