Browse Category: Новости

Уязвимости и взлом сайтов DLE

То что движок DataLife Engine не является самым защищенным движком я знал. И после очередного взлома сайта на этой cms сильно не удивился.

Предыдущие записи по взлому(уязвимости DLE) :
Взлом Сайтов DLE (критическая уязвимость, дыра) Как защититься от взлома?
Как найти шелл(shell) на DLE ?

Удивление настигло меня когда я начал гуглить по словам «Взлом dle» «методы взлома ДЛЕ» и прочим в надежде найти способ, которым меня в очередной раз взломали а также метод борьбы с этими самыми взломщиками.

Как оказалось авторы сами признают многие недоработки и выпускают кучу заплаток, список которых находится здесь. Там заплатки от уязвимостей для любых версий в том числе и к последним dle 7.5, dle 8.0, dle 8.2, dle 8.3, dle 8.5 Их нужно ставить по-любому, так как дырки признанные производителем как правило самые опасные.

Но еще интереснее оказались темы вне официального сайта DLE например вот этот топик на dle.in.ua содержит списочек куда более интересных уязвимостей, которые используют для заливки шеллов. или вот тут автор нуллов к dle 8.2  8.3 и прочих пишет какие сплоиты к dle нужно использовать для заливки шелла, и где он оставил бэкдор в последнем нуле.

На заметку тем кто использует нуллы DLE от Mid-team и нуллы от Zloy там точно есть бэкдоры. Так что используя null вы потенциально в опасности. Continue Reading

Ошибка 301 или как сделать редирект

Эпилог

Недавно была полемика на тему лучшей кино-партнерки. Много было высказано мнений на этот счет, но я сделал свои. К топовым партнеркам я добавил — Kinobrothers.com, где сконвертил 1 k в 120 $. Аплодисменты кинобратьям, лучший конверт в кино индустрии.

Итак, теперь о самой теме. Ошибка № 301 или Permament Redirect – выдается пользователю, когда он обращается по доменному имени сайта, который переехал на новое место на постоянной основе, также отображаемый в заголовке http. Теперь все пользователи и поисковые боты будут перенаправлены на новый адрес, но все свойства, присущие старому адресу будут переприсвоены новой странице, т.е. 2 адреса склеятся такими параметрами, как PR, вес страницы, ТИЦ и ссылочный вес.

Если Вы решили переехать с одного адреса на другой или изменить систему управления контентом, то Ошибка под номером 301 и редирект – это лучший вариант, чтобы сохранить наработанные позиции в поисковых системах. Осуществить редирект можно многими способами, зависимо от программного обеспечения, стоящего на хостинге.

Если на сервере стоит Апач, то можно сделать переадресацию благодаря файлу .htaccess, но очень важно при этом не забыть включить такие модули, как mod_alis (чтобы воспринимались директивы  RedirectMatch, Redirect и RedirectPermanent) и mod_rewrite (чтобы иметь возможность использовать перезапись) в фале php.ini.

Способы редиректа в .htaaccess:

1.      Использование команд из модуля mod_alias – RedirectPermanent или Redirect. Отрицательная сторона этого способа – необходимость перечисления всех адресов, которые нужно перенаправить по порядку и вручную.  Это касается обеих директив.

2.      Перенаправление, используя команду RedirectMatch. Этот способ похож на предыдущий, но в нем нужно писать регулярные выражения для старых URL-адресов. Это особенно актуально при переходе с PHP на ASP.

3.      Использование команды из модуля mod_rewrite – RewriteRule. Чтобы использовать данную директиву, обязательно стоит проверить чтобы в файле httpd.conf был включен mod_rewrite и настройка FollowSymLinks. Данный способ перенаправления обеспечивает широким спектром возможностей по редиректу на новые домены.

4.      Редирект доменов с www на не-www

5.      Перенаправление пользователей с не-www зоны на домен с www приставкой.

Способы редиректа с помощью отправки заголовков скриптами. Перенаправления можно осуществить с помощью:

1.      ASP

2.      ColdFusion

3.      JSP (Java)

4.      PHP

5.      CGI PERL

6.      Ruby on Rails

7.      ASP.net

Осуществлять редирект, также можно и в nginx. Вот вам инфа, переваривайте

Где искать новые темы для заработка?

Я конечно знал, что идет «Конкурс Олимпийских блогов» с призовым фондом на 5000$, однако не обратил внимания на сами блоги.

Недавно бегло пробежался по блогам участникам (Ведут их кстати далеко не новички в блогинге и интернет маркетинге) и просто офигел от количества спаленых и разжёванных до нельзя тем. Не пойму неужели эти 5000$ стоят тех маленьких хитростей и секретов, которые выделяют их общей массы «ищущих» и позволяют зарабатывать. Неужели они стоят сотен конкурентов в нише, которую ты знаешь и в которой преуспел?

В общем если хотите разбавить мозг полезной информацией гляньте блоги участвующие в конкурсе. На данный момент отношение полезной информации к обще тематической в этих блогах максимальное.

