на факе на написано : Для этого, если используется веб-сервер apache, надо создать файл .htaccess в папке /administrator/ и написать нечто вроде этого <Limit GET> Order Deny, Allow Deny from all Allow from 100.100.100.100 </Limit> Что делать, если любой желающий может просмотреть список файлов в любой директории, насколько это опасно Т.е. если вы например набираете в адресной строке хттп://сайт.ру/components/com_content/ и видите содержимое директории, то это значит, что в вашем сервере настроена выдача листинга директорий. Насколько это безопасно - на самом деле это не так уж и страшно. Хотя в принципе может дать взломщику дополнительные плюсы при изучении вашего сайта. Избежать открытого листинга можно двумя способами: В .htaccess или в конфигурации apache создать директиву Options -Indexes В каждую директорию положить пустой файл index.html. Тогда если все настроено как обычно, то вместо списка файлов будет выдаваться именно этот файл. Хотел спросить а что если прописать в каждой папке создать .htaccess и прописать доступ только по моему айпи например 89.111.200.21 <Limit GET> Order Deny, Allow Deny from all Allow from 89.111.200.21 </Limit> также хотел спросить должен ли отличаться .htaccess который лежит в общей директории от .htaccess -сов в папках типа админки , картинок и т.п. ?Тоесть в файле .htaccess который лежит в папках админки и т.п. только должна быть запись: <Limit GET> Order Deny, Allow Deny from all Allow from 89.111.200.21 </Limit> или кроме этого должны остальные записи которые прилагаются в .htaccess.тхт прилагаемой к джумле? Эфективен ли перечисленный метод защиты от взлома ? Будут ли проблемы с записью и управлением CMS ? Также есть проблема на локальной машине установил appserv 2.5.8 при изменении параметра register_globals на off сайт перестает грузиться , на факу написано это запрещен доступ к пхп , а как на локальной машине разрешить доступ ? Также вопрос насчет кодировки при установке appserv 2.5.8 на этапе выбора кодировки Mysql нет кодировки ни win1251 ни cp1251 есть только выбор Russian DOS или Koi8-R ? в аппсерве кодировка win1251 может по другому называется или я че то не понимаю , помогите пожайлуста !!! Как на локальной машине логи посмотреть ?
Ответ: Безопасность сайта доступ к папкам вроде бы все красиво при этом даже можно и пароль от апача назначить htpassword, но в таком способе есть одна неприятность. Отчего то на ненкоторых хостингах при обращении к морде сайта (но не к админке) с посетителей начинают истребоваться эти самые пароли. Почему я так и не выяснял, просто отключил. Хотя мысль сама красивая..
Ответ: Безопасность сайта доступ к папкам а как назначить пароль ? Создать файл .htpassword? если да то что нужно прописать в этом файле ?
Ответ: Безопасность сайта доступ к папкам >также хотел спросить должен ли отличаться .htaccess который лежит в общей директории от .htaccess -сов в папках типа админки , картинок и т.п. Не должно быть их там. Хватит и одного общего. >Эфективен ли перечисленный метод защиты от взлома ? Нет. Это просто защита от старых уязвимостей. Это не защита и не вакцина от взлома. Просто отсекается небольшой кусок ботов-ломальщиков. >Будут ли проблемы с записью и управлением CMS ? На нее это никак не влияет. >Также есть проблема на локальной машине установил appserv 2.5.8 при изменении параметра register_globals на off сайт перестает грузиться , на факу написано это запрещен доступ к пхп , а как на локальной машине разрешить доступ ? В настройках виртуального хоста, по-моему, надо прописать AllowOverride All. Где, что и как - есть гугль. >Как на локальной машине логи посмотреть ? Я не знаю где аппсерв хранит логи. Предлагаю посмотреть настройки апача и хоста в самом аппсервере. >Создать файл .htpassword? если да то что нужно прописать в этом файле ? Есть утилиты для генерации хэшей паролей, а сами хэши спец образом туда вставляются. Где и как - интернет в помощь.
