PDA

Zobacz pełną wersję : IP z których atakowano Joomle



viper
17-08-2006, 00:41
Każdy którego serwis zaatakowano i ma logi, z których może podać adres IP, z jakiego dokonano włamu, proszony jest o podanie go, by inni mogli ten IP zablokować.
Do blokowania posłużymy się plikiem .htaccess, w którym dokonujemy wpisu w postaci:

# nazwa włamywacza
deny from .test.com
deny from 127.000.056.8

W pierszej linii jest komentasz
W drugiej linii jest blokowana konkretna domena
W trzeciej linii jest blokowany adres IP
Pamiętamy, by na końcu pliku .htaccess nie pozostawić dodatkowego Entera!

W tym wątku prosimy tylko o wpisy z informacjami, z jakiej domeny lub IP był atak. Komentarze nie dotyczące tego wątku będą kasowane, więc jeśli są inne sprawy, które Chcesz poruszyć proszę o założenie nowego tematu na tym forum Sprawy bezpieczeństwa Joomli (http://forum.joomla.pl/forum/forumdisplay.php?f=30)

viper
17-08-2006, 00:42
atak z mischel.cz

#.mischel.cz
Deny from 201.244.38

roboty sieciowe serwisu zone-h


# zone h
deny from .zone-h.org
deny from .zone-h.com
deny from 213.219.122

# cyber-warrior.org
deny from .cyber-warrior.org
deny from .cyber-security.org
deny from 80.237.211.8

Sova
31-08-2006, 03:31
Znalezione na joomla.org

#t3ch.addyour.net
deny from .t3ch.addyour.net
deny from 62.149.0.117

#milw0rm.org
deny from .milworm.org
deny from 208.66.195.0/28

viper
31-08-2006, 19:53
atak na piotr.uk (http://forum.joomla.pl/forum/showpost.php?p=18741&postcount=1)

#blokowanie dostepu z adresow IP
deny from 85.102.201.9
deny from 85.103.232.27
deny from 62.150.154.23
deny from 217.16.29.51

viper
31-08-2006, 19:55
atak na xqleg (http://forum.joomla.pl/forum/showpost.php?p=19080&postcount=2)

#blokowanie dostepu z adresow IP
deny from 200.189.60
deny from 202.95.135

viper
31-08-2006, 19:59
atak na Aron (http://forum.joomla.pl/forum/showpost.php?p=17571&postcount=11)

#blokowanie dostepu z adresow IP
deny from 82.207.99

gurek
02-09-2006, 14:56
Ja mam taki kod w pliku .htacess:

########## Begin - Rewrite rules to block out some common exploits
#
# Block out any script trying to set a mosConfig value through the URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
# Block out any script trying to base64_encode crap to send via URL
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]
# Block out any script that includes a <script> tag in URL
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Send all blocked request to homepage with 403 Forbidden error!
RewriteRule ^(.*)$ index.php [F,L]
#
########## End - Rewrite rules to block out some common exploits

# zone h
deny from .zone-h.org
deny from .zone-h.com
deny from 213.219.122

# cyber-warrior.org
deny from .cyber-warrior.org
deny from .cyber-security.org
deny from 80.237.211.8
Deny from 201.244.38
Deny from 83.130.9.178
Deny from 212.138.113.25
Deny from 212.138.113.23
Deny from cache4-1.ruh.isu.net.sa
Deny from 212.138.113.24
Deny from cache3-2.ruh.isu.net.sa
Deny from cache11-4.ruh.isu.net.sa
Deny from 202.8.85.11
Deny from 222.124.11.98
Deny from 62.148.177.26
Deny from 85.88.1.99
Deny from 85.97.67.181
Deny from 62.139.173.167
Deny from 212.138.113.23
Deny from 62.139.173.167
Deny from 82.129.189.97
Deny from 222.124.11.98
Deny from cache5-1.ruh.isu.net.sa
Deny from 82.145.205.194
Deny from pool-71-247-228-228.nycmny.east.verizon.net
Deny from 71.247.228.228
Deny from 202.65.236.122
Deny from 81.215.171.81
Deny from 85.101.138.179
Deny from 196.1.176.50
Deny from 136.red-83-45-120.dynamicip.rima-tde.net
Deny from 213.63.133.117
Deny from 63.94.224.93
Deny from h19.plesklogin.net
Deny from s2.server4user.de
Deny from seki.lunarpages.com
Deny from 82.165.151.41
Deny from fin01.rackglobal.com
Deny from s21.domenomania.pl
Deny from u15181562.onlinehome-server.com
Deny from dirgencom.drac.net
Deny from esc79.midphase.com

jacul
10-09-2006, 14:18
Może napisze troche nie na temat, ale czy mozna przy blokowaniu IP zamiast cyfr wstawiac * zeby zbanowac dany zakres?

