PDA

Zobacz pełną wersję : Krótki przewodnik bezpieczeństwa dla użytkowników hostingu dzierżawionego



crazyluki
23-04-2008, 03:09
- Upewnij się że wszystkie komponenty, moduły, dodatki są w najnowszych wersjach. Często nowsze wersje oprogramowania zawierają łatki bezpieczeństwa, dzięki którym Twoja strona jest w mniejszym stopniu narażona na ataki;

- Ustaw trudne do odgadnięcia hasła do konta cPanel, MySQL, FTP, poczty oraz do konta Administratora na Twojej stronie. Nigdy nie używaj jednego hasła w wielu miejscach. Dla przykładu cPanel nie powinien mieć takiego samego hasła jak MySQL oraz FTP. Istotne jest by hasła których używasz do logowania nie były możliwe do znalezienia w żadnym z plików znajdujących się na serwerze;

- Unikaj ustawiania praw dostępu do plików (chmod) na katalogi powyżej 755. Jeśli jakaś z aplikacji potrzebuje takich uprawnień, postaraj się by umieścić jej katalog poza głównym katalogiem plików na serwerze (public_html). Istnieje także prostsza alternatywa – zabezpieczenie katalogu plikiem .htaccess – wystarczy stworzyć taki plik i umieścić w pliku .htaccess komendę „deny from all" by zablokować publiczny dostęp do tego katalogu.

- Używaj regularnie programu antywirusowego na swoim komputerze. Twój komputer także jest zagrożeniem dla bezpieczeństwa Twojej strony – niektóre wirusy mogą podglądać jakie hasła wpisujesz logując się na różne strony;
- Używaj bezpiecznego połączenia w momencie gdy logujesz się do konta cPanel (https://twojadomena.pl:2083 (https://twojadomena.pl:2083/)). Gdy posiadasz inny panel administracyjny, sprawdź, czy jest możliwość korzystania z bezpiecznego połączenia ( łatwo je rozpoznać – zawiera literkę s po http, oraz w większości nowych przeglądarek pojawia się kłódeczka w widocznym miejscu), w przypadku braku takiej możliwości – skontaktuj się z administratorem hostingu, by wprowadził taką użyteczność;

- Skonfiguruj Twoją stronę, by korzystała z dobrodziejstw najnowszego PHP 5.2 poprzez dodanie do pliku .htacces następującej lini:


AddHandler application/x-httpd-php52 .php .php3 .php4 .php5 .phtmlPHP 5.2 posiada wzbogaconą, ulepszoną obsługę skryptów wykonywanych zdalnie, w związku z czym rozwiązuje to wiele problemów związanych z bezpieczeństwem Twojej strony;

- Popraw lokalne ustawienia PHP by zwiększyć bezpieczeństwo. Może to zostać zrobione poprzez wyłączenie zbędnych funkcji i opcji. Poniżej zalecamy kilka zalecanych ustawień:

allow_url_fopen=off
disable_functions = proc_open , popen, disk_free_space, set_time_limit, leak, tmpfile, exec, system, shell_exec, passthru
Poniższe wskazówki mogą spowodować błędne funkcjonowanie Twojej strony – w takim przypadku spróbuj metodą prób i błędów zastosować choć część z nich. Ustawienia te powinny być wklejone do pliku php.ini w każdym folderze, w którym chcemy je zastosować.

-Jeśli nie używasz żadnych skryptów napisanych w Perlu, wyłącz ich wykonywanie na stronie. W Twoim katalogu domowym stwórz plik .htaccess zawierający następującą treść:

##Blokuje dostęp plikom do skryptów CGI, Perl, Python i plików tekstowych
<FilesMatch "\.(cgi|pl|py|txt)">
Deny from all
</FilesMatch>
##Jeśli używasz plików robots.txt dopisz te 3 linie do pliku .htacces
##by umożliwić poprawną pracę temu plikowi
<FilesMatch robots.txt>
Allow from all
</FilesMatch> Powyższe ustawienia zapobiegną wykonywaniu skryptów napisanych w Perl, CGI oraz w Pythonie. Wiele z exploitów/koni trojańskich jest napisanych w Perlu, a powyższy skrypt uniemożliwi im działanie na Twojej stronie. Komenda umieszczona w głównym katalogu strony będzie obowiązywać również w podkatalogach..

- Filtruj potencjalne zagrożenia za pomocą Apache Mod Security. Mod Security jest systemowym firewallem, który działa na poziomie Apacha
Mod Security może być w łatwy sposób uruchomiony poprzez określenie zasad w pliku .htaccess. Tutaj są przykłady (http://www.gotroot.com/downloads/ftp/mod_security/apache1/apache1-gotrootrules-latest.tar.gz), które możesz użyć na swojej stronie.


