PHP-Nuke - polski support - Forum - Bezpieczeństwo

Pochwał: 120

Większość włamań na stronę odbywa się poprzez plik admin.php.
Żaden skrypt zabezpieczający stronę nie jest w stanie zabezpieczyć strony, tak, aby była bezpieczna w 100%. Można tylko utrudnić hakerowi dostania się do naszej strony.

Jeśli ustawimy dodatkową autoryzacje pliku admin.php to wszystkie kombinacje cookisów oraz wszystkie inne ataki skierowane na plik admin.php nie zadziałają.

Aby włączyć autoryzacje pliku admin.php na naszym serwerze należy:

Kod:

#########################################################################
## Nazwa: Autoryzacja pliku admin.php
## Autor: p-maz - http://phpnuke.org.pl
## www@e-maz.net - http://e-maz.net
## Wersja: 1.0.1
## Opis: Modyfikacja zabezpieczająca plik admin.php
##
## Poziom instalacji Łatwy
## Czas instalacji: 2-3 Minuty
##
## Ilość plików do edycji: 2
## Plików do wyedytowania: autoryzacja.php
## admin.php
##
## Dołączonych plików: autoryzacja.php
##
#######################################################################
Na nie których serwerach nie poprawnie działa autoryzacja.
Pojawia się komunikat o Wewnętrznym problemie serwera.
Wtedy należy otworzyć plik autoryzacja.php i znaleźć:
header('HTTP/1.0 401 Unauthorized');
zamienić na:
header('Status: 401 Unauthorized');
We większości przypadkach to pomaga.
#######################################################################

#
#-----[ COPY ]------------------------------------------
#skopiuj plik autoryzacja.php do katalogu gdzie masz plik mainfile.php

autoryzacja.php => root/autoryzacja.php

#
#-----[ OTWÓRZ ]------------------------------------------
# (ten który skopiowaleś)

autoryzacja.php

#
#-----[ ZNAJDŹ ]------------------------------------------
#

$autologin = 'test'; // login
$autopass = 'test1'; // hasło

#
#-----[ ZMIEŃ NA ]------------------------------------------
#

Zmień na swój login i hasło które chcesz używać w autoryzacji

#
#-----[ OTWÓRZ ]------------------------------------------
#

admin.php

#
#-----[ ZNAJDŹ ]------------------------------------------
#

<?php

#
#-----[ PO TYM DODAJ ]------------------------------------
#

require_once ('autoryzacja.php');
if (!$authorized) {
echo "Autoryzacja nie powiodła się.
<br><br><a href=\"index.php\">Przejdz do głównej strony</a>";
} else {

#
#-----[ ZNAJDŹ]------------------------------------------
#

?>

#
#-----[ PRZED TYM DODAJ]------------------------------------------
#

}

#
#-----[ ZAPISZ I ZAMKNIJ WSZYSTKIE PLIKI ]--------------------------
#
#EoM

W załączniku znajduje się plik autoryzacja.php, który należy skopiować do głownego katalogu nuke.

coś to nie chce chodzić tylko pojawia się następny komunikat do wprowadzania loginu i chasła...

Pochwał: 34

no tak ma to działać, wchodzisz w www.twojewww.pl/admin.php i masz logowanie admina, logujesz się po czym odpala się skrypt autoryzacja i musisz ponownie wpisac i włazisz do panelu

ja tak mam i działa mi, ale jeśli chce mieć się bezpieczniej trzeba się pogodzić

Pochwał: 2 · ~user Dołączył(a): 19.05.2006 Posty: 44 **Pochwał: 2** Status: **Offline**

Podczepie sie pod watek.

Jakim narzedziem najwygodniej sciagnac wszystkie pliki php z serwera i zmienic w nich

Kod:

admin.php

na jakis inny np:

Kod:

not_for_script_kids.php

.

No i pytanie czy zmiana w plikach *.php bedzie wystarczajaca Smile

Do autora:
Po zainstalowaniu tej poprawki wydaje mi sie ze blednie jest zliczana liczba uzytkownikow, a konkretnie admin liczony jest 2 razy.

Pochwał: 34

ściagnąć możesz kazdym klientem FTP, a do zmian polecam program
BK Replace

Tylko z tego co ja pamietam to w plikach php plik admin.php jest zdefiniowany jako

Kod:

$admin_file = "admin";

chyba że jest to wersja starsza ( 7.6 i niższa), wtedy użyj tego programu co Ci wyżej napisałem

co jest zliczane podwójnie??
ps przenieś temat do innego działu

Witam i dzięki za odpowiedź!

Kod:

no tak ma to działać, wchodzisz w www.twojewww.pl/admin.php i masz logowanie admina, logujesz się po czym odpala się skrypt autoryzacja i musisz ponownie wpisac i włazisz do panelu

Mam rozumieć że wpisuje login i chasło wstawione w pliku autoryzacja.php potem uruchamia się plik w całości(admin.php) a następnie wpisuje do panelu login i chasło z PHP Nuka.Opisze jak u mnie to działa, po wejściu do admin.php pojawia się okono i tam wpisuje login i chasło zawarte w pliku autoryzacja.php, okienko pojawia się ponownie, nie wiem czy następny login i chasło ma być podane to z panelu admina z Nuka?.
Proszę o info i z góry dzięki.
P.s. Patrzyłem w trakcie pisania posta i nic.
Acha wersja 7.8

Pochwał: 120

sp7cbf napisał(a):

Opisze jak u mnie to działa, po wejściu do admin.php pojawia się okono i tam wpisuje login i chasło zawarte w pliku autoryzacja.php, okienko pojawia się ponownie, nie wiem czy następny login i chasło ma być podane to z panelu admina z Nuka?.

Od autora:
Ten hack tylko i wyłączenie zabezpiecza plik admin.php za czym idzie cały Panel Admina.
Zabezpiecza go dodatkowym loginem i hasłem definiowanym w pliku autoryzacja.php

Więc jeśli się pojawia okienko autoryzacji to wpisujesz tam login i hasło z pliku autoryzacja.php a następnie uruchamia się normalnie logowanie do Panelu Admina i wprowadzasz tam login i hasło do Nuke.

Na nie których serwerach nie działa autoryzacja.
Na dość popularnym serwerze strefa.pl (którego odrazu odradzam) autoryzacja nie działała wogóle. Po kilku emailach do administratora serwera ten drobnych hack zadziałał..

Witam!
Trudno, tak też myślałem, potwierdziłeś p-maz moje przypuszczenia.Spróbuje może innym sposobem, jak się uda to dam znać.
Dzięki.

~user Dołączył(a): 11.11.2007 Posty: 1 Status: **Offline**

Zgłaszam, że opisany w pierwszym poście sposób autoryzacji nie działa do końca poprawnie:
autoryzacja.php działa, a po otwiarciu admin.php w Opera (9.24) strona wyświetla się w "krzakach".
.