Sova
10-09-2006, 19:54
Można.

rkubera
19-09-2006, 11:16
Szczerze powiedziawszy nie za bardzo widzę sens takiej akcji, najlepiej jest dać bana na *.
Hacker jak listonosz - przychodzi tylko 2 razy :D
Co za problem jest włamywać się za każdym razem z innego adresu ip?
Ostatnio miałem atak na joomle (próba włamu przez RSGallery2) - 2 godziny walenia w serwer z różnych adresów IP. Naliczyłem ich ( przy jednym ataku !!!) ok. 30.
Dzięki Bogu dosyć mocno poprzerabialem RSGallery2 pod względem funkcjonalności i bezpieczeństwa i przeżyłem.

Starczy wykorzystać jakieś socks'y i już...
Zamiast banować w htaccess lepiej wysyłać logi do providerów że z tych adresów były włamy. Ukroci to zapędy hacherów a Hakera i tak nie zatrzyma.

braad
02-03-2007, 12:01
Co za problem jest włamywać się za każdym razem z innego adresu ip?

No wlasnie. Moze wiec lepiej zostawic otwarty IP? Takie rozwiazanie znalazlem, tyle ze majac neostrade to sie nie sprawdzi zbytnio.
<Limit GET>
Order Deny,Allow
Deny from all
Allow from 100.100.100.100
</Limit>

Rybik
02-03-2007, 13:20
prosze nie pisać bzdur, to co znalazłeś to przykład (100.100.100.100 to jest przykładowy IP) a artykuł, w którym to znalazłeś zapwne dotyczy dopuszczenia do katalogu /administrator tylko własnego IP

black-listy IP są jak najbardziej w porządku a katalog administracyjny zabezpiecza się przez htpasswd

http://www.indiana.edu/~wmhome/security_info/index.shtml

atb80
21-05-2007, 08:16
A jak dowiedzieć się, że były jakieś próby włamania na serwer?

gurek
04-08-2007, 19:42
Zajrzeć w logi swojego serwera www.

Jacekalex
05-11-2007, 07:00
W dzisiejszych czasach hakerzy używają różnych trików.
Jednym z nich jest projekt tor:
http://www.torproject.org/index.html.pl

