Вот хотел поделиться информацией о защиты сайтов юзающих DLE 8.x версий.
1.Открываем файл engine/inc/files.php и находим:
$serverfile = trim( htmlspecialchars( strip_tags( $_POST['serverfile'] ) ) );
заменяем на:
Код:
if ($member_id['user_group'] == 1) $serverfile = trim( htmlspecialchars( strip_tags( $_POST['serverfile'] ) ) ); else $serverfile = '';
if ( $serverfile != '' ) {
$serverfile = str_replace( "\\", "/", $serverfile );
$serverfile = str_replace( "..", "", $serverfile );
$serverfile = str_replace( "/", "", $serverfile );
$serverfile_arr = explode( ".", $serverfile );
$type = totranslit( end( $serverfile_arr ) );
$curr_key = key( $serverfile_arr );
unset( $serverfile_arr[$curr_key] );
if ( in_array( strtolower( $type ), $allowed_files ) )
$serverfile = totranslit( implode( ".", $serverfile_arr ) ) . "." . $type;
else $serverfile = '';
}
if( $serverfile == ".htaccess") die("Hacking attempt!");
2. Открываем файл engine/classes/thumb.class.php и находим:
Код:
$this->img['des'] = imagecreatetruecolor( $this->img['lebar_thumb'], $this->img['tinggi_thumb'] );
добавляем выше этой строки:
Код:
if ($this->img['lebar_thumb'] < 1 ) $this->img['lebar_thumb'] = 1;
if ($this->img['tinggi_thumb'] < 1 ) $this->img['tinggi_thumb'] = 1;
Установка защиты от взлома DLE, а точнее исправление недостаточной фильтрации данных завершена.
И второй способ. Даный хак по защите DLE.
1.Открываем .htaccess (делаем доступ по IP+использование определенных php файлов) Добовляем после RewriteEngine On
Код:
#Антихакер
Order allow,deny
Deny from all
order deny,allow
Allow from all
order deny,allow
Allow from all
order deny,allow
Allow from all
order deny,allow
Allow from all
order deny,allow
Allow from all
order deny,allow
Allow from all
order deny,allow
Allow from all
order deny,allow
Allow from all
order deny,allow
Allow from all
Order deny,allow
Allow from all
order deny,allow
Deny from all
Allow from 88.33.(ТУТ ПРОПИСЫВАЕМ СВОЙ ИП ИЛЕ ДИАПАЗОН С КОТОРОГО ВЫ БУДЕТЕ ЗАХОДИТЬ В АДМИНКУ.)
order deny,allow
Allow from all
order deny,allow
Allow from all
order deny,allow
Allow from all
order deny,allow
Allow from all
order deny,allow
Allow from all
Allow from all
Allow from all
Allow from all
Allow from all
#Антихакер
2.Защита admin.php.
Прописываем это в admin.php(или в других файлах download.php скачивание по паролю и т.д
Код:
$login="wf";
$password="e50e5e9da3d747cdba96d849de57516e"; ///// wfound
if (!isset($_SERVER['PHP_AUTH_USER']) || $_SERVER['PHP_AUTH_USER']!==$login || md5($_SERVER['PHP_AUTH_PW'])!==$password) {'
header('WWW-Authenticate: Basic realm="LoGin and PaswWort!?"');
header('HTTP/1.0 401 Unauthorized');
exit("ПЕПЯКОДЭНС РИАЛЬНЕПЕПЯКА!!!1 МЖВЯЧНИУБЕЙТЕ МЕНЯ КТОНИБУДЬКОТЭОДОБРЯЕКЛАЦКЛАЦКАгБЕИ!!11 (c) Генератор зла");'}
Надеюсь всё это поможет вам удачи и далой взломщиком.