WAŻNE: Po tym, gdy Twoje konto zostało zaatakowane, istnieje wielkie prawdopodobieństwo że intruz zostawił sobie wejście do Twojej strony, by znów w łatwy sposób się na nią włamać. Dlatego samo nadpisywanie i poprawianie plików może być nieskuteczne. Znalezienie tylnego wejścia, które pozostawił sobie cracker jest bardzo czasochłonne i wymaga sporej wiedzy, za którą profesjonaliści każą sobie słono płacić. Dlatego często młodzi, niedoświadczeni administratorzy stron wolą zacząć przygodę ze stroną od nowa.

Od autora : Wolne tłumaczenie artykułu dostępnego na stronie http://kb.siteground.com/article/Basic_security_guidelines_for_the_shared_hosting_s erver.html
Tłumaczenie: Łukasz Bielawski aka crazyluki

inkos
23-04-2008, 10:38
Niezły tekst. Gratulacje za przetłumaczenie. Może warto go przypiąć w tej kategorii na forum?

james.bien
29-09-2008, 23:17
Czy te same knyfy można zastosować dla Joomli 1.0.13?

JB

crazyluki
30-09-2008, 07:57
do każdego CMSa można to wykorzystać... :)

bartspam
06-11-2009, 05:15
Popraw lokalne ustawienia PHP by zwiększyć bezpieczeństwo. Może to zostać zrobione poprzez wyłączenie zbędnych funkcji i opcji. Poniżej zalecamy kilka zalecanych ustawień:

allow_url_fopen=off
disable_functions = proc_open , popen, disk_free_space, set_time_limit, leak, tmpfile, exec, system, shell_exec, passthru

- to dotyczy tylko localhost czy na serwerze tez dziala ?

zwiastun
06-11-2009, 11:28
Działa, pytanie tylko - czemu ma służyć?

bartspam
08-11-2009, 02:52
No właśnie pytałem czy warto to dodawać gdy strona jest na serwerze a nie localhoscie.

Bo rozumiem, że reszta podanego kodu poprawia bezpieczeństwo gdy strona znajduje sie na serwerze jak i localhoscie ?

_eva
08-02-2010, 13:08
Mod Security może być w łatwy sposób uruchomiony poprzez określenie zasad w pliku .htaccess. Tutaj są przykłady (http://www.gotroot.com/downloads/ftp/mod_security/apache1/apache1-gotrootrules-latest.tar.gz), które możesz użyć na swojej stronie.


Plik do pobrania zawiera wirusa

Nazwa pliku: apache1-gotrootrules-latest.tar.gz

keran
05-06-2010, 20:41
Dodam jak zbanować turków w cPanelu:

Przykładowy turecki ip dokonujący ataków to 78.172.160.47.
Aby go zbanować na swoim serwerze należy wejść do sekcji "Bezpieczeństwo" potem "Blokada IP" i wpisać najlepiej
78. co zbanuje cały zakres ip od 78.0.0.0 do 78.255.255.255

pawinf
07-02-2011, 16:41
młodzi, niedoświadczeni administratorzy stron

1) biorąc pod uwagę zagrożenia, przed jakimi stoją strony internetowe tworzone na podstawie J!, czy początkujący w J!, którzy dopiero uczą się sposobów zabezpieczania strony mogą w najbliższym czasie stworzyć bezpieczny popularny serwis internetowy? Czy może od początku dać sobie spokój i zająć się kopaniem ziemniaków?

2) czy istnieje możliwość powierzenia komuś (np. jakiejś firmie) sprawy zabezpieczania mojej witryny? Czy można znaleźć profesjonalnych, pewnych, godnych zaufania informatyków chętnych do współpracy? Czy firmy świadczą takie usługi? Chodzi o to, by pozostać właścicielem strony, portalu, ale powierzyć zabezpieczanie go profesjonalistom

trzepiz
07-02-2011, 17:13
czy istnieje możliwość powierzenia komuś (np. jakiejś firmie) sprawy zabezpieczania mojej witryny?
oczywiście, że tak.

Niestety mam też złą informację. Chociażby nie wiem jak "profesjonalista" dbał o bezpieczeństwo to i tak najsłabszym ogniwem będzie użytkownik. Druga ważna sprawa to dobry hosting. Dobry nie znaczy drogi ale jak robię coś dla klientów i nie mogę zajrzeć w logi a od Administracji hostingu słyszę: "logi zostaną wysłane po wcześniejszym wysłaniu do nas pisma i wskazaniu z jakiego okresu mają być to logi i czego logi i po co te logi i czy w zipie czy tar czy ....? -- taka krótka informacja dla tych co mają hosting w pewnej firmie zaczynającej się na H... "

- to krew mnie zalewa.

pawinf
07-02-2011, 17:28
oczywiście, że tak

a czy mógłbym prosić o jakieś szczegóły, albo linki? oczywiście nie chodzi mi o wskazanie konkretnej firmy, no ale czegoś na ten temat chciałbym się dowiedzieć więcej

ale najbardziej mnie interesuje ten pierwszy punkt z mojej wcześniejszej wypowiedzi...