Dlatego zamiast zabawy w kotka i myszkę - lepiej kopnąć w DOOPĘ administratorów - żeby porządnie zabezpieczyli serwery.
Kombinacja modułów (do Apacha): mod-security, mod-evasive, mod-rewrite, i apparmor daje bardzo porządne zabezpieczenie - jeśli tylko te moduły są odpowiednio skonfigurowane.
Dla przykładu: trochę czasu z życia firewall'a na zwykłym desktopie:
Time:Nov 5 00:38:59 Direction: Unknown In:eth0 Out: Port:43125 Source:207.234.145.106 Length:114 TOS:0x00 Protocol:TCP Service:Unknown
Time:Nov 5 00:40:40 Direction: Unknown In:eth0 Out: Port:1026 Source:82.166.13.107 Length:423 TOS:0x00 Protocol:UDP Service:Unknown
Time:Nov 5 00:40:40 Direction: Unknown In:eth0 Out: Port:1027 Source:82.166.13.107 Length:423 TOS:0x00 Protocol:UDP Service:Unknown
Time:Nov 5 00:40:46 Direction: Unknown In:eth0 Out: Port:139 Source:83.230.27.92 Length:48 TOS:0x00 Protocol:TCP Service:Samba (SMB)
Time:Nov 5 00:40:59 Direction: Unknown In:eth0 Out: Port:43125 Source:207.234.145.106 Length:114 TOS:0x00 Protocol:TCP Service:Unknown
Time:Nov 5 00:41:09 Direction: Unknown In:eth0 Out: Port:5800 Source:83.230.1.188 Length:48 TOS:0x00 Protocol:TCP Service:VNC
Time:Nov 5 00:41:13 Direction: Unknown In:eth0 Out: Port:1433 Source:83.230.1.188 Length:48 TOS:0x00 Protocol:TCP Service:Ms-sql-s
Time:Nov 5 00:41:17 Direction: Unknown In:eth0 Out: Port:1026 Source:155.88.124.188 Length:389 TOS:0x00 Protocol:UDP Service:Unknown
Time:Nov 5 00:56:13 Direction: Unknown In:eth0 Out: Port:139 Source:83.230.27.92 Length:48 TOS:0x00 Protocol:TCP Service:Samba (SMB)
Time:Nov 5 00:57:15 Direction: Unknown In:eth0 Out: Port:2967 Source:83.86.214.54 Length:48 TOS:0x00 Protocol:TCP Service:Unknown
Time:Nov 5 00:58:45 Direction: Unknown In:eth0 Out: Port:1026 Source:140.148.77.118 Length:389 TOS:0x00 Protocol:UDP Service:Unknown
Time:Nov 5 01:08:17 Direction: Unknown In:eth0 Out: Port:1026 Source:150.254.23.185 Length:389 TOS:0x00 Protocol:UDP Service:Unknown
Time:Nov 5 01:08:19 Direction: Unknown In:eth0 Out: Port:1026 Source:123.67.65.232 Length:376 TOS:0x00 Protocol:UDP Service:Unknown
Time:Nov 5 01:34:36 Direction: Unknown In:eth0 Out: Port: Source:220.210.127.115 Length:61 TOS:0x00 Protocol:ICMP Service:Unknown
Time:Nov 5 01:36:09 Direction: Unknown In:eth0 Out: Port:1433 Source:83.230.24.221 Length:48 TOS:0x00 Protocol:TCP Service:Ms-sql-s
Time:Nov 5 01:43:36 Direction: Unknown In:eth0 Out: Port:15814 Source:24.5.98.77 Length:54 TOS:0x00 Protocol:UDP Service:Unknown
Time:Nov 5 01:46:15 Direction: Unknown In:eth0 Out: Port:15814 Source:83.22.4.155 Length:48 TOS:0x00 Protocol:TCP Service:Unknown
Time:Nov 5 01:46:15 Direction: Unknown In:eth0 Out: Port:15814 Source:83.22.4.155 Length:47 TOS:0x00 Protocol:UDP Service:Unknown
Time:Nov 5 01:46:18 Direction: Unknown In:eth0 Out: Port:15814 Source:83.22.4.155 Length:48 TOS:0x00 Protocol:TCP Service:Unknown
Time:Nov 5 02:02:53 Direction: Unknown In:eth0 Out: Port:34102 Source:83.230.27.201 Length:319 TOS:0x00 Protocol:UDP Service:Unknown
Time:Nov 5 02:02:53 Direction: Unknown In:eth0 Out: Port:34102 Source:83.230.27.247 Length:343 TOS:0x10 Protocol:UDP Service:Unknown
Time:Nov 5 02:03:28 Direction: Unknown In:eth0 Out: Port:15814 Source:220.208.6.211 Length:48 TOS:0x00 Protocol:TCP Service:Unknown
