К вопросу безопасности

oldvovk · 2011-03-09 19:11:40

Ни в коей мере не хочу подвергать сомнению безопасность системы, но хотелось бы
знать, какие меры безопасности можно дополнительно ввести для предотвращения.

Ситуация.
На хостинге были размещены два сайта на ngcms - dewon.ru и sowi.ru (экспериментальные площадки). Перед Новым годом статистика показала по обоим резкое увеличение размещение страниц. Расследование показало наличие в общей папке сайтов по левому файлу, и кучу файлов и папок в папке uploads, с изменением шаблона main (c организацией циклов ссылок с другими пораженными сайтами)

Учитывая, что обнаружил коверки поздно, определить не смог откуда руки растут.

Вопрос, можно что-то сделать для усиления безопасности, как запретить внешний доступ к папкам,
есть ли что то похожее по функционалу - проверка дополнений и изменений файлов на хостинге (как у wordpress)

Из того, что мне попалось, были сайты на ng, в тч из соответствующего топа и некоторых пользователей, несколько самописных, тот же wordpress, еще несколько (определить принадлежность не смог). Ну вот пара к примеру lising.org, seoblog.org.ru

Отредактировано oldvovk (2011-03-09 19:14:47)

legenda · 2011-03-09 20:00:13

этот топик с єтим както связан ?

oldvovk · 2011-03-09 20:30:45

Вроде нет. Просмотрел статистику доступа к файлам - дампы не запрашивались.

easmik · 2011-03-09 20:38:04

oldvovk пишет:

Вроде нет. Просмотрел статистику доступа к файлам - дампы не запрашивались.

А если поставить защиту на саму папку?

oldvovk · 2011-03-09 20:40:38

Паролировать что ли? а как тогда двиг имиджи и файлы будет вытаскивать

Ладно, папка upload, но с таким же успехом, наверное, могли навтыкать в любую или новую создать.

Или аксессы добавить с нужными директивами? Просто я сейчас на распутьи, что-то сделал,
чего-то не знаю что сделать, потому и вопрос задал.

Убило, что из десятка сайтов зацепило именно эти два.

Отредактировано oldvovk (2011-03-09 20:48:24)

easmik · 2011-03-09 20:42:42

Не обязательно паролить, некоторые панели умеют просто перекрывать доступ к папке из вне.

Отредактировано easmik (2011-03-09 20:43:30)

oldvovk · 2011-03-09 20:49:50

Ну это ж практически то же самое. ISP делает это, к примеру, но при обращении к папке тут же пойдет запрос на разрешение доступа и как двиг на это среагирует?

easmik · 2011-03-09 20:52:37

Скоро узнаем :)

RMC · 2011-03-09 22:38:12

кстати так же перед НГ была похожая ситуация.. (
в майн.тпл были прописаны левые(порно) ссылки но визуально не выводились, так что пока не получил предупреждение от гугла - даже не был в курсе..
откуда ноги - тоже к сожалению не определил..

oldvovk · 2011-03-10 01:04:35

Вот тут нечто похожее делают с dle - http://forum.searchengines.ru/showthread.php?t=610134

Отредактировано oldvovk (2011-03-10 01:04:52)

vitaly · 2011-03-12 09:24:13

oldvovk, проще всего такое сделать украв твой пароль к FTP.
Запретить доступ у файлам вне дерева каталогов сайта можно, но только средствами php.

oldvovk · 2011-03-23 22:31:41

Хорошо бы, если так. Но почему имено эти два на ng и не тронули wp, joom. И только по 1 из 8 подключений. Большие сомнения с ftp, тут что то другое.

Хотя смотрю по форумам и wp с dle долбят по полной по той же схеме.

Отредактировано oldvovk (2011-03-23 22:32:34)

cmsTester · 2012-05-14 19:10:47

Здрасти! :)

К вопросу о безопасности...

Тут, знаете ли, вчера открыл для себя, что существуют так называемые sql-инъекции...
Прям перепугался весь от неожиданности )))

А по сему просто хочу спросить (чтобы спать спокойно), как у NG с защитой от этих "уколов"? :)

vitaly · 2012-05-16 23:59:43

cmsTester, SQL-инъекция возможна только в случае, когда входные данные не проверяются и напрямую попадают в SQL запрос.
В NG для этого используется либо функция db_squote() (лежит в functions.inc.php), либо встроенная функция intval() (для цифровых значений).

cmsTester · 2012-05-17 00:36:55

Уважаемый Виталий!
Спасибо, что обратил внимание на мой вопрос! :) Но...

Из твоего поста мне не понятно, могу ли я спать спокойно, или же мне сейчас надо срочно бежать и что-то делать с функцией db_squote() и с функцией intval() :)))))

Дуб я в программировании, ты уж извини :)

А поэтому (потому, что дуб) задам вот такой вопрос: эти функции уже работают по умолчанию или мне нужно чего-то сделать, чтобы всё это заработало?

Просто меня с толку сбивает пояснение "(лежит в functions.inc.php)". Это зачем? Чтобы я туда сходил и убедился, что оно там есть, или с ним надо что-то делать? В системе столько разных плагинов, и все их надо активировать после установки, вот и тут я недопонял, надо ли чего поковырять или уже успокоиться и не отсвечивать... :)

Отредактировано cmsTester (2012-05-17 01:07:26)

ROZARD · 2012-05-17 07:20:47

cmsTester, Входные данные все проверяются через функцию db_squote()...

easmik · 2012-05-17 08:08:14

ROZARD, что то мне подсказывает что cmsTester и сейчас не поймет что ему делать, спать ему спокойно или нет? :)

cmsTester · 2012-05-17 10:42:17

Короче, как я понимаю, от sql-инъекций система защищена по умолчанию. Спасибо! Успокоили...