trzepiz
07-02-2011, 17:35
1) biorąc pod uwagę zagrożenia, przed jakimi stoją strony internetowe tworzone na podstawie J!, czy początkujący w J!, którzy dopiero uczą się sposobów zabezpieczania strony mogą w najbliższym czasie stworzyć bezpieczny popularny serwis internetowy? Czy może od początku dać sobie spokój i zająć się kopaniem ziemniaków?


przed jakimi stoją strony internetowe tworzone na podstawie J!
Każda strona jest narażona na atak - nie ma znaczenia, że to Joomla! :)


czy początkujący w J!, którzy dopiero uczą się sposobów zabezpieczania strony mogą w najbliższym czasie stworzyć bezpieczny popularny serwis internetowy
no odpowiedź jest chyba zawarta w pytaniu. Jeśli mówimy o "początkującym" to na jakim poziomie będą te zabezpieczenia - skoro wiedza jest jeszcze marniutka ? Oczywiście polecam grzebać po internecie - zbierać informacje robić wszystko z głową i jest spora szansa, że samemu uda się wprowadzić "podstawowe" zabezpieczenia, które zdecydowanie utrudnią włamanie.


Czy może od początku dać sobie spokój i zająć się kopaniem ziemniaków?
z takim podejściem to nadal byśmy biegali/skakali po drzewach :)

pawinf
08-02-2011, 16:55
bo zastanawiam się czy systemowi J! udaje się spełnić jego założenia - łatwość w tworzeniu portali nawet dla niezbyt zaawansowanych

ale jeśli...


polecam grzebać po internecie - zbierać informacje robić wszystko z głową i jest spora szansa, że samemu uda się wprowadzić "podstawowe" zabezpieczenia, które zdecydowanie utrudnią włamanie

...to będę trzymał się tej wersji :-)

behemot.76
12-11-2012, 16:26
Dodam jak zbanować turków w cPanelu:

Przykładowy turecki ip dokonujący ataków to 78.172.160.47.
Aby go zbanować na swoim serwerze należy wejść do sekcji "Bezpieczeństwo" potem "Blokada IP" i wpisać najlepiej
78. co zbanuje cały zakres ip od 78.0.0.0 do 78.255.255.255

Nie lepiej zrobic cos takiego, dopisujesz w htaccess :

<FilesMatch ".">
SetEnvIf CF-IPCountry CN BuzzOff=1
SetEnvIf CF-IPCountry RU BuzzOff=1
SetEnvIf CF-IPCountry TR BuzzOff=1


Order allow,deny
Allow from all
Deny from env=BuzzOff
</FilesMatch>

CN - Chiny, RU - Rosja, TR - Turcja
Mozna dodawacj ile sie chce
np:


SetEnvIf CF-IPCountry IL BuzzOff=1 - Izrael
SetEnvIf CF-IPCountry MT BuzzOff=1 - Malta
SetEnvIf CF-IPCountry NG BuzzOff=1 - Nigeria
SetEnvIf CF-IPCountry NE BuzzOff=1 - Niger

mariusz2013
09-06-2013, 15:13
Cześć Wszystkim

W pierwszym punkcie napisano - Upewnij się że wszystkie komponenty, moduły, dodatki są w najnowszych wersjach. Często nowsze wersje oprogramowania zawierają łatki bezpieczeństwa, dzięki którym Twoja strona jest w mniejszym stopniu narażona na ataki;

Chciałbym dowiedzieć się czy dla serwisu joomla 1.5 który jest 3 lata i ma kilkadziesiąt podstron jest sens zlecania uaktualnienia komponentów i dogrywania ewentualnych wtyczek wspomagajacych SEO czy lepiej zainstalować najnowszą wersję 3.0 i stworzyć wszystko od zera, ewentualnie kopiując już posiadające artykuły.

Mariusz

alex51
09-06-2013, 19:07
Powinieneś rozważyć migrację do wersji Joomla!2.5.11 używając komponentu JUpgrade, lub samej treści za pomocą J2xml. Z wersji 2.5 łatwiej będzie przejść do 3.1 zwykłą aktualizacją.

mariusz2013
09-06-2013, 19:36
Super, dzięki za podpowiedź. Z doświadczenia jaki czas należy przeznaczyć na taką migrację? 1.5 do 2.5 i dalej do 3.1?

alex51
09-06-2013, 19:54
Tego nie da się określić bez zapoznania się ze szczegółami witryny. Ważne jest też posiadanie odpowiedniej wiedzy i doświadczenia w tym temacie. Ostatnio zajmowałem się kilkoma migracjami i wyrabiałem się licząc średnio w 2-3 dni na jedną witrynę. Ponieważ były to zlecenia nie na cito, nie miałem parcia na bicie rekordów.