Pericol grav pentru site-urile care rulează DataLife Engine 10.0 și o versiune mai mică. pe care dezvoltatorii scripturii le-ar dori, ca și cum ar fi părăsit în mod special, deoarece este imposibil să știm despre acest lucru.
Dar cel mai neplăcut lucru este faptul că dezvoltatorii care au instalat protecția împotriva noii versiuni DLE 10.1 și mai sus, nu și-au informat clienții despre această vulnerabilitate, ceea ce le permite atacatorilor să descarce întreaga bază de date MySQL și chiar să facă schimbări. www.dle9.com izvor
Deci, dacă aveți un site care rulează versiunea motorului 10.0, 9,8, 9,7, 9,6, 9,5 sau mai jos, și nu se poate actualiza din cauza numărului mare de module și hacks, apoi ia în considerare faptul că oricine poate să site-ul dvs. pentru a introduce un nou administrator și de a crea acolo vrea. Procedând astfel, ștergeți toate acțiunile dvs., astfel încât nici măcar să nu știți despre prezența sa.
Dacă sunteți hacked, ați adăugat un administrator necunoscut mod, script-ul, virusul, cod, și așa mai departe, și nu știi cum a fost făcut, citiți aici răspunsul și soluția la problema de vulnerabilitate a script-ul DataLife Engine 10.0-9.0.
Iată o adresă URL simplă cu o interogare în browser:
(Cod În schimb dbconfig.php) poate dezumfla orice fișier PHP, de exemplu, să învețe ce nume ai schimbat admin.php, fișierul config.php Pompat.
PS. Numele admin.php este modificat pentru a proteja de la spărgători panoul de administrare al motorului (de la brutoforsa etc.)
Cu acest apel, puteți obține informații complete din fișierul dbconfig.php. unde datele sunt stocate
define ("DBNAME", "Numele bazei de date");
define ("DBPASS", "Parola");
Ei bine, cei care știu ce oferă phpMyAdmin sau accesul deplin la baza de date, cred că înțeleg cât de grav este acest pericol. La urma urmei, puteți face totul acolo: editați știri, introduceți date în profil, adăugați un script, descărcați întreaga bază de date etc. Chiar și ștergeți fișierul .htaccess oriunde în motorul dvs. care vă protejează sistemul de adăugarea și manipularea fișierelor cu extensia PHP.
Ca urmare a unor astfel de modificări, nici măcar nu știți ce sa făcut cu resursa dvs., dacă nu observați o schimbare.
Apropo, această amenințare sunt supuse multe SMS-uri, nu numai DataLife Engine, dar, de asemenea, Joomla, WP, etc. judecând după rapoartele de pe Internet. Prin urmare, pentru a nu să aștepte pentru atacatorii vor găsi o nouă oportunitate de a avea acces la baza de date Import Import phpMyAdmin, puteți solicita dvs. de găzduire teh.sluzhbu închide tot afară, inclusiv tu.
Acest lucru se poate face dacă adaugă în dosarul phpMyAdmin un fișier .htaccess cu cod care interzice accesul la baza dvs. de date.
După ce fișierul de bază de date pot fi create în panoul motorului, și apoi descărcați, acesta va fi localizat in / folder / de backup, edita pe un laptop care apoi re-injectat în / folder / copie de rezervă, și apoi setați (butonul pentru a restabili baza de date).
Acum, uita-te la motorul DLE care există modalități diferite de protecție: puteți redenumi fișierul admin.php, setați IP-ul pentru a te inregistra, resetarea parolei, vedeți și cine a folosit admin (de modul în care această protecție poate fi ușor ocolite) și trece peste acest bug.
Este la fel ca crearea unui super-rezervor cu armura impenetrabilă, toate tipurile de detectare a țintă, un sistem de reflecție etc. dar face un rezervor de combustibil din placaj.
Și cei mai urâți, nu raportați această vulnerabilitate utilizatorilor versiunilor mai vechi!
Persoana sa adresat cu o astfel de problemă că utilizatorul care a adăugat știri unui site, ar putea elimina și
Ansamblul de 100 de șabloane grafice gata preparate include 50 de semne grafice pentru capace 3D pe care le aveți
Carte - Vânzarea în masă a bunurilor fizice prin intermediul site-urilor cu o singură pagină
Model interesant, universal, catalog pentru site-uri offline, pentru torente (trackere torrent).
Acest hack permite afișarea lucrării codului sursă php, j # 097; vascript, html direct pe pagină
Trimiteți-le prietenilor: