14 июля 2007 в 19:48
Собственно, вот сайт программы Uninstall Tool, отлично заменяющей собой стандартную виндовую "Установка и удаление программ".
Вроде Друпал. Узнал по ссылкам и запароленной директории http://www.crystalidea.com/admin 
Содержимое сайта публикуется на условиях CreativeCommons Attribution-ShareAlike 3.0 или более поздней версии. Программные коды в тексте статей — на условиях GNU GPL v2 или более поздней версии.
Документация по совместной работе с репозиторием drupal.ru – https://docs.drupal.ru/code
Drupal – торговая марка Дриса Бёйтарта
Комментарии
надо через cron.php проверять - почему то большинство сайтов эту дыру не закрывают
> почему то большинство сайтов эту дыру не закрывают
это не дыра.
Да, это друпал тема похожа на эту: http://drupal.org/project/spreadfirefox
дыра, ибо повышенную бесполезную нагрузку создает
А подробнее можно - что за дыра и как ее закрыть?
ну, адрес вида http://www.example.com/cron.php
поскольку запуск этого скрипта выполняет кучу задач по-расписанию, и не дает никакой полезной информации посетителям, cron.php должен запускаться только с локалхоста.
Защищается правилами apache ( A.B.C.D адрес сервера - можно добавить в .htaccess )
Странно, что этого нет в дефолтной инсталляции
<Files cron.php>
Order deny,allow
Deny from all
Allow from A.B.C.D
</Files>
Если бы это была бесполезная нагрузка, то никакого cron.php не было бы.
Для особо пугливых или кому больше заняться нечем, можно файл cron.php вынести в другую папку, не доступную через http.
ну давай, поспорим. можешь опубликуешь адрес своего сервера и мы будем там дергать cron.php 100 раз в секунду ? посмотрим что будет с сервером при этом...
таких "кулхацкеров" которым заняться нечем в инете тьма, особенно малолетних.
может объяснишь в чем великий смысл запуска этого скрипта со случайных адресов ? И дело не в пугливости, а в защите сервера от банальных атак. Пока что вижу только эмоции вместо конструктива.
Да, Дос атаку можно устроить для любого файла, только сравни стоимость ( в ресурсах сервера ) запуска простого скрипта, и такого как cron.php который дергает кучу всего. Поэтому при прочих равных условиях через cron.php ее сделать гораздо проще ( да элементарно можно сгенерировать пустую нагрузку причем это даже не будет выглядеть как ДОС ). Ну и опять же, так и не была названа причина почему надо разрешать запускать этот скрипт ( скрипт администрирования который к контенту сайта не имеет никакого значения ) для любого хоста, а не только для доверенного ? Почему то никто не удивляется, что админка сайта закрыта от анонимного доступа, почему же тут по-другому ? Мне казалось что это должно быть очевидно всем, кто хоть немного занимался администрированием серверов, впрочем если вы просто строите сайт на Друпале, а не занимаетесь полной поддержкой, вам такая ошибка может быть и простительна
А ваши аргументы похоже на знаменитое русское "авось" - типа "у меня проблем с этим не было, и нехай стоит", хочу заметить что при администрировании данный подход не очень котируется 
Я согласен что это оффтоп, может ли модератор вырезать это обсуждение в отдельную тему ?
Crea, остынь.
Dos атаку можно произвести на любой файл, это не обязательно должен быть cron.php. Я же говорю, есть возможность – закрой, но это не критично, ИМХО.
Если хочешь обсудить прятать ли cron.php от посетителей и как – создай тему, мне кажется то, чем мы занимаемся – офтоп
Dos атаку можно произвести на любой файл, это не обязательно должен быть cron.php. Я же говорю, есть возможность – закрой, но это не критично, ИМХО.
+100!
сколько не смотрела логи, полно разных непонятных команд было, например horde какая-то подозрительная.. cron не встречала ни разу, да и не запускается он так просто..
Zlata, horde это GPL почтовый web интерфейс.
>если вы просто строите сайт на Друпале, а не занимаетесь полной поддержкой, вам такая ошибка может быть и простительна
Мы занимаемся полной поддержкой своих клиентов, по этому знаем как обстоят дела, и я не морочусь по поводу того, что любой может запустить cron.php.
>только сравни стоимость ( в ресурсах сервера ) запуска простого скрипта, и такого как cron.php который дергает кучу всего.
Вы сравнивали, прежде чем утверждать?
>Почему то никто не удивляется, что админка сайта закрыта от анонимного доступа, почему же тут по-другому ?
Странные вещи говорите.
Кланяюсь и удаляюсь.