Поговорим о главном - безопасности!

Автор ADem, 02 августа 2006, 21:55:22

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

ADem

Всем привет!
Хотелось бы почитать по организации мер безопасности при эксплуатации форума CMF. Форум установлен, и как говорится, вопрос очень актуален.
С уважением,
ADem.
ADem

ADem

Наверное я неправильно сформулировал свой вопрос? Тогда конкретный вопрос, на папочку attachments необходим CHMOD 777, что у меня вызывает неккоторое опасение в плане безопасности. Хотелось бы выслушать мнение по данному вопросу.
ADem

Mavn

755 вполне достаточно на все папки 644 на файлы на Settings.php 600 или 400 в зависимости от настроек сервака на Settings_bak.php 600

SimpleMachines Russian Community Team
п.1 Пройду курсы гадалок для определения исходного кода по скриншоту.

п.2 У вас нет желания читать правила раздела, у меня нет желания одобрять темы, которые не соответствуют этим правилам.

ADem

ADem

Avdenago

Цитата: Mavn от 19 августа 2006, 23:37:35
755 вполне достаточно на все папки 644 на файлы на Settings.php 600 или 400 в зависимости от настроек сервака на Settings_bak.php 600



Не знаю. Поставил на все папки 777, на файлы - разные стоят. но не ниже 644.
м все равно например моды не ставятся. А по ФТП поменять пермишн не могу.

Как предожите поступить?

Kerlen

Вопрос по CHMOD на файлы форума.

После взлома сайта хостер, не долго думая, решил, что проблема в уязвимости скрипта форума. И изменил CHMOD на файлы форума. Какие теперь права нужно выставить файлам для нормальной работы движка? Достаточно ли этой информации:
Цитировать755 вполне достаточно на все папки 644 на файлы на Settings.php 600 или 400 в зависимости от настроек сервака на Settings_bak.php 600
?

Mavn

а после взлома сайта тебе логи были предоставлены? ты хоть сам просматривал логи чтобы узнать как и через что тебя поломали??
SimpleMachines Russian Community Team
п.1 Пройду курсы гадалок для определения исходного кода по скриншоту.

п.2 У вас нет желания читать правила раздела, у меня нет желания одобрять темы, которые не соответствуют этим правилам.

Kerlen

#7
Сорри, я чистый пользователь, кроме HTML - ничего. Что хоть искать нужно в этих строках?

В результате взлома было внесено изменение в корневой .htaccess сайта - вписан редирект на другой сайт.

vivisektor

Народ,скажу вам из своей практике,а не по наслышке....права 644 для файлов, это мало.Скжу почему. Проснулся сёня утром и заглянул на свой форум... Зашёл сначало через жар птицу, попытался залогинится как админ...не вышло,получил сообщение о неверном пароле. Меня это смутило...я стал грешить на браузер..перезагрузился на осла... так он ваще при загрузке сайта повис...Мало того все шрифты через осла были просто гигантские... Попробовал через оперу..и вуаля...сработал нод...обнаружен троян... ясный х..н что взлом... залез в спанел..немного покапался и нашёл вот что...в индексе главном скрипт вируса.... в файле настроек сетингс тоже скрипт правда незнаю тот же самый или нет...я просто удалил его.. и поставил для индекса права 444 а для сетингс как вы посоветовали выше 600...вот теперь смотрите... мне кажется безопасность при 644 практически 0-я.... а так смотрите сами...

Mavn

Хех а мне ничего не мешает при взломе менять не index.php а какой либо другой файл
SimpleMachines Russian Community Team
п.1 Пройду курсы гадалок для определения исходного кода по скриншоту.

п.2 У вас нет желания читать правила раздела, у меня нет желания одобрять темы, которые не соответствуют этим правилам.

vivisektor

вот..я о том и говорю..что на мой взгляд у разработчиков большой пробел в безопасности... и непонятно как это лечить..даш меньше прав....будут проблемы с работой

Kerlen

Тогда вновь возникает вопрос - какие права нужно выставлять для файлов чтобы и форум нормально работал и уровень безопасности был высокий? Или это принципиальная проблема SMF и решается только переходом на альтернативный движок?

Avdenago

Цитата: vivisektor от 14 октября 2007, 11:42:27
Народ,скажу вам из своей практике,а не по наслышке....права 644 для файлов, это мало.

обнаружен троян... ясный х..н что взлом... залез в спанел..немного покапался и нашёл вот что...в индексе главном скрипт вируса.... в файле настроек сетингс тоже скрипт правда незнаю тот же самый или нет...я просто удалил его.. и поставил для индекса права 444 а для сетингс как вы посоветовали выше 600...вот теперь смотрите... мне кажется безопасность при 644 практически 0-я.... а так смотрите сами...

Цитата: vivisektor от 14 октября 2007, 13:03:14
вот..я о том и говорю..что на мой взгляд у разработчиков большой пробел в безопасности... и непонятно как это лечить..даш меньше прав....будут проблемы с работой

Начну издалека. Самая защищенная служба госбеза была в СССР, в КГБ. никакой хакер не мог ее взломать. Открыть ключиком шуфлядку в столе мог только начальник:)

так и тут.

Вы путаете одно с другим.

Хак налицо. я сам сталкивался минимум три раза с таким хаком.
И во всех трех случаях права на папки были не причем.

Во всех трех слуаях взлом, якобы взлом, осуществлялся через ФТП...  поясняю. просто кто-то стянул у вас пароли - а дальше дело автоматики - скрипт подключается на фтп, и вперед... 

Никакие права на папки на сервере не спасут вас от трояна на вашей локальной машине и так далее. 

Так что это не у разработчиков пробелы с безопасностью, а скорее у вас, уважаемые форумчане... 

Mavn

Цитата: vivisektor от 14 октября 2007, 13:03:14
вот..я о том и говорю..что на мой взгляд у разработчиков большой пробел в безопасности... и непонятно как это лечить..даш меньше прав....будут проблемы с работой
Цитата: Kerlen от 14 октября 2007, 13:07:56
Тогда вновь возникает вопрос - какие права нужно выставлять для файлов чтобы и форум нормально работал и уровень безопасности был высокий? Или это принципиальная проблема SMF и решается только переходом на альтернативный движок?


бред о каких правах и о какой безопасности вы говорите. Проблема smf ....
Если для вас это проблема в безопасности smf от того что вы выставили 644 а не 400 то не знаю что сказать вам. Разве только то что БОЛЬШИНСТВО СКРИПТОВ РАБОТАЮТ с CHMOD 644 или даже 755 и проблем не имеют.
не вижу смысла в дальнейшем обсуждении данной проблемы если вы не разбираясь в вопросе что то утверждаете
SimpleMachines Russian Community Team
п.1 Пройду курсы гадалок для определения исходного кода по скриншоту.

п.2 У вас нет желания читать правила раздела, у меня нет желания одобрять темы, которые не соответствуют этим правилам.

Kerlen

Ну, лично я ничего и не утверждал, только спрашивал.

Однако вот ещё конкретный вопрос. На моём хосте установка прав на Settings.php ниже 644 приводит к fatal error. Насколько допустимо с точки зрения безопасности использование работоспособных 644 на этом файле?


vivisektor

А мне не кажется что слеует закрывать тему пока не решён вопрос. Почему  если как вы утверждаете что права 644 достаточны для нормально безопасности форума кто то умудрился внедрить в файлы на сервере диструктивный код ????????????????????? Мне кажется что на этот вопрос я ещё не получил ответа!!!

Avdenago

Цитата: vivisektor от 14 октября 2007, 23:21:12
А мне не кажется что слеует закрывать тему пока не решён вопрос. Почему  если как вы утверждаете что права 644 достаточны для нормально безопасности форума кто то умудрился внедрить в файлы на сервере диструктивный код ????????????????????? Мне кажется что на этот вопрос я ещё не получил ответа!!!

Цитата: Avdenago от 14 октября 2007, 19:26:00
Хак налицо. я сам сталкивался минимум три раза с таким хаком.
И во всех трех случаях права на папки были не причем.

Во всех трех слуаях взлом, якобы взлом, осуществлялся через ФТП...  поясняю. просто кто-то стянул у вас пароли - а дальше дело автоматики - скрипт подключается на фтп, и вперед... 

Никакие права на папки на сервере не спасут вас от трояна на вашей локальной машине и так далее. 

Так что это не у разработчиков пробелы с безопасностью, а скорее у вас, уважаемые форумчане... 

этого мало?

bbbbbb

Цитировать┌───────────────────────── Команда chmod ──────────────────────────┐
│   ┌ Права доступа ────────────────┐  ┌ Файл ─────────────────┐   
│   │ [ ] присв. UID при выполнении │  │ Имя                   │   
│   │ │ [ ] присв. GID при выполнении │   
│   │ [ ] закрепляющий бит          │  │ Доступ (восьмеричный) │ 
│   │
  • чтение для владельца      │  │ 100644                │   
    │   │
  • запись для владельца      │  │ Имя владельца         │   
    │   │ [ ] запуск/поиск для владельца│   
    │   │
  • чтение для группы         │  │ Имя группы            │   
    │   │ [ ] запись для группы         │   
    │   │ [ ] запуск/поиск для группы   │  └───────────────────────┘   
    │   │
  • чтение для других         │       
    │   │ [ ] запись для других         │     
    │   │ [ ] запуск/поиск для других   │ 
    │   └───────────────────────────────┘
1. Можно выключить "запись для владельца", но не знаю что получиться 444

2. По поводу .htaccess , его можно защетить с помощью mod_rewrite, должен быть на сервере
«Главное преимущество mod_rewrite — настраиваемость и гибкость Sendmail. Обратная сторона mod_rewrite — настраиваемость и гибкость Sendmail».
«Несмотря на тонны примеров и документацию, mod_rewrite это Вуду. Чертовски клёвый Вуду, но все-таки Вуду.»

3. Многие большие форумы выключили вложения файлов, скорее всего для поднятия безопасности

Xvost

Сегодня форум выдавал такие ошибки:

Проблема с отправкой почты. Ошибка: 451 Error while writing spool file

Ошибка базы данных: Got error 28 from storage engine
Файл: /home/rpc200307/domains/postvorskla.p-ws.info/public_html/SSI.php
Строка: 361

Зашёл на сервер и обнаружил, что Settings_bak.php пуст. Что бы это могло быть?