Безопасность сайта доступ к папкам

Тема в разделе "Вопросы безопасности", создана пользователем bestnoob, 05.03.2008.

  1. Offline

    bestnoob Недавно здесь

    Регистрация:
    05.03.2008
    Сообщения:
    5
    Симпатии:
    0
    на факе на написано :
    Для этого, если используется веб-сервер apache, надо создать файл .htaccess в папке /administrator/ и написать нечто вроде этого

    <Limit GET>
    Order Deny, Allow
    Deny from all
    Allow from 100.100.100.100
    </Limit>
    Что делать, если любой желающий может просмотреть список файлов в любой директории, насколько это опасно

    Т.е. если вы например набираете в адресной строке хттп://сайт.ру/components/com_content/ и видите содержимое директории, то это значит, что в вашем сервере настроена выдача листинга директорий. Насколько это безопасно - на самом деле это не так уж и страшно. Хотя в принципе может дать взломщику дополнительные плюсы при изучении вашего сайта. Избежать открытого листинга можно двумя способами:

    В .htaccess или в конфигурации apache создать директиву
    Options -Indexes

    В каждую директорию положить пустой файл index.html. Тогда если все настроено как обычно, то вместо списка файлов будет выдаваться именно этот файл.



    Хотел спросить а что если прописать в каждой папке создать .htaccess и прописать доступ только по моему айпи например 89.111.200.21

    <Limit GET>
    Order Deny, Allow
    Deny from all
    Allow from 89.111.200.21
    </Limit>

    также хотел спросить должен ли отличаться .htaccess который лежит в общей директории от .htaccess -сов в папках типа админки , картинок и т.п. ?Тоесть в файле .htaccess который лежит в папках админки и т.п. только должна быть запись:
    <Limit GET>
    Order Deny, Allow
    Deny from all
    Allow from 89.111.200.21
    </Limit>
    или кроме этого должны остальные записи которые прилагаются в .htaccess.тхт прилагаемой к джумле?
    Эфективен ли перечисленный метод защиты от взлома ?
    Будут ли проблемы с записью и управлением CMS ?

    Также есть проблема на локальной машине установил appserv 2.5.8 при изменении параметра register_globals на off сайт перестает грузиться , на факу написано это запрещен доступ к пхп , а как на локальной машине разрешить доступ ?
    Также вопрос насчет кодировки при установке appserv 2.5.8 на этапе выбора кодировки Mysql нет кодировки ни win1251 ни cp1251 есть только выбор Russian DOS или Koi8-R ? в аппсерве кодировка win1251 может по другому называется или я че то не понимаю , помогите пожайлуста !!!

    Как на локальной машине логи посмотреть ?
     
    Последнее редактирование: 05.03.2008
  2.  
  3. Offline

    AnthonyS Russian Joomla! Team

    Регистрация:
    07.08.2006
    Сообщения:
    273
    Симпатии:
    6
    Пол:
    Мужской
    Ответ: Безопасность сайта доступ к папкам

    вроде бы все красиво при этом даже можно и пароль от апача назначить htpassword, но в таком способе есть одна неприятность. Отчего то на ненкоторых хостингах при обращении к морде сайта (но не к админке) с посетителей начинают истребоваться эти самые пароли. Почему я так и не выяснял, просто отключил. Хотя мысль сама красивая..
     
  4. Offline

    bestnoob Недавно здесь

    Регистрация:
    05.03.2008
    Сообщения:
    5
    Симпатии:
    0
    Ответ: Безопасность сайта доступ к папкам

    а как назначить пароль ?
    Создать файл .htpassword? если да то что нужно прописать в этом файле ?
     
  5. Dead Krolik
    Offline

    Dead Krolik специалист

    Регистрация:
    13.04.2007
    Сообщения:
    3 688
    Симпатии:
    101
    Пол:
    Мужской
    Ответ: Безопасность сайта доступ к папкам

    >также хотел спросить должен ли отличаться .htaccess который лежит в общей директории от .htaccess -сов в папках типа админки , картинок и т.п.
    Не должно быть их там. Хватит и одного общего.

