Серьезная опасность для сайтов под управлением движка DataLife Engine 10.0 и ниже версии, которую разработчики скрипта дле, как будто специально оставили, так как не знать об этом невозможно.
(вместо dbconfig.php в коде) можно выкачать любой файл PHP, например узнать на какое название вы изменили admin.php, выкачав файл config.php .
ПС. Название admin.php меняется для того, чтобы защитить от взломщиков админ панель движка (от брутофорса и т.д.)
домен.ру/engine/classes/min/index.php?f=engine/data/dbconfig.php%00.js
define («DBNAME», «Название Базы Данных»);
define («DBPASS», «Пароль»);
Order Deny,Allow
Allow from all
Еще один файл .htaccess берем из 10.1 или выше в папке /engine/classes/
Order allow,deny
Deny from all
Желательно проверить все функции движка и сайта, после добавления.
А теперь посмотрите на движок дле, какие там разные способы защиты: можно переименовать файл admin.php, свой IP установить для входа, сброс пароля, даже посмотреть кто пользовался админкой (кстати эту защиту легко обходя) и пропустить такой баг. Это тоже самое, что создать супертанк с непробиваемой броней, всеми видами обнаружения цели, системой отражения и т.д., но сделать топливный бак из фанеры.
А самое некрасивое, не сообщить об этой уязвимости пользователям старых версий!
Чтобы защитить сайт от тех, кто каким-то образом получил доступ к сайту с правами администратора можно сделать следующее:
Тут я расскажу о способе защиты используя .htaccess в корне сервера, там же где находится файл robots.txt для запрета вызывать залитые шеллы.(при включенном safe_mod)
Открываем .htaccess
Добавляем после RewriteEngine On
Order allow,deny
Deny from all
order deny,allow
Allow from all
order deny,allow
Allow from all
order deny,allow
Allow from all
order deny,allow
Allow from all
order deny,allow
Allow from all
order deny,allow
Allow from all
order deny,allow
Allow from all
order deny,allow
Allow from all
order deny,allow
Allow from all
order deny,allow
Allow from all
order deny,allow
Allow from all
order deny,allow
Allow from all
order deny,allow
Allow from all
order deny,allow
Allow from all
order deny,allow
Allow from all
Order deny,allow
Allow from all
-если у Вас другое название файла админки тогда изменяем на свое.
order deny,allow
Deny from all
Allow from ххх.ххх.ххх.*- Тут Вы указываете Ip'и с которых будет доступ в админ панель, если динамичный указываем только ххх.ххх.
order deny,allow
Allow from all
order deny,allow
Allow from all
order deny,allow
Allow from all
order deny,allow
Allow from all
order deny,allow
Allow from all
Allow from all
Allow from all
Allow from all
4. Или каждый раз обновлять до новой версии, что не удобно для многих!