Базовые основы безопасности вашей информационной системы

К великому удивлению, за последнюю неделю ко мне обратилось два человека с просьбой «починить последствия хакеров на сайте». Последствия нужно сказать не самые приятные. Это и различные шелл-скрипты, и какие-то хитромудренные попытки построить свои «фермы на клиентских машинах», у одного клиента была попытка вымогательства. А другого даже исключил Яндекс Директ их показа ссылаясь на то, что на сайте имеется вирусный код.

Вычищая весь этот бред, проклиная когда-то ленивых программистов и установщиков надумалось написать основные принципы безопасности. Вас они мало от чего спасут, но если будете соблюдать этот минимум, уже больше шансов на то, что ваши системы не будут взломаны.

Суть взлома.

Нужно понимать, что большая (а порой мне кажется что вся) часть взломов происходит без какого-то смысла. Т.е. взламывают не конкретно вас что бы вам насолить, а просто ищут сайты с уязвимостями по определённым признакам.

1. Пароли.  

В это сложно поверить, но огромное количество взломов основаны на подборе пароля по словарю. Когда у клиента пароль скажем admin@ к пользователю admin…..  Причём такие пароли бывают и от системы управления сайтами, и от FTP и от ssh да парой даже и от более серьёзных вещей. Люди! Очнитесь.

Совет: Придумывайте пароли посложнее. Как минимум такие, что бы не подходили под словарь. Вот пример http://burnis.org/pass/index.php

 2. Тотал командер

Будете смеяться но да, Тотал Его командер один из виновников взломов сайтов на хостинге. Глубоко не вдавался в подробности, но видимо как-то пароли от ФТП подключений в нем хранятся не очень безопасно, и у многих клиентов оказывался на поверке именно этот Тотал Командер с сохранёнными паролями, откуда все различные вирусы (уж не знаю где они их цепляют) выколупывают пароли, а потом заливают всякую бяку на сервера.

Совет: Если на своём компьютере вы не слишком заморачиваетесь секьюрностью постарайтесь избегать использования нелицензионных Тотал Командеров с кряками и хаками.  Используйте тот же Far.

3. Здравый смысл в использовании систем управления сайтами

Здесь огромное количество вещей на самом деле, поэтому постараюсь перечислить основные принципы здравого смысла при собирании веб-сайта

Советы при создании и обслуживании сайтов (это советы для обычных людей со здравым смыслом):

 

  • выключайте или удаляйте модули, которые вам не нужны в сайте. Вполне вероятно, что рано или поздно как раз в этом модуле окажется уязвимость и через него вам наделают зла. А вы их не используете, поэтому сразу и не поймете.
  • выключайте лишнее, то что вам не нужно. К примеру на последнем сайте что мне попался под руку был предустановленный друпал, и была открыта возможность регистрироваться пользователям при том что сайт статический (зачем?) мне пришлось удалить из базы этого сайта 324 000 (триста двадцать четыре спам-пользователя»
  • внимательно используйте формы и все места, где клиент может вводить текст, писать свои е-майлы и другие формы. Это все потенциальные уязвимости
  • обновляйте модули сайта и сам «движок сайта» до новых актуальных версий хотя бы раз в полгода. Более того скажу, часто что бы «вылечить вирус» кроме как удалить лишние файлы достаточно обновить движок сайта до актуальной версии
  • следите за правами на папки и файлы. Очень часто, к примеру на файлах в системе стоят права 777 (можно все), но идёт страховка скажем различными хтаксесами и вот я замечал, что бывают ситуации когда этих самых страховочных хтаксесов нет. 
  • Хорошие пароли сделали от сайта? Молодцы! Теперь сделайте хорошие пароли от БД к этому сайту и от самого хостинга к этому сайту -)

 

На этом пока свой мини-рассказ остановлю, так как устал писать. Да и не понятно есть ли в этом смысл. Люди все равно делаю всегда все по своему. Советы выше пройдены собственным многолетним опытом и опытом клиентов которые обращались помочь и так далее. Основные и самые уязвимости конечно кроются в людях, но об этом в другой раз если наберусь сил.

upd. Где прокси купить ?http://burnis.org/proxy

Профессиональный сервисный центр по ремонту ноутбуков и компьютеров.дронов.
Мы предлагаем:ремонт ультрабук
Наши мастера оперативно устранят неисправности вашего устройства в сервисе или с выездом на дом!

Наш сервисный центр предлагает надежный ремонт фотоаппарата в москве любых брендов и моделей. Мы понимаем, насколько важны для вас ваши фотокамеры, и готовы предложить сервис наилучшего качества. Наши профессиональные техники оперативно и тщательно выполняют работу, используя только оригинальные запчасти, что обеспечивает длительную работу выполненных работ.

Наиболее частые неисправности, с которыми сталкиваются владельцы фотоаппаратов, включают проблемы с объективом, неисправности затвора, поврежденный дисплей, проблемы с аккумулятором и ошибки ПО. Для устранения этих проблем наши опытные мастера проводят ремонт объективов, затворов, экранов, батарей и ПО. Доверив ремонт нам, вы гарантируете себе качественный и надежный сервис ремонта фотоаппарата адреса.
Подробная информация доступна на сайте: https://remont-fotoapparatov-ink.ru

Профессиональный сервисный центр по ремонту холодильников и морозильных камер.
Мы предлагаем: ремонт холодильников на дому
Наши мастера оперативно устранят неисправности вашего устройства в сервисе или с выездом на дом!

Профессиональный сервисный центр по ремонту ноутбуков и компьютеров.дронов.
Мы предлагаем:адреса ремонта ноутбуков
Наши мастера оперативно устранят неисправности вашего устройства в сервисе или с выездом на дом!

Профессиональный сервисный центр по ремонту бытовой техники с выездом на дом.
Мы предлагаем:ремонт бытовой техники в спб
Наши мастера оперативно устранят неисправности вашего устройства в сервисе или с выездом на дом!

Профессиональный сервисный центр по ремонту планетов в том числе Apple iPad.
Мы предлагаем: профессиональный ремонт ipad
Наши мастера оперативно устранят неисправности вашего устройства в сервисе или с выездом на дом!

Добавить комментарий

Содержимое данного поля является приватным и не предназначено для показа.

Filtered HTML

  • Допустимые HTML-теги: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type='1 A I'> <li> <dl> <dt> <dd> <h2 id='jump-*'> <h3 id> <h4 id> <h5 id> <h6 id>
  • Строки и абзацы переносятся автоматически.
  • Адреса веб-страниц и email-адреса преобразовываются в ссылки автоматически.