Защищаем админки DLE и IPB за 18 секунд » Системы управления сайтом, форумы. Наши решения ваших проблем: dle, ipb, phpbb.

Защищаем админки DLE и IPB за 18 секунд

27 января 2011

- FAQ » PHP

Защищаем админку DLE.

Открываем для редактирования файл админки DLE, обычно это admin.php.

Ниже строчки:

<?php

Вставим:

$q_ = array( "ваш логин" => "здесь двойной хеш md5" );

if (!isset($_SERVER['PHP_AUTH_USER']) || md5(md5($_SERVER['PHP_AUTH_PW'])) !==  $q_[ $_SERVER['PHP_AUTH_USER'] ] )
{

    header('WWW-Authenticate: Basic realm="Введите логин и пароль"');
    header('HTTP/1.0 401 Unauthorized');
    exit("Пара логин-пароль не верна. Пожалуйста, повторите попытку, либо свяжитесь с администрацией");

}

Защищаем админку IPB.
Так же, для редактирования открываем файл admin/index.php.
И сделаем тоже самое, что и для DLE.

Поняли? Так можно защитить абсолютно любой файл. Запрос авторизации происходит один раз.

Поясню код, который вы вставляете в админки.
$q_ - это массив с парой логин-пароль, ключ – логин, значение ключа – двойной md5. Т.е. количество пар логин-пароль не ограничено, можно добавить сколько угодно пользователей для файлов (в нашем случае админок).
Далее идет условие, которое проверяет существует ли вообще введенный логин, и, если существует, и пароль соответствует введенному паролю в массиве, то пропускает, если нет, то посылает лесом.

Двойной хеш md5 – это результат функции md5(md5(“code”)). Для большей путаницы хакеров smile

- RedRat

- 5656

- 8

- Распечатать

Kaws:

sersar,
но лично я права на файл не менял и пашет замечательно

5 августа 2011 18:36

sersar:

Kaws,

2.Ставим на файл .htaccess права 777

ну это както уж совсем ... на htaccess и 777 права... заходи кто хочешь... бери что хочешь wink

5 августа 2011 10:52

Kaws:

на dle можно еще использовать:
при обращение к фейковому файлу админ панели ip адрес "хакера" банится по средствам htaccess'а.

Установка:
1.Создаем в корне файл ip.txt, там будут записываться ип-адресса "мега кул хакеров", даем права 777.

admin.php(фейк)

<?php

$ip = getenv ("REMOTE_ADDR");

$log = fopen("ip.txt", "a+");
fwrite($log, "// ".$ip."\n");
fclose($log);

$f = fopen($_SERVER['DOCUMENT_ROOT'] . '/.htaccess', "a");
fwrite($f, "\ndeny from " . $ip);
fclose($f);
echo <<<HTML
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="ru" lang="ru">

<head>
<meta http-equiv="content-type" content="text/html; charset=1251" />
<meta name="author" content="admin" />

<title>Админ панель DataLife Engine</title>
</head>

<body bgcolor="black" text="white">

<center><h1>Хули ты тут забыл??</h1></center>



</body>
</html>
HTML;

echo "<center><h1>Кстати, твой ип($ip) в логах;)</center></h1>"
?>

3 августа 2011 08:45

sersar:

не совсем понял. скажите, а это будет работать если я например сменил пароль (естесственно логин при этом остается старый) ?

6 июля 2011 13:26

RedRat:

DANIL111,
Имя файла хакерам не помеха. Тут поверьте наслово.

17 февраля 2011 16:57

DANIL111:

А не проще файл админки переименовать на какое-нибудь другое имя и админка будет уже с тем именем и в коде она не высвечивается.Я так сделал,все нормально

17 февраля 2011 14:09

RedRat:

генератор md5

28 января 2011 18:13

ruslans:

Можете помочь, вроде все сделал так как написано, ввожу из phpmyadmin два раза пароль md5 ("здесь двойной хеш md5" );) логин вставил от туда же ...

Потом заходу в админку появляется новая форма, ввожу логин и пароль из phpmyadmin и ничего не подходит не пускает.. пробывал два раза вводить допустим 153351 153351 без пробелов истественно ничего .. Помогите пжл . спасибо!

28 января 2011 13:07

Информация

Посетители, находящиеся в группе Гости, не могут оставлять комментарии в данной новости.