Time:Nov 5 02:03:28 Direction: Unknown In:eth0 Out: Port:15814 Source:220.208.6.211 Length:48 TOS:0x00 Protocol:UDP Service:Unknown
Time:Nov 5 02:03:31 Direction: Unknown In:eth0 Out: Port:15814 Source:220.208.6.211 Length:48 TOS:0x00 Protocol:TCP Service:Unknown
Time:Nov 5 02:23:53 Direction: Unknown In:eth0 Out: Port:1026 Source:141.166.224.155 Length:376 TOS:0x00 Protocol:UDP Service:Unknown
Time:Nov 5 02:52:15 Direction: Unknown In:eth0 Out: Port:1026 Source:165.133.199.77 Length:389 TOS:0x00 Protocol:UDP Service:Unknown
Time:Nov 5 03:01:39 Direction: Unknown In:eth0 Out: Port:1026 Source:20.139.146.36 Length:376 TOS:0x00 Protocol:UDP Service:Unknown
Time:Nov 5 03:06:38 Direction: Unknown In:eth0 Out: Port:48375 Source:207.234.145.106 Length:626 TOS:0x00 Protocol:TCP Service:Unknown
Time:Nov 5 03:19:11 Direction: Unknown In:eth0 Out: Port:1026 Source:116.230.210.84 Length:389 TOS:0x00 Protocol:UDP Service:Unknown
Time:Nov 5 03:19:43 Direction: Unknown In:eth0 Out: Port:48375 Source:207.234.145.106 Length:626 TOS:0x00 Protocol:TCP Service:Unknown
Time:Nov 5 03:46:06 Direction: Unknown In:eth0 Out: Port:1026 Source:124.157.214.97 Length:389 TOS:0x00 Protocol:UDP Service:Unknown
Time:Nov 5 03:48:28 Direction: Unknown In:eth0 Out: Port:25 Source:210.75.205.248 Length:44 TOS:0x00 Protocol:TCP Service:SMTP
Time:Nov 5 04:04:02 Direction: Unknown In:eth0 Out: Port:15814 Source:151.47.69.158 Length:48 TOS:0x00 Protocol:TCP Service:Unknown
Time:Nov 5 04:04:02 Direction: Unknown In:eth0 Out: Port:15814 Source:151.47.69.158 Length:47 TOS:0x00 Protocol:UDP Service:Unknown
Time:Nov 5 04:04:05 Direction: Unknown In:eth0 Out: Port:15814 Source:151.47.69.158 Length:48 TOS:0x00 Protocol:TCP Service:Unknown
Time:Nov 5 04:09:22 Direction: Unknown In:eth0 Out: Port:1026 Source:82.166.13.107 Length:423 TOS:0x00 Protocol:UDP Service:Unknown
Time:Nov 5 04:16:43 Direction: Unknown In:eth0 Out: Port:1080 Source:24.86.99.101 Length:52 TOS:0x00 Protocol:TCP Service:Socks
Time:Nov 5 04:17:14 Direction: Unknown In:eth0 Out: Port:1026 Source:69.151.57.174 Length:389 TOS:0x00 Protocol:UDP Service:Unknown
Time:Nov 5 04:28:52 Direction: Unknown In:eth0 Out: Port: Source:189.128.57.242 Length:61 TOS:0x00 Protocol:ICMP Service:Unknown
Time:Nov 5 04:34:29 Direction: Unknown In:eth0 Out: Port:445 Source:83.230.27.92 Length:48 TOS:0x00 Protocol:TCP Service:Microsoft-ds
Time:Nov 5 04:39:58 Direction: Unknown In:eth0 Out: Port:1026 Source:89.1.41.135 Length:389 TOS:0x00 Protocol:UDP Service:Unknown
Time:Nov 5 04:55:27 Direction: Unknown In:eth0 Out: Port:1027 Source:82.166.13.107 Length:423 TOS:0x00 Protocol:UDP Service:Unknown
Time:Nov 5 05:05:05 Direction: Unknown In:eth0 Out: Port:1026 Source:131.58.145.158 Length:389 TOS:0x00 Protocol:UDP Service:Unknown
Time:Nov 5 05:29:53 Direction: Unknown In:eth0 Out: Port:135 Source:83.230.27.92 Length:48 TOS:0x00 Protocol:TCP Service COM-scm
Time:Nov 5 05:32:28 Direction: Unknown In:eth0 Out: Port:1026 Source:16.92.146.143 Length:389 TOS:0x00 Protocol:UDP Service:Unknown
Time:Nov 5 05:32:44 Direction: Unknown In:eth0 Out: Port:1026 Source:85.246.228.69 Length:376 TOS:0x00 Protocol:UDP Service:Unknown
Time:Nov 5 05:38:17 Direction: Unknown In:eth0 Out: Port:135 Source:83.230.27.92 Length:48 TOS:0x00 Protocol:TCP ServiceCOM-scm

