Название темы Раздел Ответов Последний

Защита Dle сайтов от взлома by kzpromo


08 августа 2013
Защита  Dle  сайтов от взлома by kzpromo

Уже несколько лет наблюдаю как растет тенденция взломов дле сайтов. Сотни тысяч сайтов страдали от взломов, миллионы сайтов подвержены атакам.

Решил поделиться с наработками которые уже год внедрены в релиз SECURED DLE и обеспечивают нормальную работу сайта без потери информации. Многие будут осуждать меня за данную заплатку, так как кому-то я испорчу бизнес, сильно усложнив взлом. Данная наработка подходит практически к любому сайту где есть php. Я не держу обиду на тех кто не верит в защищенность релиза.
И так я расскажу как обезопасить себя от: шеллов, sql inj, php inj, xss

И так открываем файл php.ini:
disable_functions = eval, exec, system, passthru, scandir, popen, shell_exec, proc_open, proc_close, proc_nice, get_current_user, getmyuid, posix_getpwuid, apache_get_modules, virtual, posix_getgrgid, getmyinode, fileowner, filegroup, getmypid, apache_get_version, apache_getenv, apache_note, apache_setenv, disk_free_space, diskfreespace, dl, ini_restore, openlog, syslog, highlight_file, show_source, symlink, disk_total_space, ini_get_all, get_current_user, posix_uname


А вот модуль который написал kzpromo - "отражение хакерских запросов", его нужно подключить перед подключением в базу.
Установка модуля на DLE:
1. Скачиваем
http://pastebin.com/qeqZaNHx

2. Загружаем фаил из архива в engine/classes
3. Открываем engine/classes/mysql.php
И перед
if ( extension_loaded('mysqli') AND version_compare("5.0.5", phpversion(), "!=") )
{
include_once( ENGINE_DIR."/classes/mysqli.class.php" );
}
else
{
include_once( ENGINE_DIR."/classes/mysql.class.php" );
}


вставить:
include_once( ENGINE_DIR."/classes/security.class.php" );


Модуль проверяет все GET и POST запросы и при нахождении плохих блокирует, не дав уйти запросам в базу или далее.

Все это вместе защитит ваш сайт от шеллов, sql inj, php inj, xss.
Данная защита не только для Dle, так что для профилактики юзайте и спите спокойно...

ava

Написал: Михаил
Группа: Анонимус
1
0
12 августа 2013 21:36
Реально защищает?И установку я чтото не очень понял

ava

Написал: Administrator
Группа: Администраторы Пользователь offline
2
+1
15 августа 2013 00:27
Цитата: Михаил
Реально защищает?И установку я чтото не очень понял

да вроде как да kzpromo - это хакер который раньше ломал сайты на dle, он куда то пропал а раньше он даже барыжил своей сборкой dle защищенной от взлома.


--------------------
ava

Написал: pro_0
Группа: Посетители Пользователь offline
3
0
18 ноября 2013 13:37
Цитата: Михаил
Реально защищает?И установку я что-то не очень понял

Установку я сразу тоже не понял . Создаешь файл security.class.php
Далее в него вставляешь содержимое страници на которую переходишь по ссылке выше,и далее пункт 2-ой

ava

Написал: pro_0
Группа: Посетители Пользователь offline
4
0
20 ноября 2013 15:51
Я попробовал поигрался этой заморочкой ,короче не работает.Создаешь новость или редактируешь старую и все рассыпается,выводит открытый код в котором лично я ничего не понял.Ну вот это мое мнение.


Информация
Посетители, находящиеся в группе Анонимус, не могут оставлять комментарии к данной публикации.