Как защититься от взлома?

[Denissimo]

Как защититься от взлома?

Ситуация:
У меня база данных по обмену ссылками.
страница, отображающая ссылки, может работать и в режиме редактирования ссылок (скрыть/показать/удалить ссылку).
Для перехода в "админский" режим с адресной строке нужно дописать переменную. Типа:

http://www.katalog.ru/index.php?password=vasya_pupkin

в самом php коде страницы тоже всё довольно тупо:
<?
if (password=="vasya_pupkin"){
бла-бла-бла....(выполняются админские скрипты)
}
?>
ни в каком текстовом файле пароль не вписан, только внутри скрипта, php код на стороне клиента (если я не ошибаюсь) виден быть не должен.
Но какой-то уродец входит в админский режим и местами удаляет информацию.

Вопрос №1:
Как защититься?

Вопрос №2.
Я узнал его IP (213.180.216.9).
Как найти уродца?

 

[dorfey]

Информация об IP-адресе 213.180.216.9 (по данным RIPE):
inetnum: 213.180.216.0 - 213.180.217.255
netname: YANDEX-216
descr: Yandex search engine

тебя сломала машина Яндекса, вешайся

 

[Loshadka]

Denissimo
Первым делом - поставить пароль на админку, передаваемый не методом GET!
Пароль на админку

> тебя сломала машина Яндекса, вешайся
гы...

 

[Denissimo]

ААААААААААААААА-а-а-а-а-а-а-а-а-а-а-а !!!!!!!



Во, блин, а как она прочухала пароль?
ссыллки, содержащие пароль есть (чтобы на каждой странице их не вводить), но они появляются только после ввода пароля....

 

[texrdcom]

Denissimo
возможно доброжелатель занес урл в яндекс с паролем

 

[Denissimo]

Не ребята, чегой-то тут не так...
на странице, где прописано удаление ссылки есть вот чего:

<head>
<title>Заголовок.</title>
<META NAME='ROBOTS' CONTENT='NOINDEX, NOFOLLOW'>
</head>

-~{}~ 30.01.06 17:26:

Автор оригинала: texrdcom
возможно доброжелатель занес урл в яндекс с паролем

Возможно.
А как он его нарыл?

 

[texrdcom]

А пароль чей указан при посещении яндексом ?
И еще возможно скорее всего с refer браузера любого админа

 

[serglt]

Из лог фалов твоего хоста

 

[texrdcom]

serglt
логи обычно выше public_html
и к ним яндекс не достучиться

 

[Denissimo]

Автор оригинала: texrdcom
А пароль чей указан при посещении яндексом ?
И еще возможно скорее всего с refer браузера любого админа

Просмотрел страницы, просканированные Яндексом.
Действительно нашёл проскаированную страницу ***.php?password=vasya_pupkin.

А что значит "с refer браузера любого админа"?
админа Яндекс или меня - админа моего сайта?

 

[serglt]

texrdcom
Не обычно а выше
Просто я например иногда смотрю что там в логах делается, кто что в строке адреса вводил, кто как хакерил.. Вот такой кто нить как я и разузнал о чудо админке..

-~{}~ 30.01.06 18:01:

Denissimo
texrdcom имел в виду что кто нить с админки (например ты сам)
в том же окне браузера полез на яндекс, твой реферер в яндексе (адрес твоей админки) был и зафиксирован

 

[Denissimo]

Автор оригинала: serglt

texrdcom имел в виду что кто нить с админки (например ты сам)
в том же окне браузера полез на яндекс, твой реферер в яндексе (адрес твоей админки) был и зафиксирован

Т.е. у меня была открыта страница моего сайта в админском режиме (*****.php?pass=vasya...) я после этого, не закрывая броузер перешёл на яндекс, и он пофиксил - какая у меня была до этого страничка открыта?

Ты это имеешь в виду?

 

[serglt]

Да

 

[baev]

не закрывая броузер перешёл на яндекс

или — на любой сайт, где счётчик Яндекса стоит.

 

[white phoenix]

Какой ужас... теперь понятно откуда у поисковиков столько информации на которую нигде нет ссылок.

 

[Kelkos]

или — на любой сайт, где счётчик Яндекса стоит.

да ну.. больше на миф похоже..
Вполне могло быть, что ты кликал на какую нить ссылку из свой адмики и улетал на чей то сайт.. там человек собирает статистику и отследив твой переход перешёл по рефереру к тебе.. посмеялся и повесил эту ссылку на какомнить форуме.. там её Яша и схавал..

 

[white phoenix]

Kelkos
Почему миф? Ведь Яндекс получает REFERER через счетчик, что мешает индексировать? Дело в том что я сам находил в Яндексе то чего там быть не может.

 

[Denissimo]

Мммда...

Называется: век живи - век учись...
буду переделывать админку...

 

[kruglov]

off: через referer даже рекламу делают, заходит вебмастер в статистику, а там какой-нить www.zzz.com, что за фигня, кто это на меня ссылку поставил, лезет посмотреть, а там никакой ссылки нету, одна реклама. А ссылку не ставил никто, это робот заходит с фальшивым реферером.

 

[Denissimo]

kruglov

А ссылку не ставил никто, это робот заходит с фальшивым реферером.

Возьму на вооружение...
А как фальшивый реферер сделать?