Dodatkowo - zainteresuj się (i administratora hostingu) programem snort, snortsam, i innymi programami IDS.

energoserwis
27-11-2007, 12:01
Jako że ostatnio ************************one turasy się rozbrykały, proponuję zablokować dostęp dla całej turcji i wszystkich państw na wizytach z których nam nie zależy :-) Wszystkie zakresy IP jakie zostały aktualnie przydzielone Turcji i ogólnie wszystkim krajom znajdziecie na stronie poniżej :)
Nie powstrzyma to co prawda przed atakami, ale skutecznie ukróci ich zapędy .... na pewno utrudni działanie (żaden skaner z turcji nie dobije się do naszych stron, a to właśnie dzięki robotom które przeczesują internet w poszukiwaniu słabych stron te hakerzynki wiedzą która strona da się łatwo załatwić) ... Stronka z aktualnymi zakresami IP przydzielonymi poszczególnym krajom: http://www.ipdeny.com/ipblocks/

Ja już zablokowałem Turcję i kilka państw na wizytach z których w ogóle mi nie zależy ...

trytyt
03-12-2007, 22:07
...artykuł, w którym to znalazłeś zapwne dotyczy dopuszczenia do katalogu /administrator tylko własnego IP


no własnie jak to zrobic?

clark11
14-02-2008, 00:19
Spam atakujący Księgę gości (ako book) na stronie www.indicium.pl
Codziennie 30 - 40 wpisów z bezsensownym linkami

# hosting company
deny from 91.121.106.178

andrzej61
11-03-2008, 21:18
A gdzie znależć te logi serwera ? Włamuje mi się gość. Wprawdzie daje wpis obrazek i muzykę chyba Turecką, ale Polak, bo pisał na maila i po polsku. Dostał sie do haseł userów.

inkos
11-03-2008, 21:23
A gdzie znależć te logi serwera ? Włamuje mi się gość. Wprawdzie daje wpis obrazek i muzykę chyba Turecką, ale Polak, bo pisał na maila i po polsku. Dostał sie do haseł userów.
Logi serwera masz w panelu administracyjnym swojego konta FTP (nie Joomla).

Do czego Ci się włamuje ten gość? Do czego dodaje tą muzykę?
Jeśli ktoś dostał Ci się do haseł userów to jaknajszybciej pozmieniaj wszystkie hasła i jeśli znajdziesz jakiegoś podejrzanego uzytkownika to go wykasuj. Zmień hasła zarówno w Joomla od super admina do najniższego poziomu uzytkowników zarejestrowanych a takze dane do konta.
Do swojego posta daj jako załączniki też te maile które otrzymałeś. Jako załączniki a nie w treści posta.

I zamiast marnować czas na pisanie kolejnych postów bierz się za działanie!. Najlepiej będzie jeśli zmianę tych haseł dokonasz na wyłączonym serwisie.

andrzej61
11-03-2008, 22:22
Przez Mambloga wpisał to i posd userem istniejącym. Ale problem bo jak wyłączę stronę to tylko pasek u góry że konserwacja na czerwonym tle a strona se działa i można się logować. Poza tym boję sie że on ma tak zrobione że caly czas alogowany, bo wczoraj pare godzin był. I pomimo że go wywaliłem to jest zalogowany dalej. Albo z ciachami tak że ma dostęp.

andrzej61
11-03-2008, 22:24
Czy ktoś może mi powiedzieć jak wyłączyć Joomlę 1.0.15 żeby nie było strony tylko plansza ? To samo Joomla 1.0.13. Pasek czerwony i napis że konserwacja a działa i zalogować sie można. Po co ktoś tak zrobił ? Albo ma działać albo nie. A nie tak, że mam pół litra i nie mam pół litra naraz.

inkos
12-03-2008, 00:43
Czy ktoś może mi powiedzieć jak wyłączyć Joomlę 1.0.15 żeby nie było strony tylko plansza ? To samo Joomla 1.0.13. Pasek czerwony i napis że konserwacja a działa i zalogować sie można. Po co ktoś tak zrobił ? Albo ma działać albo nie. A nie tak, że mam pół litra i nie mam pół litra naraz.
Joomlę 1.0.15 wyłączasz podobnie jak 1.0.13 na zapleczu w konfiguracji globalnej. Jesli masz z tym problem to moze Twój "gość" pozmieniał takze coś w plikach. Cóż polecam lekturę logów i ewentualne zablokowanie dostepu z okreslonych IP z ktorych są te "odwiedziny" na poziomie pliku .htaccess.

