Как взломать сайт ucoz

Сейчас на юкозе просто огромное количество сайтов. Все стремятся сделать себе свой личный сайт. Иногда проекты новых сайтов бывают интересными, иногда даже полезными. Безопасность таких сайтов должна стоять на высшем уровне. Ведь юкоз взломать практически не возможно. Во взломе вашего сайта можее быть виноваты только вы сами, не соблюдав очень простые правила, о которых мы и поговорим сегодня.

Давайте начнём с самого начала, то есть с панели управления.
При регистрации сайта можно ввести простой пароль, потом уже при настройке сайта его менять. Теперь настраиваем параметры безопасности в панеле управления. Админ бар-Безопасность-Параметры безопасности.

1. Маскимальное кол-во входов в панель — здесь полюбому должен стоять один человек. Ставить цифру 2 можно только тогда когда вам кто то помогает в панеле, и вы присматриваете за этим. А так должно стоять всегда 1.

2. Таймаут сессии — опция не слишком обязательная, по умолчанию я ставлю всегда 18 часов. Если поставить малое кол-во то при повторных обновлениях страницы панель запросит заново войти.

3. Фиксация IP — это важная опция, и сложная для тех кто не знает какой у него IP, динамический или статистический. Статью об этом писать не буду. Просто в этом меню функции лучше ставить «Средний уровень C». Ну а если нужны варианты других, то напишите я может подробно распишу.

4. Вход в панель только с указанных IP и подсетей — вряд ли у кого то есть свой личный IP за который он платит и он точно знает что он никогда не поменяется. Эту функцию лучше совсем не трогать. Ну вот вроде с этими пунктами безопасности всё ясно.

Далее у нас в том же админ баре есть вкладка Замена пароля.

Сверху мы сразу видем возможности авторизации. Рекомендую ставить отдельный пароль. Теперь главное — сам пароль. В сети есть такие сайты которые взломать не сложно, админы средней школы малых классов ставят пароли просто смешные: 123456, дату своего рождения, или ещё что, просто смешно. Пароль это важное сектретное слово, которое должно быть индивидуальным и сложно запоминающимся даже для вас. Итак пароль должен состоять максимум из 15 символов. В нём должны быть как большие буквы, так и маленькие, и не обойтись без цифр. Пример пароля: KjfY37gow7sEkh. Такой ввод букв и цифр будет самым безопасным и стойким. Запомните, пароль на юкозе невозможно взломать! взломать могут только вашу почту, на которой стоит ваш сайт (о почте поговорим позже).

Секретный вопрос и ответ — тоже не мало важная часть безопасности. Выбирая секретный вопрос можно выбрать любой, но он не должен соответствовать секретному ответу. То есть если вопрос о Девичьей фамилии матери то сектретный ответ должен быть другого смысла, а не фамилии вашей матери. Такое неопределение собьёт взломщиков с толку.

Читайте также:  Загрузочная флешка windows 10 на андроид

Далее идёт вкладка смены пароля к FTP — делаем всё тоже самое, ставим надёжный пароль из максимум символов, но пароль не должен совпадать с паролем к самой панеле управления.

Смена владельца сайта — ну к этому я думаю вы не приступите, ведь если уж вы админ то передавать сайт в другие руки будет самым крайним случаем. А так в основном там всё просто, пишите мыло нового владельца, подтверждаете секретность и всё.

Лог действий — очень полезная функция панели. В логе мы можем увидеть какие действия совершались на сайте и в панели в последнее время.
Ну вот с панелькой всё разобрали вроде бы. Если соблюдать максимум того что тут написано — то ваш сайт будет просто невозможно взломать! это факт! Теперь можно поговорить о других способах защиты — например почта админа. Это тоже уязвимость сайта для злоумышленников. Ведь они могут просто нажать в форме входа адрес почты админа и на его мыло придёт пароль, и если не дай бог злоумышленники знают пароль к вашей почте — то они могут получить и пароль от панели или от учётной записи на сайте. Взламывают почту сейчас частенько, так же не стоит забывать о сложных паролях и секретных вопросах. Обязательно скрывать и не сообщать адрес почты сайта (или админа). Кстати почта сайта находится в панели управления-Настройки-Общие настройки. Там есть пункт Контактные данные, именно сюда и сливается вся почта. Теперь нам нужно выбрать ящик, сейчас много почтовых служб, но предпочтения отдают больше Яндекс почте, GMail, Rambler почте. Mail.ru почему то в последнее время не любят, помойму нашли какие то дыры, и взломать не сложно эту почту. Наиболее лучший вариант на мой взгляд — Google Gmail, и если у вас ещё есть свой личный домен, то ещё лучше. Именно на этом хостинге гугла лучше делать почту для сайта. И запомните (если кто не знает) сам юкоз, вас по почте никогда не попросит сменить пароль или того больше сообщить его.

Теперь поговорим о доверии между пользователями на сайте. Админ — это самый главный человек на сайте. Он имеет все превелегии и доступ ко всему. Админ должен быть один, ну а если на крайний случай то 2 — доверяя кому то пароль и саму панель вы тем самым как бы доверяете ключи от квартиры вашего дома. Если уж так не в мочь кого то вторым или третьим админом сделать, то не спешите его совать в группу избранных, создайте новую группу и дайте максимум возможностей, кроме редактирования хтмл и прочего. Ну а если уж не можете справится с панелью сами то когда зачем вы заводите сайт если не знаете хотя бы базовых знаний хтмл?

