День добрый. Ситуация: Сайт на битриксе. Утеряны доступы к сайту. Прошлый админ сайта был уволен по статье, в отместку забрал все данные доступа к админке и mysql. Хостинг готов помочь, но мы не знаем на какой мейл адрес была произведена регистрация домена. Файл (dbconn.php), отвечающий за конфигурацию сервера открыт для чтения, что в принципе очень плохо, но это наша единственная зацепка. По этому, как нам (от лица компании) кажется, можно запросами вытащить информацию и восстановить доступы. Проверял сайт на уязвимости. Результат - "Сканер обнаружил критические уязвимости. Сайт уязвим для взлома и хакерских атак. УГРОЗА БЕЗОПАСНОСТИ: Файлы /bitrix/php_interface/dbconn.php содержат конфиденциальную информацию. Открытый доступ к этим файлам угрожает безопасности сайта." Гуглил, пробовал сам добыть информацию. делал так: Code: $url = "http://botsman.org/bitrix/php_interface/dbconn.php/"; $response = file_get_contents($url); echo $_POST['$DBLogin']; echo $_REQUEST['$DBPassword']; Потом так: Code: $url = "http://botsman.org/bitrix/php_interface/dbconn.php/"; login = #$DBLogin; // $_GET['login']; psw = $DBLogin; // $_GET['psw']; Но я в этом не силён. Прошу помощи у знающих людей. Так как надежда только на Вас. P.S. на фрилансе отказались помогать(
Пусть вам БД сдампят и проблем нет. Так домен нужен или файлы? PHP: <?phpecho file_get_contents($url);?> И правильно.
Если обычный доступ к файлу из веба - то никак. Исходный код интепретируется и не показывается клиенту. Единственный ваш способ - работать с хостинг-провайдером. Уговорите его отключить PHP сервере и тогда вы сможете прочитать этот файл как текстовый, так как он не будет обработан интепретатором. А так как вы хотите сделать невозможно.
Получив логин/пас админки, я смогу восстановить доступы и к БД. А дальше на усмотрение руководства. Может скажут делать бекапы фтп+базы, регистрировать новый домен и поднимать сайт на нём. Если есть уязвимость на сайте, не ужели ею нельзя воспользоваться?
запрос к файлу вообще не будет обработан, так как apache/nginx те парни, которые слушают 80/443 порт, без которых http протокол потухнет
Это херня на палочке. Никакой там угрозы безопасности нет. Когда ты перейдёшь по ссылке http://site.ru/bitrix/php_interface/dbconn.php то никаких логинов и паролей от БД ты не увидешь, потому что это простой пхп-скрипт который ничего не выводит. Проблему решать надо по другому. Если домен и хостинг зарегистрированы на юридическое лицо то надо просто написать хостеру и регистратору домена просьбу восстановить доступ. Все доки для подтверждения у вас должны быть. Если-же домен и хостинг регистрировались на васю пупкина -ловить тут нечего. Сливайте с сайта дизайн/контент и делайте новый такой-же.
