Редактор БД, поиск шелов и улучшенный phpinfo

#1 2 июня 2012 в 03:44
Только что закончила небольшой пакетик доработок для админки.
1) phpinfo без iframe;
2) ai-bolit, самая свежая версия, открывается только из админки, использует curl;
3) мощный и удобный редактор базы данных adminer. Так же интегрирован с сайтом, но только внешне. Использует статичную копию шапки админки. Полностью связать с движком пока не удалось, потому что сам скрипт много раз вызывает сам себя.
iframe не используется нигде.

Сделано для себя. Это моя первая попытка чем-то поделиться. Кармы нет — блога нет. В местных порядках не совсем ориентируюсь. Если сочтете доработку полезной — подскажите как правильно выложить.
#2 2 июня 2012 в 04:06
+
если безопасность не пострадает тогда +++ :)
а где глянуть?
#3 2 июня 2012 в 10:03
Посмотреть негде — тестового сайта пока нет. Сегодня сделаю скрины и архив для установки.
По безопасности.
Айболит открывается только при запросе с того же айпи, на котором расположен (вызывается через curl) плюс используется небольшая защита от автора — пароль в get.
Админер проверяет авторизацию в сессии и требует залогиниться как пользователь БД. Последнее можно было подтянуть из конфига, но именно из-за безопасности оставила авторизацию. Если пользователь не параноик — есть возможность сохранить куку и вводить данные каждый раз не придется.
Phpinfo стал безопаснее😊нет отдельного файла.
#4 2 июня 2012 в 11:50
Вы кидайте это файлы котрые находятся в вашем личном профиле. а опубликовать можете тут прям. или в блоге(хотя вроде пока только тут)
#5 2 июня 2012 в 13:09
Иллюстрация
ИллюстрацияИллюстрация
Скачать архив

1) phpinfo без iframe;
2) ai-bolit, AI-Болит v.20120512 — искалка вредоносного ПО на хостинге.
3) мощный и удобный редактор базы данных adminer.

Проверялось на 1.9.

Безопасность
Айболит открывается только при запросе с того же IP, на котором расположен, (вызывается через curl) плюс используется небольшая защита от автора — пароль в get.
Админер проверяет авторизацию в сессии и требует залогиниться как пользователь БД. Последнее можно было подтянуть из конфига, но именно из-за безопасности оставила авторизацию. Если уверенны в надежноти своего компьютера — есть возможность сохранить куку и вводить данные каждый раз не придется.
Phpinfo стал безопаснее — нет отдельного файла.

Недостатки.
Админер интегрирован только внешне, содержит статическую копию шапки админки.
Не проверялась кроссбраузерность.
Айболит содержит рекламу автора скрипта. На денвере не укладывается в лимит 30 секунд.
Кодировка всего win-1251, Админер в utf-8. При работе не заметно, если в браузере настроено автоопределение кодировки.

Установка.
1.Залить все на хостинг с учетом каталогов.

2. Есле ранее менялся файл /admin/includes/cp.php то не перезаписывать.
В нем после стороки 299 (оригинал версии 1.9)
  1. <li><a class="phpinfo" href="index.php?view=phpinfo">Информация PHP</a></li>
Добавить:
  1. <li><a style="margin-left:5px; background:url(/admin/includes/adminer.php?file=favicon.ico&valid) no-repeat 6px 6px;" href="index.php?view=adminer">База MySQL</a></li>
  2. <li><a class="config" href="index.php?view=aibolit">Поиск уязвимостей</a></li>
3. Удалить файл /admin/includes/phpinfo.php

4. Если все работает, можно смело сносить phpMyAdmin :)

