avatar_Everybody

Защита сайта от patchа!!!

Автор Everybody, 2008 Окт. 30, 11:00

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

Ключевые слова [SEO] защитаpatch.htaccessвебсайт

Everybody

В это топике обсудим все популярные методы защиты своего вебсайта.
Информация не публичная такчто ложим все под хайд (умеренный)

Безопасность на основе .htaccess

Самый надежный и простой метод защиты веба это распределить доступ к скриптам или подпапке через великий и могучий .htaccess
Пример папка с админ панелью(где лежат скрипты управлением сервера через веб), и там положим .htaccess который будет впускать только определённые IP адреса.
Order deny,allow
Allow from список_IP_через_пробел
Deny from all


Вот отличный фикс для мувеб, чтоб в админку не лезли, просто и надежно.
<Files "administrator.php">
Order Deny,Allow
Deny from all
Allow from список_IP_через_пробел_которые_имеют_доступ
</Files>


Защита от задивки и удаления файлов
php_flag engine off


Ещё вариант но уже с перенаправлением на опруделённую страницу.
Требует включение rewrite module в php.ini
RewriteEngine on
Options +FollowSymlinks
RewriteBase /
RewriteCond % {REMOTE_ADDR} ^212.37.64.10$
RewriteCond % {REMOTE_ADDR} ^212.37.64.11$
RewriteCond % {REMOTE_ADDR} ^212.37.64.12$
RewriteRule ^.*$/text.html


Правильно настроенный Apache, залог долгожития сайтов.

Наиболее популярные взломы происходят изза возможности внедрять скрипты в сам сайт, подобной болезнью страдают мувеб где требуется включен регистр глобал.
Цитата с популярного хакерского сайта:
ЦитироватьСейчас я расскажу , о том как поиметь сайт, который использует включенный режим Register Globals .
Пофиксим, открываем через нотепад файл настройки вебсервера php.ini
поправим строку чтоб поменьше было возможности заливать шелл =)
register_globals=Off // должно быть отключено
На основе .htaccess отклучение выглядит так
php_flag register_globals off

Некоторые му сайты могут не коректно работать, тогда вообще нечего ставить такой веб.
Вариант ограничения доступа к скрипту на основе php

if ($_SERVER['REMOTE_ADDR'] != 'your_ip')
{
echo 'You have no permissions for this area!';
exit;
}


Защита от XSS (бета инфо)

Вобщем идея взята от популярной cms, там идет дополнение скрипт который предотвращает атки xss.
Вполне можно адаптировать для своего вебсайта.

<?php
/*
Plugin Name: Anti-XSS attack
Plugin URI: https://maxsite.org/anti-xss-attack
Description: Защита/предупреждение XSS-атак (в модификации Макса/maxsite.org ). Адаптирован для WP 2.5.
Author: Yuri 'Bela' Belotitski
Version: 0.5 beta @ 02.06.2008
Author URI: https://www.portal.khakrov.ua/
*/


function htauth()
{
if (
strpos($_SERVER['REQUEST_URI'], 'wp-admin') === false ) return;
if (
strpos($_SERVER['REQUEST_URI'], 'async-upload.php') != false ) return;

$p parse_url($_SERVER['HTTP_REFERER']);
$p $p['host'];

if ( 
$p != $_SERVER['HTTP_HOST'] )
{
if (
$_POST) die('<b><font color="red">Achtung! XSS attack!</font></b>');
if (
$_GET)  die('<b><font color="maroon">Achtung! XSS attack?</font></b><br>Confirm transition: <a href="'
$_SERVER['REQUEST_URI'] . '">'
$_SERVER['REQUEST_URI'] . '</a>');
}
}

add_action('init''htauth');

?>

Vittorio

Everybody ,как же мне набрать 50 сообщений,тут таких людей единицы,при том что они тут годами сидят....=(
А мне надо поставить защиту,или вы это с намёком на покупку поставили? =)

