Сообщений в теме: 9

[laRus]

Привет всем! 

 

В частной беседе зашел разговор по теме...

Подумалось, что, возможно, инфа будет кому-нить полезна! Поэтому размещаю рецептик тут..

 

----------------

В сети можно найти несколько способов защиты конфигурационных файлов от публичного доступа, но большинство из них не работают или работают не так, как хотелось бы.

 

Действенный способ защитить файл configuration.php - это просто переместить его из корневой папки "этажом" или несколькими выше. При этом надо заметить, что перед этим должны быть сделаны определенные изменения. Ниже - пошаговые инструкции о том, как этого добиться..

 

Шаг 1: Копирование(! - пока только копирование) configuration.php в безопасный каталог, отличный от "public_html" ("этажом" или двумя выше!).

Шаг 2: Надо внести правки в 2 файла  /administrator/includes/defines.php и /includes/defines.php, а точнее, изменить константу:

define( 'JPATH_CONFIGURATION', JPATH_ROOT);

 

Если, например, вы хотите переместить файл на один(!) уровень вверх и в папку с названием "test", то константа будет выглядеть следующим образом:

define( 'JPATH_CONFIGURATION', JPATH_ROOT.'/../test');

Если на два(!) уровня вверх и в папку с названием "test2", то константа будет выглядеть следующим образом:

define('JPATH_CONFIGURATION', JPATH_ROOT.'/../../test2');

 

Шаг 3: Установить права доступа на файл configuration.php CHMOD=444, т.е. сделать файл не доступным для записи и выполнения для всех.

Шаг 4: Удалить файл configuration.php из корня сайта (можно сначала, чтобы проверить п.5, просто переименовать файл, например, так: configuration2.php. А после выполнения п.5 - удалить его).

Шаг 5: Проверить доступность сайта и админки.

Шаг 6: Если нужно изменить конфигурацию, то сделать это вручную в новом configuration.php.

 

Примечания:

1. Если использовать этот метод, то никто не сможет увидеть содержимое файла реальной конфигурации! И это проверенный и реально хороший метод защиты от злонамеренных атак.

 

2. Перед обновлением Joomla лучше (дабы потом не совершать лишних телодвижений ) снова скопировать файл configuration.php в корень сайта и задать ему права CHMOD=644. После обновления выполнить шаги 1-4.

 

3. Описанный метод (при точном выполнении пп выше) работает всегда! Если у вас не так, то либо где-то напортачили, либо см. настройки на стороне хостера, а именно, путь к папке, ограничивающей PHP-функции (open_basedir).

----------------

 

Всем успехов и хороших выходных!  

Сообщение отредактировал laRus: 16 April 2016 - 11:59

[Добрый циник]

К сожалению не получается вспомнить название программы и то место где про неё описывалось, суть той программы, заключалась в том что имея "частичный доступ  по FTP" (к примеру только к папке "public_html") при использовании той программы можно получить доступ ко всему хосту.

 

Скорее всего эффективность той программы менее 100% (в зависимости от особенностей и настроек хостинга ; VPS ; ... ; поэтому прежде чем доверять "своему хосту" не лишнем было бы по тестировать свой хост на попытку взлома.

 

(Если вспомню название программы или  то место где про неё писалось то здесь отпишусь.

(Сравнительно недавно скачал себе книгу : "Тестирование на проникновение с помощью Kali Linux 2.0" что там не знаю ещё её не читал)) 

---------------------------------

В дополнении к выше приведённой книге решил открыть новую ветку: "Книги (обмен и обсуждение)"

Сообщение отредактировал Добрый циник: 20 April 2016 - 19:32

[laRus]

Если вспомню название программы или  то место где про неё писалось то здесь отпишусь.

Спасибо большое за Ваш коммент!  

Постарайтесь вспомнить, пожалуйста! Весьма интересно!! 

[laRus]

Сравнительно недавно скачал себе книгу

 

Может быть, имеет смысл создать ветку на форуме с названием типа "Что почитать по теме" ? Ребят, как считаете?    

[laRus]

имея "частичный доступ  по FTP" (к примеру только к папке "public_html") при использовании той программы можно получить доступ ко всему хосту

 

и еще 5 копеек, сорри! В качестве вывода: аккуратнее быть с предоставлением даже частичного доступа по FTP (но это, надеюсь, и так всем известно!  )

[Добрый циник]

Может быть, имеет смысл создать ветку на форуме с названием типа "Что почитать по теме" ? Ребят, как считаете?    

Несколько месяцев назад озадачил себя вопросом как изучать ... (вставить желаемое) ... при почти полном отсутствии свободного времени.

Один из вариантов это электронные книги которые можно читать с планшета, конечно многие могут воразить книги это пережиток прошлого в то время когда существуют сайты и онлай ресурсы, но к сожалению на большинстве ресурсов или не возможно или крайне сложно выполнять задания с 7 дюймового планшета, а возить с собой постоянно нетбук не всегда удобно.