5. Для параноиков.
Можно заменить константу define('PASS', 'fli'); в файле /ai-bolit.php и соответствующую переменную в конце запроса в /admin/applets/aibolit.php (cтрока 37)
  1. $ch = curl_init("http://".$_SERVER['SERVER_NAME']."/ai-bolit.php?p=[b]fli[/b]");
Админер можно переименовать.
— сам файл /admin/includes/adminer.php.
— вхождения "adminer.php" в /admin/applets/adminer.php (строка 19)
— в /admin/includes/cp.php (строка 300, см. п. 2)
— в самом /admin/includes/adminer.php, точнее, уже переименованном (строка 234, идентична предыдущей)
#6 2 июня 2012 в 15:19
это решение на сторонних(джино) хостингах работает(не свой сервер)?
#7 2 июня 2012 в 16:22
Перехожу по пункту База MySQL выдает ошибка
Страница не найдена — 404
Возможно, она была удалена или перемещена
#8 2 июня 2012 в 16:40

4. Если все работает, можно смело сносить phpMyAdmin :)

floppox
ну я бы не торопился сносить в любом случае — иначе ведь без авторизации в админке невозможно будет открыть базу данных. Скажем, если рухнет mysql и сайт просто перестанет запускаться — придется лезть в базу напрямую, так что без phpmyadmin не обойтись (ваша версия админера проверяет авторизованность под админом, чего в данном случае не будет).
#9 2 июня 2012 в 16:44
а как связано между собой:
1) phpinfo без iframe;
2) ai-bolit, AI-Болит v.20120512 — искалка вредоносного ПО на хостинге.
3) мощный и удобный редактор базы данных adminer.

floppox, объясни пожалуйста на уровне чайника :)
п. 1 и п. 2 понимаю, какбы обезопасить, а зачем п.3
и как установить 1и2 без п.3
#10 2 июня 2012 в 16:55
Кто нибуть скажет почему не запускаеца База MySQL когда перехожу по ссылке
  1. <li><a style="margin-left:5px; background:url(/admin/includes/adminer.php?file=favicon.ico&valid) no-repeat 6px 6px;" href="index.php?view=adminer">База MySQL</a></li>
в адресной строке браузера ссылка у меня выглядит вот так siti.ru/admin/includes/adminer.php?valid
#11 2 июня 2012 в 17:02

а зачем п.3

Ну хотя бы для того, если, я, например, не хочу давать доступ к базе на своём сервере стороннему бамбузеру.

без авторизации в админке невозможно будет открыть базу данных.

phpMyAdmin-лишь удобный интерфейс, ни чё боле, можно поюзать и через консоль, на доступ он не влияет.Все базы и юзвери в Mysql сервере
#12 2 июня 2012 в 18:02
Ɍɕβoṙη, а как связано между собой:
1) phpinfo без iframe;
2) ai-bolit, AI-Болит v.20120512 — искалка вредоносного ПО на хостинге.
3) мощный и удобный редактор базы данных adminer.

п. 1 и п. 2 понимаю, какбы обезопасить, а п.3 дать доступ другому юзверю, так ?

а как они между собой связаны ???

эти типа- продаю авто и варенье в придачу. оно приятно конечно, но к авто не имеет же отношения
надо их разделить :)
#13 2 июня 2012 в 19:36

это решение на сторонних(джино) хостингах работает(не свой сервер) ?

У меня на обычном хостинге работает.

ну я бы не торопился сносить в любом случае — иначе ведь без авторизации в админке невозможно будет открыть базу данных.

Всегда можно скачать оригинальный Админер и залить временно :). Он лучше же.

а как связано между собой

Сделала для себя, выложила все в кучу. Хотя, есть и общее. Задача была — реализовать это все без фрейма.

как установить 1и2 без п.3

Не заливать файлы с со словом adminer в названии и не вставлять в cp.php соответствующий пункт меню.
#14 2 июня 2012 в 19:46

Кто нибуть скажет почему не запускаеца База MySQL когда перехожу по ссылке

К сожалению, я не экстрасенс и слишком мало информации, чтоб установить причину. Но вероятнее всего, что файла /admin/includes/adminer.php таки нет на месте. Как вариант, может вы его переименовали а путь не исправили?
#15 2 июня 2012 в 19:53
а почему скрипт ai-bolit нужно на пароль ставит, вроде оно только шелы ищет или что-то другое может еще?
Вы не можете отвечать в этой теме.
Войдите или зарегистрируйтесь, чтобы писать на форуме.
Используя этот сайт, вы соглашаетесь с тем, что мы используем файлы cookie.