Редактор БД, поиск шелов и улучшенный phpinfo

 
Посетитель
small user social cms
Сообщений: 40
Только что закончила небольшой пакетик доработок для админки.
1) phpinfo без iframe;
2) ai-bolit, самая свежая версия, открывается только из админки, использует curl;
3) мощный и удобный редактор базы данных adminer. Так же интегрирован с сайтом, но только внешне. Использует статичную копию шапки админки. Полностью связать с движком пока не удалось, потому что сам скрипт много раз вызывает сам себя.
iframe не используется нигде.

Сделано для себя. Это моя первая попытка чем-то поделиться. Кармы нет - блога нет. В местных порядках не совсем ориентируюсь. Если сочтете доработку полезной - подскажите как правильно выложить.
Редактировалось: 1 раз (Последний: 2 июня 2012 в 03:45)
Посетитель
small user social cms
МедальПочетный донор проектаАвторитет форумаКубок зрительских симпатий
Сообщений: 4305
+
если безопасность не пострадает тогда +++ :)
а где глянуть ?
Редактировалось: 1 раз (Последний: 2 июня 2012 в 04:07)
Реклама
cms
Посетитель
small user social cms
Сообщений: 40
Посмотреть негде - тестового сайта пока нет. Сегодня сделаю скрины и архив для установки.
По безопасности.
Айболит открывается только при запросе с того же айпи, на котором расположен (вызывается через curl) плюс используется небольшая защита от автора - пароль в get.
Админер проверяет авторизацию в сессии и требует залогиниться как пользователь БД. Последнее можно было подтянуть из конфига, но именно из-за безопасности оставила авторизацию. Если пользователь не параноик - есть возможность сохранить куку и вводить данные каждый раз не придется.
Phpinfo стал безопаснее smile нет отдельного файла.
Редактировалось: 1 раз (Последний: 2 июня 2012 в 10:06)
Посетитель
small user social cms
МедальКубок зрительских симпатий
Сообщений: 187
Вы кидайте это файлы котрые находятся в вашем личном профиле. а опубликовать можете тут прям. или в блоге(хотя вроде пока только тут)
Посетитель
small user social cms
Сообщений: 40
Скрины
Скачать архив

1) phpinfo без iframe;
2) ai-bolit, AI-Болит v.20120512 — искалка вредоносного ПО на хостинге.
3) мощный и удобный редактор базы данных adminer.

Проверялось на 1.9.

Безопасность
Айболит открывается только при запросе с того же IP, на котором расположен, (вызывается через curl) плюс используется небольшая защита от автора - пароль в get.
Админер проверяет авторизацию в сессии и требует залогиниться как пользователь БД. Последнее можно было подтянуть из конфига, но именно из-за безопасности оставила авторизацию. Если уверенны в надежноти своего компьютера - есть возможность сохранить куку и вводить данные каждый раз не придется.
Phpinfo стал безопаснее - нет отдельного файла.

Недостатки.
Админер интегрирован только внешне, содержит статическую копию шапки админки.
Не проверялась кроссбраузерность.
Айболит содержит рекламу автора скрипта. На денвере не укладывается в лимит 30 секунд.
Кодировка всего win-1251, Админер в utf-8. При работе не заметно, если в браузере настроено автоопределение кодировки.

Установка.
1.Залить все на хостинг с учетом каталогов.

2. Есле ранее менялся файл /admin/includes/cp.php то не перезаписывать.
В нем после стороки 299 (оригинал версии 1.9)
Код PHP:
  1. <li><a class="phpinfo" href="index.php?view=phpinfo">Информация PHP</a></li>
Добавить:
Код PHP:
  1. <li><a style="margin-left:5px; background:url(/admin/includes/adminer.php?file=favicon.ico&valid) no-repeat 6px 6px;" href="index.php?view=adminer">База MySQL</a></li>
  2. <li><a class="config" href="index.php?view=aibolit">Поиск уязвимостей</a></li>
3. Удалить файл /admin/includes/phpinfo.php

4. Если все работает, можно смело сносить phpMyAdmin :)

