Пара вотпросов по безопасности

Тема в разделе "Начало работы с Joomla (для начинающих)", создана пользователем killstels, 31.10.2007.

  1. Offline

    killstels Недавно здесь

    Регистрация:
    13.10.2007
    Сообщения:
    64
    Симпатии:
    1
    Привет. Пара вопросов по безопасности назрело.

    1) Причина взлома №1: файл конфигурации доступен по записи

    Вся «левая» информация помещается прямо в файл configuration.php, который, как известно, загружается всегда по include перед любыми данными. В результате вместо сайта стартует та информация, которая помещается в этот файл.

    Исправления: восстановить файл configuration.php

    Защита:
    снять права на запись с этого файла.


    Если по русски, значит надо в админке поставить галочку "защитить от записи"?


    Причина взлома №2:
    открытые по записи директории

    В папку /administrator (если она доступна на запись!!!) записывается файл .htaccess (если он там отсутствует!!!) в котором переопределяется стартовый файл каталога: вместо index.php указывается другой файл, который тоже записывается в эту же папку. В результате, при запуске админки по пути (без явного указания имени файла), запускается «левый» файл, как правило, с турецкими или чеченскими национальными символами.

    Исправление: удалить или восстановить файл .htaccess

    Защита: следить за правами доступа или поместить в защищаемые папки файл .htaccess нулевой длины, прмещенный туда через FTP.



    Что просто в папку админа бросить файл .htacces пустого содержания??? А какие права на него? 644 или 600? Какие права вообще на эти файлы .htacces? (хост с suPHP)

    И ещё. Есть пункт - уровень безопасности 3 в админке (что-то там про сессии). Написано, что тогда не смогут заходить люди, использующие прокси. У меня регистрация-авторизация запрещена, но люди через прокси заодят. Надо включить уровень три или второй оставить?
     
    Последнее редактирование: 31.10.2007
  2.  
  3. Fanamura
    Offline

    Fanamura Доброта

    Регистрация:
    12.03.2007
    Сообщения:
    5 108
    Симпатии:
    159
    Пол:
    Мужской
    Ответ: Пара вотпросов по безопасности

    killstels,
    1. да. Еще можно через FTP поставить CMOD на этот файл 444
    2. нет, не пустой. поищите по слову htaccess, я выкладывал файл, который делает из админки пентагон. Права 444
    3. сессии оставьте.
     
  4. Offline

    killstels Недавно здесь

    Регистрация:
    13.10.2007
    Сообщения:
    64
    Симпатии:
    1
    Ответ: Пара вотпросов по безопасности

    Fanamura,
    Спасибо запомощь. А чем обусловлено оставляние сессий на уровне 2?
     
  5. Fanamura
    Offline

    Fanamura Доброта

    Регистрация:
    12.03.2007
    Сообщения:
    5 108
    Симпатии:
    159
    Пол:
    Мужской
    Ответ: Пара вотпросов по безопасности

    killstels, для статистики например пригодиться, для некоторых компонентов и модулей.
     

Поделиться этой страницей

Загрузка...