 

Книги необходимо делить по:

1) Уровню вхождения (для: новичков, среднего уровня, профессионалов)

2) По разделам "HTML5" (HTML5 + CSS3 + JavaScript); PHP; MySQL; GIT + GITHub; ...; ...;

3) По типу подачи материала: справочник; учебник; с элементами на основе современных достижений в области психологии (помогающие быстрее усвоить материал)

 

К примеру скачал себе около 50 книг издательства 2013-2016 годов и попытался их систематизировать в форме таблицы, получилось, но к этой таблице  необходимо добавить возможность оставлять комментарии, выставлять рейтинги и уже простая таблица не справляется.

 

Авторские права не кто не отменял ...

Если эту таблицу разместить к примеру на этом форуме, то с веткой может произойти история похожая на ту что уже произошло с темой: "Складчина на складчину" Приношу свои извинения за то что в той ветке занимался стёбом в следствии чего "под раздачу" попало несколько участников форума.

 

В течении 3 дней попытаюсь адаптировать для "массового просмотра" то что делалось для личных целей, и выложить в полу-открытый доступ в виде таблицы или на простенький сайт.

[laRus]

Добрый циник, не знаю, что скажут остальные форумчане, но мне лично определенно нравится то, что Вы пишите!   

Спасибо!!

[SmetDenis]

Добавлю 5 копеек.

 

Первое правило бойцовского клуба безопасности - не используйте и удалите ftp-сервер. Есть ssh.

Второе правило - измените порт ssh.

Третье правило - используйте root только через su(do)

 

Далее пожелания по мелочи, что вспомнил с ходу.

 - open_basedir - это хорошо, но может снизить производительность php, т.к там много инклюдов и проверка происходит на каждый из них.

 - всегда держите код сайта в репозитории, так вы сможете оперативно понять что именно заражено. депйломент тоже лучше сделать через репу.

 - желательно запретить загрузку gif - https://www.google.r...gif php exploit

 - закройте админку через http-авторизацию. Это простой и действенный способ, который даже лучше чем jsecurity и оные

 - закройте доступ к файлам  и папкам что начинаются с точки.

 - закройте доступ к xml файлам, кроме карты.

 - для сторонних редакторов, рекомендую "убить" директорию в /components/com_<редактор>

 - полностью отключайте вывод ошибок на экран, но так чтобы оставались логи

 - отключайте любые отладочные расширения (плагин, например).

 - закройте папку tmp

 - автоматический полный бекап раз в сутки, желательно на сторонний сервер. баш скриптами быстрее будет (backup-manager, например).

 

Примечание.

Joomla сама ставит права 444  для configuration.php при сохранении.

В остальном, все верно. Более того, обычно вообще весь сайт выносят за директорию "www". Это best practice любых фреймворков.
но с CMS будет сложнее.

 

 

 

при использовании той программы можно получить доступ ко всему хосту.

 

Только если у ftp-юзера не задана домашняя директория. Опять же, не нужно использовать ftp. Все данные, включая пароли ходят по сети в открытом виде.

[laRus]

SmetDenis, это, конечно, СУПЕР!... Спасибо за такие дополнения!! Высокий класс (как, впрочем, всегда!!)   

[Добрый циник]

Приношу свои извинения за не корректно написанное сообщение выше.

В следствии чего то что там было написано не воспринималось однозначно а имело  несколько смыслов.

 

На "joomlaforume" уже было несколько веток с темами по типу: "взломали сайт и заразили все сайты на моём аккаунте ..."

Как писал выше SmetDenis "Первое правило безопасности - не используйте и удалите ftp-сервер. Есть ssh.", поэтому по причине целесообразности я лутше  потрачу своё свободное время не на  поиски той программы, а на возможные уязвимости от использования FTP..

 

На разных хостинговых компаниях установлены разные алгоритмы автоматического создания логина к админ панели и FTP, в большинстве случаев одинаковые и создаются из:

1) Первые 6-8 знаков из доменного имени.

2) Тип хостинга + номер квитанции для оплаты (к примеру: vps34875)

3) Почтовый ящик при регистрации.

4) Система требует ввести свой желаемый логин.

5) Логин и пароль генерируется с использованием "генератора паролей"

 

В большинстве случаев логин и пароль для админ панели хостинга такие же как и для FTP.

Вычислить алгоритм создания логина и сам логин "первого и второго типа" не составляет большого труда.

 

Из написанного выше выходит:

Не в коем случае нельзя соглашаться и оставлять себе логин "первого и второго типа", необходимо изменять их самостоятельно в процессе создания хостинга.

 

При вводе не правильного пароля три раза подряд в админ панель хостинга в большинстве случаев произойдёт блокировка по "IP"

При вводе несколько раз подряд неправильного пароля на сайт, в зависимости от настроек сайта также будут блокировки.

Давно в спешке я случайно ввол не правильный пароль в FTP клиент, и он начал неправильным паролем долбать сайт аж до тех пока я не вспомнил правильный пароль, после чего произошло успешное соединение ...

 

---------------------------------------

Благодарю за интересный диалог, он мне позволил по другому взглянуть на то что раньше для меня казалось обыденным и вполне безопасным. 

Сообщение отредактировал Добрый циник: 20 April 2016 - 19:23