Ответ: Безопасность сайта доступ к папкам Еще такой вопрос важно в какой директории лежит файл .htaccess или он только должен лежать в главной директории www ? такой же вопрос и к файлу .htpassword ? Также хотел спросить если будет 1 только файл .htaccess как сделать чтобы только мой айпи мог бы просматривать папки админки , картинок , и т.п. ведь на факе написано только админка будет по моему только айпи просматриваться ?
Ответ: Безопасность сайта доступ к папкам Я писал здесь: http://joomla-support.ru/thread/898/ Этот файл действует на каталог в котором находиться и на все, выше. Додумайте уже сами. Их может быть несколько. Я конечно не профи, но у меня он вообще выше корня находится. PS: что за паранойя у вас? Вы сначала удостоверились, что компоненты не сильно дырявые?))
Ответ: Безопасность сайта доступ к папкам Что значит выше ? если .htaccess лежит в папке www/administrator то он и действует в папке www ?
Ответ: Безопасность сайта доступ к папкам а ну значит глубже - если лежит в www то и распространяется и на www/administrator верно ?
Ответ: Безопасность сайта доступ к папкам У меня стоит joomla 1.0.12, недавно в папку /media кто то создал папку tmp и в нее записал свои php скрипты, файлы joomla остались не тронуты. Я удалил возможность записи в папки кроме папок /images и /cache. Но у меня 3 вопроса: 1. Какая разница если тоже самое можно сделать и в папке /images за место сажем /media. 2. Я удалил возможность записи например в /administrator но остатся возможность записи во все подпапки те же /administrators/modues и т.д. Т.е. нужно удалить такую возможность и во все подпапках? Если да то как это можно сделать? 3. Как это примерно могли сделать ?
Ответ: Безопасность сайта доступ к папкам asd_asd1, если не планируешь ничего на сайт ставить, добавлять и т.д. убирай дозапись, а еще лучше ищи дырявый компонент
Ответ: Безопасность сайта доступ к папкам Fanamura, допустим я уберу дрзапись - но все равно остаются такие папки как /images и /cache. Собственно какая разница какая папка. Если можно записать свой скрипт хоть в любую папку - то это уже кранты, если есть совй скрипт на хосте - то по сути в руках все инстрмнты. Получается что убирать дозапись в папки - безсмысленно, если остаётся хоть одна папка для записи. Как вы считаете - я не прав? Так же я не доганяю по поводу защиты от записи configuration.php. Я его конечно защитил, даже на CHMOD - 444. Но напрашивается такой вопрос - если у злоумышленника есть возможность что то вписать в configuration.php, то у него значит есть возможность записать что то и в другие файлы. Почему обязательно это должен быть configuration.php, чем скажем index.php корневой хуже или любой другой файл из скажем папки /includes или /modules.
Re: Ответ: Безопасность сайта доступ к папкам ну ребята делается просто если точно ничего менятся не будет и хочется заперетить всё то можно сделать так : в nix командной строке: chmod (папка и права) -R буква R задаёт рекурсив на все подпапки... в этом случае хаккер максимум может только узнать passwd , поднять себя до уровня root закачать руткит и только с помощью атаки на саму unix машину термоядерным эксплоидом , а это уже совсем другая история не относящаяся к joomla...
Согласен с предыдущим оратором. Если взломали север хостера - поздно пить боржоми. Но и за установленными компонентами нужно следить. А не по принципу: поставил, работает можно забыть. Вот кусочек с www.securitylab.ru 18 декабря, 2008 Программа: Live Chat (компонент к Joomla) 1.0, возможно более ранние версии Описание: Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Решение: Способов устранения уязвимости не существует в настоящее время. Также хорошему сну способствует бэкап сайта по расписанию и чтение логов (хотя бы при подозрении на попытку взлома) Это также повод задуматься тем, кто использует нуленые компоненты. Нашли дыру, разработчик оперативно выпустил заплатку и раздал ее тем кто оплатил компонент. А вы остаетесь со своими проблемами
