Вопрос про безопасность сайта

Discussion in 'PHP' started by RRR_RRR, 17 Dec 2014.

  1. RRR_RRR

    RRR_RRR Member

    Joined:
    20 Jun 2012
    Messages:
    396
    Likes Received:
    35
    Reputations:
    0
    Добрый вечер
    Интересует такой вопрос
    Как можно запретить создание нового файла ?
    Например с помощи уязвимости кто то получил доступ и закачал шелл на сервер. Т.е он должен создать новый файл а туда уже пихнуть шелл или просто с другого сервера скачать шелл
    Вот нужно чтоб на высшим уровне запретить доступ на создание нового файла
    Или вообще как обезопасить себя от шелла ?
    Спасибо
     
  2. lifescore

    lifescore Elder - Старейшина

    Joined:
    27 Aug 2011
    Messages:
    651
    Likes Received:
    511
    Reputations:
    72
    Установить на все папки файлы сайта права
    Закрыть доступ в административную часть сайта (то есть там где вы входите под администратором) с помощью директив веб сервера через файл .htaccess

    Шел может прятаться и за вполне безобидной командой php preg_match
    В целях безопасности стоит отказаться от использования функций eval, base64_encode, exec.
    А что быть уверенным, что вредоносный код не вшит в код пхп ищем свой php.ini файл и в строке disable_functions=
    пишем
    disable_functions="eval,base64_encode,popen,exec,system,passthru,proc_open,shell_exec"
    если вы не пользуетесь почтой (то есть не отправляете ее с сайта), то желательно еще добавить в disable_functions функцию mail, а в disable_classes mail

    Ну и тысячи других мелочей
     
    1 person likes this.
  3. b3

    b3 Banned

    Joined:
    5 Dec 2004
    Messages:
    2,174
    Likes Received:
    1,157
    Reputations:
    202
    Почитайте mod_security поможет в 95% случаев. Так же логирования всех событий. Еще не помешает иметь слепок md5 файлов. Вообще нужно смотреть что за двиг, подход индивидуальный.
     
    1 person likes this.
  4. RRR_RRR

    RRR_RRR Member

    Joined:
    20 Jun 2012
    Messages:
    396
    Likes Received:
    35
    Reputations:
    0
    Спасибо всем кто откликнулся
    Если еще советы ?
    Например если шелл уже был загружен на сервер можно ли как то блокировать его функции ?
    Например какие расширение блокировать ?
    На сайте спец. движка нету
    Только php, html
    Попробовал через .htaccess блокировать все php кроме тех которые на сервере , но проблема в том что там большей список получается и сервер падает Internal Server Error
     
    #4 RRR_RRR, 18 Dec 2014
    Last edited: 18 Dec 2014
  5. mel123

    mel123 New Member

    Joined:
    16 Mar 2014
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
    Я использю по сови проекты Cloud WAF за 6$ в мес имею спокойный сон.
    Еше пробыал cloudflare но это кал он пропустл публичную багу на WP :mad:
     
  6. barnaki

    barnaki Elder - Старейшина

    Joined:
    2 Nov 2008
    Messages:
    676
    Likes Received:
    137
    Reputations:
    4
    права на запись должны отсутствовать . но тут проблема.некоторые системы пишут свой кэш . так что лучше всего заказать аудит проекта на античате . ребята посмотрят и найдут тебе дырки через которые тебе бы залили шел.
     
  7. VY_CMa

    VY_CMa Green member

    Joined:
    6 Jan 2012
    Messages:
    917
    Likes Received:
    492
    Reputations:
    724
    Выставить на основные диры и файлы верные права. Убрать хендлеры для интерпретаторов из дир доступных под запись. 99% защита.
     
    _________________________