    >Эфективен ли перечисленный метод защиты от взлома ?
    Нет. Это просто защита от старых уязвимостей. Это не защита и не вакцина от взлома. Просто отсекается небольшой кусок ботов-ломальщиков.

    >Будут ли проблемы с записью и управлением CMS ?
    На нее это никак не влияет.

    >Также есть проблема на локальной машине установил appserv 2.5.8 при изменении параметра register_globals на off сайт перестает грузиться , на факу написано это запрещен доступ к пхп , а как на локальной машине разрешить доступ ?
    В настройках виртуального хоста, по-моему, надо прописать AllowOverride All. Где, что и как - есть гугль.

    >Как на локальной машине логи посмотреть ?
    Я не знаю где аппсерв хранит логи. Предлагаю посмотреть настройки апача и хоста в самом аппсервере.

    >Создать файл .htpassword? если да то что нужно прописать в этом файле ?
    Есть утилиты для генерации хэшей паролей, а сами хэши спец образом туда вставляются. Где и как - интернет в помощь.
     
  6. Offline

    bestnoob Недавно здесь

    Регистрация:
    05.03.2008
    Сообщения:
    5
    Симпатии:
    0
    Ответ: Безопасность сайта доступ к папкам

    Еще такой вопрос важно в какой директории лежит файл .htaccess или он только должен лежать в главной директории www ? такой же вопрос и к файлу .htpassword ?
    Также хотел спросить если будет 1 только файл .htaccess как сделать чтобы только мой айпи мог бы просматривать папки админки , картинок , и т.п. ведь на факе написано только админка будет по моему только айпи просматриваться ?
     
    Последнее редактирование: 06.03.2008
  7. Fanamura
    Offline

    Fanamura Доброта

    Регистрация:
    12.03.2007
    Сообщения:
    5 108
    Симпатии:
    159
    Пол:
    Мужской
    Ответ: Безопасность сайта доступ к папкам

    Я писал здесь:
    http://joomla-support.ru/thread/898/
    Этот файл действует на каталог в котором находиться и на все, выше. Додумайте уже сами. Их может быть несколько.
    Я конечно не профи, но у меня он вообще выше корня находится.

    PS: что за паранойя у вас? Вы сначала удостоверились, что компоненты не сильно дырявые?))
     
    Последнее редактирование модератором: 31.03.2014
  8. Offline

    bestnoob Недавно здесь

    Регистрация:
    05.03.2008
    Сообщения:
    5
    Симпатии:
    0
    Ответ: Безопасность сайта доступ к папкам

    Что значит выше ?
    если .htaccess лежит в папке www/administrator то он и действует в папке www ?
     
  9. Fanamura
    Offline

    Fanamura Доброта

    Регистрация:
    12.03.2007
    Сообщения:
    5 108
    Симпатии:
    159
    Пол:
    Мужской
    Ответ: Безопасность сайта доступ к папкам

    нет,
    1/2/3/4
    > выше > выше > выше > понимаете?
     
  10. Offline

    bestnoob Недавно здесь

    Регистрация:
    05.03.2008
    Сообщения:
    5
    Симпатии:
    0
    Ответ: Безопасность сайта доступ к папкам

    а ну значит глубже - если лежит в www то и распространяется и на www/administrator
    верно ?
     
  11. Fanamura
    Offline

    Fanamura Доброта

    Регистрация:
    12.03.2007
    Сообщения:
    5 108
    Симпатии:
    159
    Пол:
    Мужской
    Ответ: Безопасность сайта доступ к папкам

    да, верно
     
  12. asd_asd1
    Offline

    asd_asd1 Недавно здесь

    Регистрация:
    25.11.2007
    Сообщения:
    7
    Симпатии:
    0
    Ответ: Безопасность сайта доступ к папкам

    У меня стоит joomla 1.0.12, недавно в папку /media кто то создал папку tmp и в нее записал свои php скрипты, файлы joomla остались не тронуты.
    Я удалил возможность записи в папки кроме папок /images и /cache.

