Érdekes dolog jutott az eszembe.
Napokban Nuke körökben elterjedt az a hír miszerint ha az admin.php -t módosítja a webmester, ezzel kapcsolatosan milyen egyéb módosítást kell csinálni.
Mi értelme van a leg újabb PHP-Nuke 7.6 -os verzió fő módosításának, ha követjük a cikkben leírtakat.
Azon kívűl hogy ugrott egyet a verzió szám, valamint rengeteg problémát okoz az átálás semmi.
Ezzel a módosítással éppen hogy az ellenkezőjét érjük el, mint amit a PHP-Nuke fejlesztője akart. A fejlesztés azt a célt szolgálná hogy az esetleges rossz indulatú támadásokat nehezítse, vagyis a támadó előtt rejtve maradjon az admin.php. Az admin.php-t tetszőlegesen nevezhetjük át, és későbbiekben ezen a néven lessz elérhető az admin.php. Ezzel gyakorlatilag a kivül állónak hozzáférhetelen marad az admin.php.
A cikk ami megjelent nem sokkal a PHP-Nuke 7.6 megjelenése után.
"PHP-Nuke 7.6 figyelmeztetés.
Amennyiben megváltoztatod az admin.php nevét, a config.php -ben valamint a robots.txt -ben is meg kell változtani az admin értéket.
config.php :
$admin_file= "admin";
robots.txt :
User-agent: Mediapartners-Google*
Disallow:
User-agent: *
Disallow: admin.php
Disallow: /admin/
Disallow: /images/
Disallow: /includes/
Disallow: /themes/
Disallow: /blocks/
Disallow: /modules/
Disallow: /language/
Disallow: /modules/Forums/images/avatars/
Disallow: /files/ "
A megjelent cikkben benne van hogy módosítani kell a robots.txt -ben az admin.php nevét. Ha ezt a módosítást bárki is megcsinálja, az admin.php -je nevét a rossz indulatú látogatok (hack-er) előtt elárulja, és ezzel a PHP-Nuke 7.6 fejlesztés is értelmét vesztí.
A támadonak nincs más dolga csak be kell írja az url címet valamint a robots.txt -t . Pl.: http://www.nuker.hu/robots.txt
Ezek tudatában döntse el mindenki maga hogy az admin.php -t a támadóknak vagy keresőknek teszi hozzáférhetővé :( .
