Решено! При входе в админку не проверяет пароль

Тема в разделе "Вопросы безопасности", создана пользователем main, 07.10.2012.

  1. Offline

    main Недавно здесь

    Регистрация:
    07.10.2012
    Сообщения:
    23
    Симпатии:
    0
    Пол:
    Мужской
    Так... а как он покажет что что-то есть? А то выдал много строчек, а потом:

    Fatal error: Maximum execution time of 30 seconds exceeded in /home/хххххххххх/public_html/fls.php(2) : eval()'d code on line 5
     
  2. draff
    Offline

    draff Russian Joomla! Team Команда форума

    Регистрация:
    17.01.2011
    Сообщения:
    6 032
    Симпатии:
    518
    Пол:
    Мужской
    Сканер в браузере выведет результат.

    Нужно увеличить время работы скрипта.
     
  3. Offline

    main Недавно здесь

    Регистрация:
    07.10.2012
    Сообщения:
    23
    Симпатии:
    0
    Пол:
    Мужской
    Готово. Ну а собственно, как найти бэкдор?
    Строк много, String:: принимает два значения:
    $_POST[
    confirm(
     
  4. draff
    Offline

    draff Russian Joomla! Team Команда форума

    Регистрация:
    17.01.2011
    Сообщения:
    6 032
    Симпатии:
    518
    Пол:
    Мужской
    И больше ничего?
    Открой скрипт,и посмотри что ищет сканер.
     
  5. Offline

    main Недавно здесь

    Регистрация:
    07.10.2012
    Сообщения:
    23
    Симпатии:
    0
    Пол:
    Мужской
    Скрипт выдает порядка 20-30 адресов файлов, после каждого адреса (строки) стоит либо String::$_POST[ либо String::confirm(
     
  6. draff
    Offline

    draff Russian Joomla! Team Команда форума

    Регистрация:
    17.01.2011
    Сообщения:
    6 032
    Симпатии:
    518
    Пол:
    Мужской
    Ну тогда норма.Бекдор нет.
     
  7. Offline

    main Недавно здесь

    Регистрация:
    07.10.2012
    Сообщения:
    23
    Симпатии:
    0
    Пол:
    Мужской
    хэлп :'(
     
  8. Offline

    main Недавно здесь

    Регистрация:
    07.10.2012
    Сообщения:
    23
    Симпатии:
    0
    Пол:
    Мужской
    Больше ни у кого никаких соображений нет? :(

    draff Спасибо за уделенное время.
     
  9. DKraev
    Offline

    DKraev <i>(aka gft)</i>

    Регистрация:
    16.08.2008
    Сообщения:
    1 627
    Симпатии:
    216
    Пол:
    Мужской
    Посмотреть бы изнутри на проблему. Если хотите - скиньте в личку адрес сайта. Посмотрю.
     
  10. Offline

    main Недавно здесь

    Регистрация:
    07.10.2012
    Сообщения:
    23
    Симпатии:
    0
    Пол:
    Мужской
    Спасибо, но хотелось бы еще попробовать самому попробовать исправить... Боязно незнакомых людей пускать в админку, да к тому же незащищенную, уж простите :)

    Как вы думаете, мог пароль всетаки где-то закэшироваться?)
     
  11. DKraev
    Offline

    DKraev <i>(aka gft)</i>

    Регистрация:
    16.08.2008
    Сообщения:
    1 627
    Симпатии:
    216
    Пол:
    Мужской
    Дело Ваше, конечно. Закешироваться так, чтобы пускать в админку кого угодно - явно не мог.
     
    main нравится это.
  12. draff
    Offline

    draff Russian Joomla! Team Команда форума

    Регистрация:
    17.01.2011
    Сообщения:
    6 032
    Симпатии:
    518
    Пол:
    Мужской
    Можешь закрыть временно для всех админку
    .htaccess
    Код (PHP):
    1. ####  NO  Enter  
    2. Order Deny,Allow
    3.  
    4. Deny from all
     
  13. Offline

    main Недавно здесь

    Регистрация:
    07.10.2012
    Сообщения:
    23
    Симпатии:
    0
    Пол:
    Мужской
    Я пока JSecure поставил, думаю достаточно.

    Ну не совсем кого угодно - нужно знать логин :)
     
    Последнее редактирование модератором: 10.10.2012
  14. DKraev
    Offline

    DKraev <i>(aka gft)</i>

    Регистрация:
    16.08.2008
    Сообщения:
    1 627
    Симпатии:
    216
    Пол:
    Мужской
    А если набрать http://адрес сайта/index.php?option=com_user&view=login - не откроет ли форму входа? А если откроет - пустит?
     
  15. Offline

    main Недавно здесь

    Регистрация:
    07.10.2012
    Сообщения:
    23
    Симпатии:
    0
    Пол:
    Мужской
    Форму открывает. Если правильно ввести логин/пароль, то Invalid Token, если неправильно, то просто редирект на главную..
     
  16. DKraev
    Offline

    DKraev <i>(aka gft)</i>

    Регистрация:
    16.08.2008
    Сообщения:
    1 627
    Симпатии:
    216
    Пол:
    Мужской
  17. Offline

    main Недавно здесь

    Регистрация:
    07.10.2012
    Сообщения:
    23
    Симпатии:
    0
    Пол:
    Мужской
    Думаю, скоро уже созрею пустить кого-нибудь в админку (давно хотел найти человека для постоянного сотрудничества)...

    DKraev, 500 руб/час?)
     
  18. DKraev
    Offline

    DKraev <i>(aka gft)</i>

    Регистрация:
    16.08.2008
    Сообщения:
    1 627
    Симпатии:
    216
    Пол:
    Мужской
    Я беру оплату за конкретную задачу как правило.
    В любом случае, это вопрос не для обсуждения на форуме. Мой сайт - didgo.ru , там есть все контакты.
    Пишите, коль будет желание )
     
  19. Offline

    main Недавно здесь

    Регистрация:
    07.10.2012
    Сообщения:
    23
    Симпатии:
    0
    Пол:
    Мужской
    Да, действительно не для форума, прошу прощения.

    Ну а по проблеме: есть еще у кого какие мысли? Я начинаю думать, что я первый, кто столкнулся с подобным :)
     
  20. DKraev
    Offline

    DKraev <i>(aka gft)</i>

    Регистрация:
    16.08.2008
    Сообщения:
    1 627
    Симпатии:
    216
    Пол:
    Мужской
    На самом деле - не первый. Вопрос подымался ранее, решился перезаливкой файлов.
     

Поделиться этой страницей

Загрузка...