@kr_ilya

Как люди делают полный дамп сайта?

Иногда замечаю посты на форумах типо - полный дамп сайта бла бла бла. В том числе с базой. Как это люди делают, что это за уязвимости и как их закрыть?
  • Вопрос задан
  • 4610 просмотров
Решения вопроса 3
Заходят на сайт через админку и делают дамп. Либо подключаются к серверу по ssh и тоже делают дамп.

Как закрыть уязвимости:
Смените пароль с 123456 на какой-нибудь менее предсказуемый (Нет, qwerty тоже не подходит).
Удалить на сервере FTP.
Не подключайтесь к серверу по SSH из под Windows.
Удалите все сомнительные плагины с сайта.
Регулярно обновляйте CMS, устанавливая все последние одновления.
Если сайт самописный - удалите его и замените на CMS.
Если сайт на сервере к которому есть доступ из Интернета - отключите сеть.
Если сервер работает - обесточьте его.
Выньте устройства хранения данных из вашего сервера и положите его в микроволновку. Включите программу разморозки на 2 минуты.
Сожгите микроволновку.
Если вы помните содержимое сайта по памяти [УДАЛЕНО РОСКОМНАДЗОРОМ]
Ответ написан
Комментировать
hOtRush
@hOtRush
Самый верняк - залить шел через какую-нибудь форму загрузки и чтобы этот шел был доступен по какому нибудь адресу из веба, и чтобы был коряво настроен веб-сервер (обычно апач). В современной веб-разработке такое мало вероятно, слишком много звезд должно совпасть.
Ответ написан
Комментировать
index0h
@index0h
PHP, Golang. https://github.com/index0h
Вообще говоря сделать дамп бд - просто утилитой mysqldump. Сложность заключается в получении доступа: к порту бд, а так же логину/паролю.
Очень часто разработчики устанавливают прямо у себя на сайте phpmyadmin для удобного доступа к своей же базе, со стороны злоумышленника осталость получить логин с паролем, так как pma умеет делать дамп бд.
Бывает что файлы конфигов кладут в публичном каталоге.
Иногда сами сотрудники добавляют уязвимостей. На моей практике был случай, когда нашел скрипт для удалённого скрытого управления, явно оставленный кем то изнутри.
Часто сайтики делают в принципе не компетентные люди, которые в принципе о безопасности знают что это что-то такое что наверное где-то надо, а мой сайт ну кому вообще надо взламывать?
Ответ написан
Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы