1. Приветствуем Вас на неофициальном форуме технической поддержки XenForo на русском языке. XenForo - новый и перспективный форумный движок от бывших создателей vBulletin.

Возможно ли залить шелл в XF?

Тема в разделе "Основные вопросы по XenForo", создана пользователем exarh, 4 окт 2011.

Загрузка
  1. exarh

    exarh Местный

    Регистрация:
    05.11.10
    Сообщения:
    364
    Симпатии:
    78
    Версия XF:
    1.1.3
    Вообще возможно?
    Если, да - то методы борьбы.
    Помню в булке хранили в базе аватары или запрещали скрипты в .htaccess
     
  2. Romchik®

    Romchik® The Power of Dreams Команда форума

    Регистрация:
    26.09.10
    Сообщения:
    5.740
    Симпатии:
    5.269
    Версия XF:
    1.5.11
    Если стоит чистый XF последней версии, то маловероятно. Если стоит мало плагинов, то кто знает, какие у них проблемы могут быть.
     
  3. Yoskaldyr

    Yoskaldyr Пользователь

    Регистрация:
    27.09.10
    Сообщения:
    1.921
    Симпатии:
    1.160
    Версия XF:
    1.0.4
    В самом xenforo пока что такой возможности скорее всего нет - просто архитектура движка способствует к тому чтобы писать прямой и безопасный код.
    Вот настройка сервера может быть такая что шелл зальется даже если сайт будет статический и вообще без пхп и скорее всего автоматом каким либо ботнетом. Вариантов тут уйма, но ни один из них не относится к ксенфоро.
     
  4. infis

    infis Местный Команда форума

    Регистрация:
    27.06.11
    Сообщения:
    5.525
    Симпатии:
    3.321
    Версия XF:
    1.5.9
    Метод борьбы один - полный контроль над сервером и адекватное администрирование. При использовании обычного веб-хостинга приходиться надеяться на грамотных специалистов хостера. При использовании виртуального сервера также приходиться надеяться на хостера, но уже в меньшей степени. Ну а при выделенном сервере - надеемся на себя.
    Один из вариантов на своем сервере - делать ежедневные бэкапы с контролем изменений, плюс защита файлов от модификации (в никсах можно поиграться с правами на файлы и папки, в винде такой номер практически не катит). Также полезно в нужных местах поставить апачевскую защиту (htpasswd), например для phpMyAdmin, если он установлен, плюс админку можно защитить. Ну и т.д.
    Сразу скажу, для профессиональных взломщиков львиная доля таких защит не выглядит непробиваемой. Но от школоты и средненьких взломщиков уже достаточно эффективна.
     

Поделиться этой страницей