Everybody

Цитата: Vittorio от 2008 Дек. 11, 16:32  Everybody ,как же мне набрать 50 сообщений,тут таких людей единицы,при том что они тут годами сидят....=(
А мне надо поставить защиту,или вы это с намёком на покупку поставили? =)
50 это чтоб не каждый знал, а насчет какихто намеков забудь. Годами сидят только личеры которые инфу сливают на свои домашние странички вот и принимаем меры.

sonik

Бальшое SPS Админу но 1 вопрос.
У меня стаит MuWeb 0.3 и версия сервера 1.04J.
Когда я регеню АКК там пишет ошибку. Что типа чтото с базой. Как ето исправить?

Everybody

То что пытается внести данные в базу а там либо несоответсвие полей либо их вообще нет.

Slip

это назыается MD5... посмотри, у тебя оно должно быть офф в этой версии...
значит и на сайте при установке выставь MD5 off

SKoT

Everybody у менеа такаеа проблема....еа читал севоднеа почти все топики с форума... как зашитити мувеб.... и так понел што етот фаил .htaccess нада ево кутада поставити.... помогхите народ у менеа MuWeb 0.6 еа пробовал ставил куда токо мог не помогает,захадили люди с другова ип для теста.... куда имена ево поставити хелп....

сори ошыбся у меня MuWeb 0.7 ,gdeta ea videl postaviti ne www a prosta sozdati papku tmp esli eio netu u menea,i kinuti tuda.... ??? Help podskajite...

youman

Everybody скажи плз какой скрипт нужно поставить и где поставить что когда чел пытался юзать сqл иньекция ему показывало это : SQL Injection Detected - Make sure only to use letters and numbers!
IP: xx.xxx.xxx.xxx
за ранее блогодарен!

Everybody

Цитата: youman от 2009 Апр. 18, 00:04  Everybody скажи плз какой скрипт нужно поставить и где поставить что когда чел пытался юзать сqл иньекция ему показывало это : SQL Injection Detected - Make sure only to use letters and numbers!
IP: xx.xxx.xxx.xxx
за ранее блогодарен!
Пару Anti-SQLinject (web) защит которые проверены временем (вернее их используют вебы такие как muweb и DSW)
*https://forum.ragezone.com/f196/guide-anti-sql-injection-protection-50180/ - youman ты о этом спрашивал.
*https://forum.ragezone.com/f197/release-php-effective-anti-injection-script-no-symbol-block-252182/

Ales

А можно ко всему этому добавить инфу как находить в коде шелы и другие вредоносные скрипты?

Vaflan

Что то я не понял XSS//
Там есть одна function add_action.
Откуда её взять? Или можно просто место add_action('init', 'htauth'); - htauth();?

awpDream

Interesno... vot do 4ego mozhno dodumatsja.  Sposibo, prigoditsja!

OkiFlame

Спс воспользуюсь и я этой информацией.

еternal

Только один вопрос.  что если htacces обходят? Тут один латвийский сервер пострадал из-за взлома админки - и htaccess каким то образом не делал то что ему надо. Они легко зашли со своего IP адреса и когда администрация это поняла было уже поздно!
Так вот, что делать если это не спасает?

Profesor08

защита неплохая но вот система взлома очень резко пашет

Rev[]luti0

Цитата: awpDream от 2009 Июнь 01, 19:59  Interesno... vot do 4ego mozhno dodumatsja. :) Sposibo, prigoditsja!
Какой пригодиться при твоих то "трёх" "Сообщений" из нужных "Пятидесяти" ???

Молдованен

Спосибо большое помогло ......

Барклай

Цитата: Молдованен от 2009 Авг. 06, 08:07  Спосибо большое помогло ......

Тебе помойму все здесь помогает!Обаснуй свой ответ прежде чем его писать :P

never

Спасибо.... мне помогло даже очень =)

pikata

спасибо помогло чтоб я делал без вас!!!!

Похожие темы (5)