    Но у меня 3 вопроса:

    1. Какая разница если тоже самое можно сделать и в папке /images за место сажем /media.

    2. Я удалил возможность записи например в /administrator но остатся возможность записи во все подпапки те же /administrators/modues и т.д. Т.е. нужно удалить такую возможность и во все подпапках? Если да то как это можно сделать?

    3. Как это примерно могли сделать ?
     
  13. Fanamura
    Offline

    Fanamura Доброта

    Регистрация:
    12.03.2007
    Сообщения:
    5 108
    Симпатии:
    159
    Пол:
    Мужской
    Ответ: Безопасность сайта доступ к папкам

    asd_asd1, если не планируешь ничего на сайт ставить, добавлять и т.д. убирай дозапись, а еще лучше ищи дырявый компонент
     
  14. asd_asd1
    Offline

    asd_asd1 Недавно здесь

    Регистрация:
    25.11.2007
    Сообщения:
    7
    Симпатии:
    0
    Ответ: Безопасность сайта доступ к папкам

    Fanamura, допустим я уберу дрзапись - но все равно остаются такие папки как /images и /cache. Собственно какая разница какая папка. Если можно записать свой скрипт хоть в любую папку - то это уже кранты, если есть совй скрипт на хосте - то по сути в руках все инстрмнты. Получается что убирать дозапись в папки - безсмысленно, если остаётся хоть одна папка для записи. Как вы считаете - я не прав?

    Так же я не доганяю по поводу защиты от записи configuration.php. Я его конечно защитил, даже на CHMOD - 444. Но напрашивается такой вопрос - если у злоумышленника есть возможность что то вписать в configuration.php, то у него значит есть возможность записать что то и в другие файлы. Почему обязательно это должен быть configuration.php, чем скажем index.php корневой хуже или любой другой файл из скажем папки /includes или /modules.
     
  15. Offline

    Polonoid Недавно здесь

    Регистрация:
    06.08.2008
    Сообщения:
    12
    Симпатии:
    0
    Пол:
    Мужской
    Re: Ответ: Безопасность сайта доступ к папкам

    все подробно (ну или почти) об htaccess.
     
  16. infoman
    Offline

    infoman Недавно здесь

    Регистрация:
    28.08.2007
    Сообщения:
    575
    Симпатии:
    12
    Пол:
    Мужской
    Re: Ответ: Безопасность сайта доступ к папкам

    ну ребята делается просто если точно ничего менятся не будет и хочется заперетить всё то можно сделать так :
    в nix командной строке:
    chmod (папка и права) -R
    буква R задаёт рекурсив на все подпапки...

    в этом случае хаккер максимум может только узнать passwd , поднять себя до уровня root закачать руткит
    и только с помощью атаки на саму unix машину термоядерным эксплоидом , а это уже совсем другая история не относящаяся к joomla...
     
    Последнее редактирование: 10.12.2008
  17. Asylum
    Offline

    Asylum специалист

    Регистрация:
    09.02.2007
    Сообщения:
    2 569
    Симпатии:
    152
    Пол:
    Мужской
    Согласен с предыдущим оратором. Если взломали север хостера - поздно пить боржоми. Но и за установленными компонентами нужно следить. А не по принципу: поставил, работает можно забыть. Вот кусочек с www.securitylab.ru
    18 декабря, 2008
    Программа: Live Chat (компонент к Joomla) 1.0, возможно более ранние версии
    Описание:
    Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.
    Решение: Способов устранения уязвимости не существует в настоящее время.
    Также хорошему сну способствует бэкап сайта по расписанию и чтение логов (хотя бы при подозрении на попытку взлома)
    Это также повод задуматься тем, кто использует нуленые компоненты. Нашли дыру, разработчик оперативно выпустил заплатку и раздал ее тем кто оплатил компонент. А вы остаетесь со своими проблемами
     
    Последнее редактирование: 23.12.2008

Поделиться этой страницей

Загрузка...