5. Для параноиков.
Можно заменить константу define('PASS', 'fli'); в файле /ai-bolit.php и соответствующую переменную в конце запроса в /admin/applets/aibolit.php (cтрока 37)
Код PHP:
  1. $ch = curl_init("http://".$_SERVER['SERVER_NAME']."/ai-bolit.php?p=[b]fli[/b]");
Админер можно переименовать.
- сам файл /admin/includes/adminer.php.
- вхождения "adminer.php" в /admin/applets/adminer.php (строка 19)
- в /admin/includes/cp.php (строка 300, см. п. 2)
- в самом /admin/includes/adminer.php, точнее, уже переименованном (строка 234, идентична предыдущей)
Редактировалось: 2 раз (Последний: 2 июня 2012 в 13:13)
Посетитель
small user social cms
МедальПочетный донор проектаАвторитет форумаКубок зрительских симпатий
Сообщений: 4305
это решение на сторонних(джино) хостингах работает(не свой сервер) ?
Посетитель
small user social cms
Медаль
Сообщений: 380
Перехожу по пункту База MySQL выдает ошибка
Страница не найдена — 404
Возможно, она была удалена или перемещена
Я меняю валюту на сайте obmenka. Рекомендую! Возможен вывод в наличные деньги.
Посетитель
small user social cms
МедальКубок зрительских симпатий
Сообщений: 555
floppox:
4. Если все работает, можно смело сносить phpMyAdmin :)
ну я бы не торопился сносить в любом случае - иначе ведь без авторизации в админке невозможно будет открыть базу данных. Скажем, если рухнет mysql и сайт просто перестанет запускаться - придется лезть в базу напрямую, так что без phpmyadmin не обойтись (ваша версия админера проверяет авторизованность под админом, чего в данном случае не будет).
Редактировалось: 2 раз (Последний: 2 июня 2012 в 16:45)
оптимизирую помаленьку
Посетитель
small user social cms
МедальПочетный донор проектаАвторитет форумаКубок зрительских симпатий
Сообщений: 4305
а как связано между собой:
1) phpinfo без iframe;
2) ai-bolit, AI-Болит v.20120512 — искалка вредоносного ПО на хостинге.
3) мощный и удобный редактор базы данных adminer.

floppox,объясни пожалуйста на уровне чайника :)
п. 1 и п. 2 понимаю, какбы обезопасить, а зачем п.3
и как установить 1и2 без п.3
Посетитель
small user social cms
Медаль
Сообщений: 380
Кто нибуть скажет почему не запускаеца База MySQL когда перехожу по ссылке
Код PHP:
  1. <li><a style="margin-left:5px; background:url(/admin/includes/adminer.php?file=favicon.ico&valid) no-repeat 6px 6px;" href="index.php?view=adminer">База MySQL</a></li>
в адресной строке браузера ссылка у меня выглядит вот так http://siti.ru/admin/includes/adminer.php?valid
Редактировалось: 3 раз (Последний: 2 июня 2012 в 16:59)
Я меняю валюту на сайте obmenka. Рекомендую! Возможен вывод в наличные деньги.
Посетитель
small user social cms
МедальКубок зрительских симпатий
Сообщений: 531
а зачем п.3
Ну хотя бы для того,если,я,например,не хочу давать доступ к базе на своём сервере стороннему бамбузеру.
без авторизации в админке невозможно будет открыть базу данных.
phpMyAdmin-лишь удобный интерфейс,ни чё боле,можно поюзать и через консоль,на доступ он не влияет.Все базы и юзвери в Mysql сервере
Редактировалось: 1 раз (Последний: 2 июня 2012 в 17:09)
Посетитель
small user social cms
МедальПочетный донор проектаАвторитет форумаКубок зрительских симпатий
Сообщений: 4305
Ɍɕβoṙη ,а как связано между собой:
1) phpinfo без iframe;
2) ai-bolit, AI-Болит v.20120512 — искалка вредоносного ПО на хостинге.
3) мощный и удобный редактор базы данных adminer.

п. 1 и п. 2 понимаю, какбы обезопасить, а п.3 дать доступ другому юзверю, так ?

а как они между собой связаны ???

эти типа- продаю авто и варенье в придачу. оно приятно конечно, но к авто не имеет же отношения
надо их разделить :)
Посетитель
small user social cms
Сообщений: 40
это решение на сторонних(джино) хостингах работает(не свой сервер) ?
У меня на обычном хостинге работает.
ну я бы не торопился сносить в любом случае - иначе ведь без авторизации в админке невозможно будет открыть базу данных.
Всегда можно скачать оригинальный Админер и залить временно :). Он лучше же.
а как связано между собой
Сделала для себя, выложила все в кучу. Хотя, есть и общее. Задача была - реализовать это все без фрейма.
как установить 1и2 без п.3
Не заливать файлы с со словом adminer в названии и не вставлять в cp.php соответствующий пункт меню.
Редактировалось: 2 раз (Последний: 2 июня 2012 в 19:41)
Посетитель
small user social cms
Сообщений: 40
Кто нибуть скажет почему не запускаеца База MySQL когда перехожу по ссылке
К сожалению, я не экстрасенс и слишком мало информации, чтоб установить причину. Но вероятнее всего, что файла /admin/includes/adminer.php таки нет на месте. Как вариант, может вы его переименовали а путь не исправили?
Редактировалось: 1 раз (Последний: 2 июня 2012 в 19:48)
Посетитель
small user social cms
МедальПочетный донор проектаАвторитет форумаКубок зрительских симпатий
Сообщений: 4305
а почему скрипт ai-bolit нужно на пароль ставит, вроде оно только шелы ищет или что-то другое может еще ?
В начало страницы
Предыдущая темаСледующая тема Перейти на форум:
Быстрый ответ
Чтобы писать на форуме, зарегистрируйтесь или авторизуйтесь.