Читайте также:  Как взломать айфон джейлбрейк

P.S. Это только некоторые способы защиты сайта, это то что я сам знаю, и что видел, как взламывают и прочие гадости вытворяют. Следите за своим сайтом, не давайте «своим друзьям» пароли и всё будет у вас ОК. Можете раз в неделю менять пароли к панеле, частенько просматривать ЛОГ действий про который я писал. Там могут происходить интересне вещи, и будет видно кто с какого IP пытался влезть в панель, заносите таких в чёрный список IP.

Данная статья не подлежит комментированию, поскольку её автор ещё не является полноправным участником сообщества. Вы сможете связаться с автором только после того, как он получит приглашение от кого-либо из участников сообщества. До этого момента его username будет скрыт псевдонимом.

А что если админ сам себе, не подозревая того, сменит свой пароль на нужный нам? =)

Именно так мы и поступим.

Дело в том, что в форме добавления новостей не фильтруется поле «Название материала».

А что мы можем с этим сделать? Можно здесь вставить скрипт перенаправки на сниффер, но нам то куки админа ненужны.
А вот что! =)

Мы внедрим файл в заголовок нашей «злой» новости!

Создаем любой файлик. И в него вписываем код.
В этом коде будет содержаться POST запрос с помощью ActiveX.
Код мы вписали.
Теперь заливаем его на сайте который хотим взломать.
Это можно сделать например так:
Зайти на форум. В форме написания сообщения прикрпеить наш файл ( там есть кнопочка «Обзор», вот через нее надо прикреплять) Сообщение напишите произвольное.
Когда нажмете отправить, увидите свое сообщение, а чуть нижу будет написано « Прикрепления: „название файла“, его размер».
Наведите курсор на название этого файлика и увидите в нижнем левом углу ссылку на этот файл.

Незнаю как у вас, а у меня, в Фаерфоксе, можно сделать так: Клик правой кнопкой по ссылке на файл, выбираю там пункт «Копировать ссылку». И все, ссылку у меня в буфере обмена.
Ну а у кого неть такой функции, придется набирать ссылку ручками =)

Теперь идем создавать новость.

Новость напишите произвольную.
Это не имеет значения, нас интересует строка «Название материала».

Например у меня так:

Видите у меня полсе . src="https://otvet.mail.ru/question/%D1%81%D1%82%D0%BE%D1%8F%D1%82%202%20%D1%82%D0%BE%D1%87%D0%BA%D0%B8?%20%3Cbr%20/%3E%D0%AD%D1%82%D0%BE%20%D0%BD%D0%B5%20%D0%BE%D0%B1%D0%BE%D0%B7%D0%BD%D0%B0%D1%87%D0%B0%D0%B5%D1%82"адрес сайта который надо взломать"! Так UcoZ воспринимает адрес самого сайта (главной страницы) .

И вуаля! пароль изменен нам на нужный

Читайте также:  Душевая кабина 80х80 угловая отзывы

Вот только пожалуйста не кричите на меня, но я незнаю кода, для POST запроса. Я с ним не в ладах) )

Если кто может сделать этот код, то пишите тут!
Собственно для этого я и сделал тему)

Так и не смог найти, здесь это уже обсуждалось, Антоха даже демонстрировал эту атаку здесь на форуме, но на одном хак. ресурсе попалась интересная инфа, как «Оторваться» на юкозе, хотя данный способ применим почти на любом форуме.

На многих форумах, блогах, чатах можно загружать картинки со сторонних сайтов, так-вот, суть «Уязвимости» в том, что можно настроить так сервер, что у жертвы будет постоянно появляться фома авторизации, например такая:

И если пользователь невнимателен, то может указать свой аккаунт, причём данный способ позволяет делать маскировку, т.е. что-бы форма постоянно не появлялась !

Итак более подробней на примере юкоза (Но можете попробовать и на форумах, добавив указанную картинку в подпись или в пост/чат например):

Для начала нужно зарегистрировать хостинг с поддержкой php (например бегет, хотингер, не важно) .

После регистрации льем на фтп скрипт и ставим права 777 на пустой .txt файл, например : passwords.txt (сюда будут присылаться пассы пользователей «похаканного» сайта).

Также скачайте любой смайлик в расширении .gif (типа cool.gif ), этот смайлик для маскировки, что-бы окошко постоянно не дербанилась, сделайте на него права 777 !

Затем откройте блокнот, да простой блокнот и напишите следующее:

Как только вы напишите всё — сохраните файл под названием smile, потом поменяйте расширение на php и залейте на хостинг, например smile.php (Незабудьте выставить права 777 или 755).

Теперь выбирайте любой юкозовский сайт, слева юкозовских сайтов как обычно, у большинства есть мини-чат справа.

Так вот — для начала зарегистируйтесь на сайте, потом в мини чате напишите логин, а в содержании сообщения напишите следующее:

И нажмите ОК. Если после этого в миничате вместо сообщения появился смайлик — значит радуйтесь, т.к. сайт — уязвимый.

После этого у всех кто будет заходить на данную страницу, будет появлятся форма в которую нужно будет ввести логин и пароль. У вас при входе на сайт такая форма будет появлятся тоже. И все, введеные логины и пароли в эту форму будут отсылатся в пустой файл passwords.txt, который вы создали в самом начале и залили на фтп.

ТОЖЕ ПРИМЕНИМО И ДЛЯ ФОРУМОВ, И БЛОГОВ, ГДЕ РАЗРЕШЕНО ВСТАВКА КАРТИНОК СО СТОРОННИХ РЕСУРСОВ !

Способы защиты:

1) Отключить вставку картинок со сторонних ресурсов;

2) Сделать проксирование картинок к себе на сервер.

У меня всё, кстати если найдёте тему где это обсуждалось уже здесь, запостите в этой теме, для доп. информации.