Массовый взлом DLE сайтов от 13.01.2013

[fumofuuu]

И нужно всего лишь загрузить через дырку PHP-шелл чтобы обойти твой мего-пупер-супер хак... Не говори ерунды, твой хак поможет разве что защитить от входа в админку сайта, а от SQL-инъекций он никак не защищает. Зачем нам получать вообще доступ в админку, если мы через ту же инъекцию можем слить полностью базу? А вторая дырка позволит нам залить шелл и делать всё что угодно с сайтом. Админка тут ни при чём. Читай матчасть по уязвимостям.

я уже где то писал, что каждый день нужно заходить на свой сервер и прописывать yum update это основа основ.
Не говоря уже об ограничении доступа к ssh, ftp, mysql и прочие по IP

 

[Горбушка]

я уже где то писал, что каждый день нужно заходить на свой сервер и прописывать yum update это основа основ.
Не говоря уже об ограничении доступа к ssh, ftp, mysql и прочие по IP

Ещё один подобный пост и я приму меры...
Я не собираюсь объяснять, что SQL-инъекции не имеют отношение к наличию файла admin.php вообще, как и к версиям пакетов...
Удалите SSH, FTP, файл admin.php, обновите PHP и MySQL до последних версий хоть из дев-репозитария и оставьте мне файл с SQL-инъекцией - я ломану сайт за 2 минуты... Тоже самое касаемо шелов...

Если не знаешь о чём пишешь - молчи. Последнее предупреждение за флуд и набор постов.

И что касаемо прописывания каждый день yum update... Если даёте совет - давайте с привязкой к ОС... Для семейства Дебиан это будет apt-get update && upgrade. И я Вас очень сильно разочарую - версии пакетов на официальных репозитариях ОС сильно отливаются от последних в репозитариях разработчиков - тогда уж надо и репозитарии править.

Кроме того, переходя со стабильного пакета на новый бездумно прописывая команду обновления Вы рискуете получить критическую уязвимость или новую версию пакета, не совместимую с другими пакетами. На выходе Вы не только не поднимите безопасность, но и убьёте весь хостинг, конфиги и соответсвенно сайты.

И последнее, yum update единственное что делает - это обновляет список версий пакетов в репозитарии. Никакого обновления не производится. Для обновления служит команду yum upgrade, которой надо пользоваться с умом, обновляя на совместимые версии и только с пометкой "стабильный". Кроме того, обновляться в день выхода пакета надо ТОЛЬКО в случае, если он закрывает критическую уязвимость... Если это не так - надо подождать 2-3 дня отзывов и багрепортов. И если всё нормально - обновляться...

P.s. на ОС Debian 7 при выполнении apt-get upgrade вместо обновления PHP 5.2 или 5.3 до актуальной версии будет установлена php 5.4, которая НЕ совместима с 90% скриптов... Включая DLE 9.7 - делаем выводы...

 

[qwedc]

Добавлю, что проблема явно не из-за null, на лицензии те же проблемы.

 

[owari]

P.s. на ОС Debian 7 при выполнении apt-get upgrade вместо обновления PHP 5.2 или 5.3 до актуальной версии будет установлена php 5.4, которая НЕ совместима с 90% скриптов... Включая DLE 9.7 - делаем выводы...

debian 7 вышел? у меня нормально работает Dle 9.7 на php 5.4

 

[Горбушка]

debian 7 вышел? у меня нормально работает Dle 9.7 на php 5.4

1) Флуд
2) DLE 9.7 не совместим с php 5.4 - только в 9.8 добавили совместимость и исправили 100500 ошибок работы с 5.4
3) Debian 7 вышла полгода назад на уровне бета-версии... Что не запрещает её использовать. И опять же, я лишь привёл пример когда 5.3 будет обновлён на 5.4, т.к. работаю с Debian. У CentOS, FreeBSD и других дистрибутивов политики другие, посему сказать какая версия лежит на репозитариях я не могу.

 

[keymaster]

за yum update нада сразу по рукам давать. Я так раз тицьнул, после этого не делаю. Пришлось впс сносить. И по новой с бекапа востанавливать.
Панель конфигурации софта в одном месте ищет с репи софт в другие места натикал, я по совместимости уже молчу .... Если обновлять то каждой элемент отдельно

 

[owari]

1) Флуд
2) DLE 9.7 не совместим с php 5.4 - только в 9.8 добавили совместимость и исправили 100500 ошибок работы с 5.4
3) Debian 7 вышла полгода назад на уровне бета-версии... Что не запрещает её использовать. И опять же, я лишь привёл пример когда 5.3 будет обновлён на 5.4, т.к. работаю с Debian. У CentOS, FreeBSD и других дистрибутивов политики другие, посему сказать какая версия лежит на репозитариях я не могу.

Это раздел мегафлуда
Не знаю почему у вас несовместим у меня совместим.

исправили 100500 ошибок работы с 5.4

Огласите пожалуйста весь список...

Для просмотра ссылки Войди или Зарегистрируйся

34. Добавлена поддержка линейки PHP 5.4.x. для сайтов использующих кодировку windows-1251. Для сайтов в кодировке UTF-8 поддержка данной линейки PHP была ранее, начиная с версии 9.6.

 

[Горбушка]

43. Исправлена проблема, связанная с редактированием информации о категориях при использовании PHP линейки 5.4.x

Цитата с оффсайта релиза 9.8. Нету 100% совместимости с 5.4 в 9.7...

И эта не единственная ошибка... Я ж пишу модули под ДЛЕ, помогаю людям и т.д. - ко мне частенько обращаются с багами в ДЛЕ...

 

[owari]

Цитата с оффсайта релиза 9.8. Нету 100% совместимости с 5.4 в 9.7...

И эта не единственная ошибка... Я ж пишу модули под ДЛЕ, помогаю людям и т.д. - ко мне частенько обращаются с багами в ДЛЕ...

Подобные ошибки могут находить и в Dle 9.8, dle 9.9 и т.п. как и эти ошибки

37. Исправлена проблема, при которой была возможность регистрировать на сайте визуально невидимые логины.

38. Исправлена проблема, при которой происходило некорректное удаление дополнительных полей в админпанели скрипта.

39. Исправлена проблема, связанная с некорректной работой тега

 при редактировании новости в визуальном редакторе TinyMCE.
 
40. Исправлена проблема, при которой в некоторых случаях происходило "зависание" при массовой загрузке картинок и других файлов, и необходимо было закрывать окно загрузки и открывать его повторно.
 
41. Исправлена проблема, при которой невозможно было использовать картинки в персональных сообщениях при использовании WYSIWYG редактора, несмотря на то что использование изображений было разрешено в настройках группы.
 
42. Исправлена проблема, при которой пользователи которым разрешено управлять статическими страницами в админпанели скрипта (в том числе администраторы), не могли управлять загруженными для данной страницы файлами и картинками, если страница была создана другим пользователем на сайте.
 
43. Исправлена проблема, связанная с редактированием информации о категориях при использовании PHP линейки 5.4.x
 
44. Исправлены обнаруженные и заявленные ранее небольшие ошибки в скрипте.
[/QUOTE]

 

[Горбушка]

Хорошо, будем считать, что нет совместимости с 9.6 - тебе легче? =)

Какая разница с какой версией, речь о другом - выполнять обновление ПО по крону - глупо, тупо и наказуемо...