Поиск по сайту
Вход на сайт
Обратите внимание
Топ-новости
Архив сайта
Апрель 2016 (1)
Апрель 2014 (1)
Ноябрь 2013 (1)
Октябрь 2013 (1)
Май 2013 (2)
Апрель 2013 (8)
Партнеры

seo-monster.ru - сервис проверки доменов
хочешь такой же информер? Информер ТИЦ и PR

» » Защита бэкапов БД

Защита бэкапов БД

Хаки

Автор: AVET
После новости об угоне базы данных с 4dle.ru я задумался, какие же есть варианты угона - ошибки в скрипте, как вариант, но есть и ещё 1 ну до смеха простой способ угнать базу.

Навожу пример: выбираете жертву, находите ICQ админа например, выжидаете его в режиме онлайн, заходите левым номерком и начинаете ему вешать лапшу на уши, мол у вас есть инфа что через пару минут его сайт хочеть взломать некий человек, даёте ему рекомендацию сделать резервную копию БД, что он наверняка сделает средствами самого DataLife.

А база то сохраняется в папке backup, в htacces не предусмотрено никой защиты от скачивания.

Формат названия бэкапа:

[имя_БД]_[д-а-та]_[вре-мя].sql
или
[имя_БД]_[д-а-та]_[вре-мя].sql.gz

например:
datalife_2008-06-14_18-10.sql
или
datalife_2008-06-14_18-10.sql.gz

в принципе злоумышленник може узнать название базы, либо пробовать название по умолчанию (например datalife). Если скажем он вам маячил по ICQ то первые цифры ему будут известны и он может делать перебор, либо использовать для этого скрипт подстановки и попытатся закачать файл базы.

Что можно выжать с базы - это уже другой вопрос.

Защита столь же элементарна, всё тот же .htaccess


<Files "*.sql">
Deny from all
</Files>
<Files "*.gz">
Deny from all
</Files>


Hamer как мысли читает:

Лучше делайте беки через PHP my Admin.. не удобней ... но надежней.
Ну а если не прет ... то для надежности лучше сделать вот так :

Открываем engine/inc/dumper.php

Находим
$name = $db . '_' . date("Y-m-d_H-i");



Заменяем на
$pref = time();
$name = $pref . '_' . $db . '_' . date("Y-m-d_H-i-s");




Сейчас мы сделали так

датавсекундах_база_гг-мм-дд_чч_мм_сс

т.е добавили префикс который угадать невозможно ...
и добавили секунды... которые тоже очень тяжело будет угадать ...

У вас не ставится dle модуль или dle шаблон работает не правильно? Задайте вопрос на нашем форуме по DLE(Datalife Engine CMS) и Вам обязательно помогут!



Если появились вопросы по поводу Защита бэкапов БД или Вы хотите высказаться, то пройдите регистрацию или авторизируйтесь и оставляйте комментарии.
#1 написал: red_devil_tlt (15 июня 2008 01:41)

Публикаций: 0
Комментариев: 0
Штука полезно-бесполезная.... Самое ценное это пароли, но они зашифрованы
#2 написал: vladimir (15 июня 2008 09:33)

Публикаций: 263
Комментариев: 754
red_devil_tlt,
А зачем нужны пароли?
Ну получишь ты аккаунт и что?
#3 написал: dovgash (15 июня 2008 12:13)

Публикаций: 0
Комментариев: 0
Пароли узнаются через различные md5 сервисы.
А вот vladimir не подскажите как узнать точное название базы? winked
#4 написал: OlexandrI (15 июня 2008 15:07)

Публикаций: 0
Комментариев: 0
знадобиться
#5 написал: Zevs (16 июня 2008 10:17)

Публикаций: 0
Комментариев: 0
А могут ли угнать так .
Я беки делаю , копирую сразу же их на камп , и удаляю с папки backup . Вся процедура занимает максимум 5 минут .
#6 написал: Barthez (17 июня 2008 15:08)

Публикаций: 0
Комментариев: 0
Это вы от меня нахватались ?
#7 написал: paulg (9 августа 2008 12:02)

Публикаций: 0
Комментариев: 0
ващета первый раз слышу об угоне базы wink бредово как то звучит feel feel
#8 написал: aliwev (17 ноября 2009 20:57)

Публикаций: 0
Комментариев: 0
paulg , у меня сегодня угнали
Информация

Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.

Вверх