Тогда осталось разобраться с защитой против "воровства авторизационной cookie через обнаруженные XSS уязвимости".

Подскажите пожалуйста:

(1) После замены соответствующих файлов на файлы из Changeset [994] возникают следующие проблемы:

на 9.2 показывает белый экран, а на 9.3 ругается вот так:

NGCMS Runtime error: Call to undefined function loadPermissions()
[ 1]: Call to undefined function loadPermissions()

Stack trace
Line # File name
308 /home/бла-бла-бла/public_html/engine/core.php

Как с этим бороться? Может подкрутить чего в файле core.php ?

(2) Если в настройках безопасности выбрано не использовать cookies для авторизации, то в этом случае Changeset [994] продолжает быть актуальным или уже нет?

Отредактировано cmsTester (2012-05-17 11:17:26)

vitaly · 2012-05-17 18:01:47

cmsTester, зависит от того как ты смотришь на систему.
Если как пользователь, то ответ - да, защищена.
Если как разработчик плагинов, то ответ - нет, при разработке ты сам должен заботиться безопасностью и пользоваться указанными выше функциями.

cmsTester · 2012-05-17 22:28:51

Ага, понятно. Спасиба! Можно выдохнуть :)
Не до такой степени я допиливаю дефолтную версию системы, чтобы лесть в такие дебри, как разработка плагинов.

Однако, неужели не найдётся человека, который бы ответил на другие два вопроса в моём посте за номером #18 ?
Ау! Пролейте свет, господа! Вы же всё знаете! :)

Отредактировано cmsTester (2012-05-17 22:30:19)

hot · 2012-05-17 23:01:39

Веб-сайт заблокирован!
G Data TotalCare 2012: отказано в доступе к этому веб-сайту.
Страница содержит зараженный код: HTML:Script-inf (Антивирусный движок B).

Что это?!:)

Ahatomik · 2012-05-17 23:11:08

hot, Дай ссылку .
Антивирус "Avast" выключи и попробуй зайти ...

Отредактировано Ahatomik (2012-05-17 23:12:28)

vitaly · 2012-05-17 23:16:53

cmsTester пишет:

Ага, понятно. Спасиба! Можно выдохнуть
Не до такой степени я допиливаю дефолтную версию системы, чтобы лесть в такие дебри, как разработка плагинов.
Однако, неужели не найдётся человека, который бы ответил на другие два вопроса в моём посте за номером #18 ?
Ау! Пролейте свет, господа! Вы же всё знаете! :)

Всё намного проще - тебе нужно было не заменять файлы, а применить патч (т.е. выполнить указанные замены).
В SVN уже лежит более новый код, для его использования нужно вообще весь двиг обновлять.

hot · 2012-05-17 23:18:17

Ahatomik пишет:

Антивирус "Avast" выключи и попробуй зайти ...

Кто написал про Avast ?
Ссылка есть на главной...
elenika.com

hot · 2012-05-17 23:21:26

vitaly пишет:

cmsTester пишет:
Ага, понятно. Спасиба! Можно выдохнуть
Не до такой степени я допиливаю дефолтную версию системы, чтобы лесть в такие дебри, как разработка плагинов.
Однако, неужели не найдётся человека, который бы ответил на другие два вопроса в моём посте за номером #18 ?
Ау! Пролейте свет, господа! Вы же всё знаете! :)
Всё намного проще - тебе нужно было не заменять файлы, а применить патч (т.е. выполнить указанные замены).
В SVN уже лежит более новый код, для его использования нужно вообще весь двиг обновлять.

Спасибо, Виталик, у тебя всё просто...:)
...у меня всё сложно...
P.S.
Двиг о-о-о-чень хорош...

Отредактировано hot (2012-05-17 23:24:53)

Next Generation CMS :: Форум поддержки

Объявление

#1 2011-03-09 19:11:40

К вопросу безопасности

#2 2011-03-09 20:00:13

Re: К вопросу безопасности

#3 2011-03-09 20:30:45

Re: К вопросу безопасности

#4 2011-03-09 20:38:04

Re: К вопросу безопасности

#5 2011-03-09 20:40:38

Re: К вопросу безопасности

#6 2011-03-09 20:42:42

Re: К вопросу безопасности

#7 2011-03-09 20:49:50

Re: К вопросу безопасности

#8 2011-03-09 20:52:37

Re: К вопросу безопасности

#9 2011-03-09 22:38:12

Re: К вопросу безопасности

#10 2011-03-10 01:04:35

Re: К вопросу безопасности

#11 2011-03-12 09:24:13

Re: К вопросу безопасности

#12 2011-03-23 22:31:41

Re: К вопросу безопасности

#13 2012-05-14 19:10:47

Re: К вопросу безопасности

#14 2012-05-16 23:59:43

Re: К вопросу безопасности

#15 2012-05-17 00:36:55

Re: К вопросу безопасности

#16 2012-05-17 07:20:47

Re: К вопросу безопасности

#17 2012-05-17 08:08:14

Re: К вопросу безопасности

#18 2012-05-17 10:42:17

Re: К вопросу безопасности

#19 2012-05-17 18:01:47

Re: К вопросу безопасности

#20 2012-05-17 22:28:51

Re: К вопросу безопасности

#21 2012-05-17 23:01:39

Re: К вопросу безопасности

#22 2012-05-17 23:11:08

Re: К вопросу безопасности

#23 2012-05-17 23:16:53

Re: К вопросу безопасности

#24 2012-05-17 23:18:17

Re: К вопросу безопасности

#25 2012-05-17 23:21:26

Re: К вопросу безопасности

Подвал форума