Podaj takze jako zalacznik tresc tej "informacji" jaka Ci wysylal. Jeśli nie mozesz tego podac jako plik textowy do daj jako screena - bedzie łatwiej ocenić co jest nie tak.

andrzej61
12-03-2008, 01:25
1 mail, podpis Michał Gliński adres tx-159@wp.pl i treść

Witam!

Chciałbym sie skontaktować z Administratorem serwisu xxx ponieważ w CMS-ie Joomla jest błąd umożliwiający wykradniecie LHASY haseł wszystkich użytkowników.
Proszę o kontakt w celu omówienia sposobu podwyższenia poziomu bezpieczeństwa Pana serwisu.

Pozdrawiam Michał Gliński.

potem żeby zmienić CMS bo joomla do niczego i na Jportal czy Drupal, i dopisek, że pozdrawia z siedziby PTH
A na tym gównie co tam wpisał było na stronie wpisał:
Hacked By 3xTorT And By.Kiki
!!!...BY 3xTorT WaS HeRe...!!!


CyberDefacer.Org Hack Team


mailto:by_3xtort@msn.com

inkos
12-03-2008, 01:35
Proszę o kontakt w celu omówienia sposobu podwyższenia poziomu bezpieczeństwa Pana serwisu.
Jakie komponenty masz zainstalowane i w jakich wersjach? Czy ten "włam" był na Joomal 1.0.15 czy starszej?

EDIT:

Aby nie produkować kolejnych postów po lekturze tego poniżej ponawiam prośbę o dokładną listę wszystkich komponentów (jaki komponent, wersja) jakie masz zainstalowane. A takze informację o serwerze czyli np. register globals na on czy off?

andrzej61
12-03-2008, 01:52
Na joomla1.0.13 i wpisał to przez Mambloga i wywalił mi artykuły. Mam bardzo dużo komponentów i modulów. CB2.
PHP register_globals setting is `ON` instead of `OFF`
Joomla! "Register Globals Emulation" setting is `ON`. To disable Register Globals Emulation, navigate to Site -> Global Configuration -> Server, select `OFF`, and save.
Register Globals Emulation is `ON` by default for backward compatibility.komponenty:

xxxx tutaj dałem całą listę ale za jakiś czas zabiorę żeby nic nie było, pozabierałem wszystkie pliki index.php z cmsów






Components

To jest ze 100 komponentów, co przekracza możliwość wypisania tutaj, bo by to trwało godzinę samo wypisywanie. Pewnie łatwiej by było tych co nie ma wypisać.
Z płatnych jest Ijoomla magazine i Ijoomla newsportal, potem wszystko co możliwe i dostępne.

kmilek
04-06-2008, 14:32
a czy do pliku htaccess
moge wpisać:

deny from 58.147.128.0/19


chodzi mi czy moge wpisać przedział

czyli od 58.147.128.0 do 58.147.128.19

czy musze wszystkie po kolei
?

bo chce poblokowac kilka krajów

200.9.186.0/24
200.9.199.0/24
200.9.200.0/24
200.9.202.0/24
200.9.203.0/24
200.9.206.0/24
200.9.207.0/24
200.9.214.0/24
200.9.220.0/22
200.9.224.0/24
200.9.226.0/24
200.9.229.0/24
200.9.234.0/24
200.9.249.0/24
200.9.250.0/23
200.9.252.0/24
200.10.4.0/22

I jak to mam zrobić? przed każdym IP wpisać deny from

czyli
deny from 200.10.4.0/22

?

mikus1978
04-04-2009, 02:57
znalazłem ciekawy dodatek, mam nadzieję że jeszcze nie było
http://extensions.joomla.org/extensions/4201/details

Jacekalex
15-04-2009, 02:07
Dlaczego

Dlatego - że wystarczy prosty atak typu np. xss - którym można wstrzyknąć dowolny kod php lub html do skryptu php - a nawet podmienić, lub dodać wpisy do htaccess.

WPisy w htaccess mogą nieco powiększyć bezpieczeństwo - jeśli -wyłączymy tam niektóre funkcje dostępne w php - np. upload plików - co utrudni działanie początkującym skrypciarzom.
Dodatkowo - mało ludzi o tym wie - można zabezpieczyć dostęp do htaccess poprzez komendy deny from all - , ale to też działanie dalekie od ideału.

Natomiast hostingi - zwłaszcza polskie - nie proponują prawie żadnych zabezpieczeń - a jedynie protezę i piękne zapewnienia.

