К великому удивлению, за последнюю неделю ко мне обратилось два человека с просьбой «починить последствия хакеров на сайте». Последствия нужно сказать не самые приятные. Это и различные шелл-скрипты, и какие-то хитромудренные попытки построить свои «фермы на клиентских машинах», у одного клиента была попытка вымогательства. А другого даже исключил Яндекс Директ их показа ссылаясь на то, что на сайте имеется вирусный код.
Вычищая весь этот бред, проклиная когда-то ленивых программистов и установщиков надумалось написать основные принципы безопасности. Вас они мало от чего спасут, но если будете соблюдать этот минимум, уже больше шансов на то, что ваши системы не будут взломаны.
Суть взлома.
Нужно понимать, что большая (а порой мне кажется что вся) часть взломов происходит без какого-то смысла. Т.е. взламывают не конкретно вас что бы вам насолить, а просто ищут сайты с уязвимостями по определённым признакам.
1. Пароли.
В это сложно поверить, но огромное количество взломов основаны на подборе пароля по словарю. Когда у клиента пароль скажем admin@ к пользователю admin….. Причём такие пароли бывают и от системы управления сайтами, и от FTP и от ssh да парой даже и от более серьёзных вещей. Люди! Очнитесь.
Совет: Придумывайте пароли посложнее. Как минимум такие, что бы не подходили под словарь. Вот пример http://burnis.org/pass/index.php
2. Тотал командер
Будете смеяться но да, Тотал Его командер один из виновников взломов сайтов на хостинге. Глубоко не вдавался в подробности, но видимо как-то пароли от ФТП подключений в нем хранятся не очень безопасно, и у многих клиентов оказывался на поверке именно этот Тотал Командер с сохранёнными паролями, откуда все различные вирусы (уж не знаю где они их цепляют) выколупывают пароли, а потом заливают всякую бяку на сервера.
Совет: Если на своём компьютере вы не слишком заморачиваетесь секьюрностью постарайтесь избегать использования нелицензионных Тотал Командеров с кряками и хаками. Используйте тот же Far.
3. Здравый смысл в использовании систем управления сайтами
Здесь огромное количество вещей на самом деле, поэтому постараюсь перечислить основные принципы здравого смысла при собирании веб-сайта
Советы при создании и обслуживании сайтов (это советы для обычных людей со здравым смыслом):
- выключайте или удаляйте модули, которые вам не нужны в сайте. Вполне вероятно, что рано или поздно как раз в этом модуле окажется уязвимость и через него вам наделают зла. А вы их не используете, поэтому сразу и не поймете.
- выключайте лишнее, то что вам не нужно. К примеру на последнем сайте что мне попался под руку был предустановленный друпал, и была открыта возможность регистрироваться пользователям при том что сайт статический (зачем?) мне пришлось удалить из базы этого сайта 324 000 (триста двадцать четыре спам-пользователя»
- внимательно используйте формы и все места, где клиент может вводить текст, писать свои е-майлы и другие формы. Это все потенциальные уязвимости
- обновляйте модули сайта и сам «движок сайта» до новых актуальных версий хотя бы раз в полгода. Более того скажу, часто что бы «вылечить вирус» кроме как удалить лишние файлы достаточно обновить движок сайта до актуальной версии
- следите за правами на папки и файлы. Очень часто, к примеру на файлах в системе стоят права 777 (можно все), но идёт страховка скажем различными хтаксесами и вот я замечал, что бывают ситуации когда этих самых страховочных хтаксесов нет.
- Хорошие пароли сделали от сайта? Молодцы! Теперь сделайте хорошие пароли от БД к этому сайту и от самого хостинга к этому сайту -)
На этом пока свой мини-рассказ остановлю, так как устал писать. Да и не понятно есть ли в этом смысл. Люди все равно делаю всегда все по своему. Советы выше пройдены собственным многолетним опытом и опытом клиентов которые обращались помочь и так далее. Основные и самые уязвимости конечно кроются в людях, но об этом в другой раз если наберусь сил.
upd. Где прокси купить ? - http://burnis.org/proxy
Мдя... Статья слабовата А
Мдя... Статья слабовата
А если атака через ftp или подбор паролей через ssh, а если хакер заломал один сайт - как сделать, чтобы до других не добрался в принципе?
А зачем генерировать пароли, когда авторизация по ключам в разы надежней?
Вот статьи получше
http://web-server.pro/blog/bezopasnost-servera-dlya-hostinga/
http://web-server.pro/blog/ispmanager-defaults/
Статья для обычных
Статья для обычных пользователей шаред-хостингом с обычными сайтами. Для того что бы учесть самые первые шаги.
Остальное что вы пытаетесь затронуть уже относится к специалистам несколько по выше и совсем других задачах. Ну и у вас затрагивается в статьях безопасность сервера. Если софт, который к вам зальют будет дырявым или не настроенным то и безопасность превратится в "безопасность" -))
lipitor 80mg us order…
lipitor 80mg us order lipitor 20mg for sale buy atorvastatin 10mg for sale
buy ciprofloxacin 1000mg…
buy ciprofloxacin 1000mg online cheap - myambutol where to buy buy cheap clavulanate
order ciprofloxacin 1000mg…
order ciprofloxacin 1000mg pills - buy trimethoprim no prescription amoxiclav cost
purchase flagyl online -…
purchase flagyl online - metronidazole buy online azithromycin brand
buy ciplox 500mg online…
buy ciplox 500mg online cheap - cheap chloramphenicol brand erythromycin
valacyclovir pills -…
valacyclovir pills - nemasole canada how to buy acyclovir
Профессиональный сервисный…
Профессиональный сервисный центр по ремонту бытовой техники с выездом на дом.
Мы предлагаем: сервис центры бытовой техники москва
Наши мастера оперативно устранят неисправности вашего устройства в сервисе или с выездом на дом!
stromectol 12mg - suprax…
stromectol 12mg - suprax price order sumycin 500mg generic
Нумерация страниц
Добавить комментарий