P.S. И не забудте поздравить Любимых с Днем Влюбленных.

Список партнерок с подписками. Партнерские программы по подпискам.

Партнерские программы работающие с подписками:

Moneysyst

Различные виды платников по подпискам диеты тесты шпионы защита фотоприкол и прочие

Limon Cash

Множество тематик и направлений платников, есть крупные ребилы, есть и «тихие» по 10-20 рублей каждый день. что становится незаметным для пользователя.

jinconvert

Более 50 сайтов по разным тематикам платников. Одни из лидеров отрасли.

Поиск работы
Каталог объявлений
Продажа недвижимости
Продажа автомобилей
Продажа туров
Заработок в интернете
Общение с ДПС
Поиск людей
Знакомства
Диеты
Тесты
Гороскопы
Образование
Сайты для взрослых
Для мужчин
Для женщин
Тайна фамилий
Бросить курить
Новогодние

А теперь немного лирических отступлений:
Подписки на данный момент более продвинутый способ мобильных платежей (по сравнению с смс оплатой). Юзеру не надо отправлять смс (доверие к которым у многих уже подорвано).

Юзеру нужно лишь вбить свой номер телефона на сайте, в ответ ему присылают бесплатной смской код доступа к сайту. Факт ввода кода является согласием на подписку. Затем у юзера есть 24 часа чтобы определиться нужен ли ему этот сайт или нет. после бесплатных 24 часов доступа с юзера начинают списываться бабки. Не так много как по схеме 10$*3 смс, но все же достаточно чтобы удовлетворить потребности вебмастера, партнерской программы, биллинга и оператора связи.

Наибольший конверт и ребильность наблюдаются у сайтов Дейтинг тематики. Конверт по ним доходит до 1:5

Самый большой плюс этого вида оплаты, так это то что юзер может подписаться даже с нулевым балансом, и деньги с него спишутся по мере пополнения счета. Поэтому билить можно практически любой трафик .

вот моя скромная стата по одному из баннеров эротического содержания, на котором крупными буквами красуется слово «БЕСПЛАТНО» :

Как же у нас народ любит халяву )

если бы эти юзеры уши по тизерам за 50 копеек каждый то я бы получил в 3 раза меньше. Поэтому имеет смысл покупать трафик в тизерных сетях.

И хотя на смсках я зарабатываю намного больше думаю этот вид оплаты нельзя оставлять без внимания, на многих видах трафика он дает существенно больший выхлоп.

Чуток оффтопа:
8 принципов Дао Тойота для манимейкинга или как эффективнее работать в сети.

Рекомендую почитать на досуге стихи о любви, думаю многим будет интересно.

PS. Хотите что бы я о вас написал или упомянул есть 2 способа один платный через раздел Реклама , второй бесплатный через обмен постовыми

Взлом Сайтов DLE (критическая уязвимость, дыра) Как защититься от взлома?

Многие знают, многие пользовались, однако пора этот «беспредел» заканчивать. Для тех кто не знает, то в скрипте DLE 8.2 есть маленькая недоработка которая позволяет получить любому человеку пароль администратора сайта (зайти в админку и нагадить, наставить халявных ссылок, ифреймов и так далее…)

как горе-хакеры (иначе не назовешь, потому как пользуются уязвимостью исключительно в мелкопакостных соображениях) проникают на сайт?

все проще простого, для сайта на дле 8,2 вводим в браузерную строку:

http://домен.ру/index.php?do=lostpassword&douser=1

По этому  запросу генерируется новый пароль для администратора сайта, и вы получаете:

уязвимость работает только на dle 8.2  и лечится патчем или обновлением до версии DLE 8.3

PS: Не советую вам пользоваться этим видом взлома. Привел его только для того, чтобы вы могли найти уязвимость на своих сайтах. и обезопасить свои сайты от посягательств.

PPS: Зачем спалил? Потому как не приемлю подобные виды деятельности, за тем чтобы как можно больше людей узнали о проблеме, да и нездоровая какая то картина складывается, на форумах уже в открытую барыжат списками сайтов с этой дыркой.

PPS: Просили меня малость пропиарьть книги что почитать можно на досуге. в общем вот вам ссылка.
PPPS: И для Линуксоидов : Установка Ubuntu 9.10 Karmic Koala, Хотя сам не понимаю зачем ставить барьер между собой и остальным компьютерным миром. Большинство программ, игр, интернет приложений заточено под винду и зачем ненужные головняки с поиском совместимых приложений и программ мне не понятно.

остальным рецепт как получить такую же

Рядовые будни сеошника

Вчера ночью друг-прграммер по асе выдал:

(Хххх Хххххх) (02:39:06 26/08/2009)

🙂 сеошниг знает шо значит молчать )

(Хххх Хххххх) (02:39:22 26/08/2009)
у вас не работа а партизанская война

Надпись ушла на стену перед монитором 🙂

Как же он сцуко прав 🙂 я думаю уже много сеошных блогов закрылось именно поэтому.