NIe dlatego - że nie chca , ale dlatego - że moduły zabezpieczające powodują większe obciążenie procesora (co za tym idzie mniejszą wydajność serwera fizycznego), oraz trudne, o ile nie odstraszające ograniczenie funkcjonalności hostingów.
Cóż - chcesz mieć pancerne drzwi i 5 zamków w domu - to za każdym razem - kiedy wracasz - musisz otworzyć te 5 zamków i otworzyć ciężkie - pancerne drzwi.
Albo wygoda - albo bezpieczeństwo.

DLatego prawdziwe bezpieczeństwo i od[porność aplikacji można osiągnąć tylko poprzez postawienie i skonfigurowanie własnego serwera - który będzie miał maksymalne i optymalne zabezpieczenia.
Tylko - że to już spory pieniądz. Np. w ovh.pl najtańszy zarządzalny serwer RPS kosztuje około 50 zł/mies ( sensowny już 70) - natomiast najtańszy serwer dedykowany w tej firmie - to kwestia 120 - 160 zł. netto/mies).

Natomiast na home.pl - opiekuję się tam sklepem internetowym dla jednej firmy - o jakie zabezpieczenie bym nie zapytał - zawsze jest jedna - i ta sama odpowiedź
" Zapraszamy do zapoznania się z naszą ofertą serwerów dedykowanych - pod adresem http://home.pl/dedykowane" - u nich od 500 zł/mies.

Kilka postów wcześniej widziałem informację o dobrymduchu - hakerze - który nie jest spamerem czy Crakerem - który niszczy dane lub używa cudzego serwera do rozsyłania spamu - ale człowieka - który pokazuje ludziom - gdzie mają luki w zabezpieczeniach, niektórzy w ten sposób dowiedzą się - co należy poprawić, większość natomiast dostanie szału i szczękościsku.

Lepiej natomiast zapytać takiego hakera - o radę - co należy zmienić - aby było bezpieczniej.

Natomiast jak ktoś chce mieć pancerny serwer - to tylko własny i uwaga.
Większość informatyków - którzy ogłaszają się w necie z takimi usługami oferuje głównie faktórę - albo i nie - po czym twierdzi, następująco:
grsecurity - po co, -większość funkcji tego modułu jest dostępna w standartowych kernelach - nie trzeba go instalować ( nie ma najważniejszych funkcji zabezpieczających - które zapewnia tylko grsecurity - o tym wam nie powiedzą)
DOstęp SSH chroniony denyhosts'em - po co ssh jest dość bezpieczne , ale ewentualnie.... ( ssh jest dobrym zabezpieczeniem - ale jest wrażliwe na ataki siłowe typu brute-force - po to jest m.in denyhosts, sshwatch, sshguard, fail2ban i kilka trików z firewallem)

Wycinanie krajów - w kernelach serii 2.6.28 sa moduły firewalla xtables - udostępniające m.in funkcję geoip - wpuszczczanie lub blokowanie adresów IP na podstawie geolokalizacji.

Są moduły do apacha - mod-security, mod ewasiwe, jest skrypt httpd-guardian - integrujący zabezpieczenia apacha z firewallem, natomiast w php mamy moduł suhosin - który znacząco poprawia jego bezpieczeństwo (pod warunkiem fachowej konfiguracji) - natomiast w samym php tez poprzez konfiguracje i wyłączenie kilku funkcji możnaznacząco zabezpieczyć system.
Do tego są flagi chattr, system uprawnień, a wmysql-u możliwość konfiguracji uprawnień na poziomie bazy danych np. dla waszej Joomli uprawnienia SELECT od strony usera (strony) - natomiast pełne tylko po stronie administratora. - bardzo skuteczne zabezpieczenie przed atakiem sql-injection.
Są jeszcze czarne listy - sblam, spamhaus i kilka innych - wartych polecenia.

Natomiast banowaniepo IP w htaccess? lepszy rydz niż nic - ale lepiej dać sobie z tym spokój - skuteczność jest bardzo niewielka.

A pod porządną strronę - po prostu porządny serwer - to podstawa.

Pozdrawiam
:cool: ;) :cool:

jaguar
27-09-2009, 16:05
Witam,

Napiszę trochę metaforycznie i zawile ale na temat.
Chodzi o to, że czasem nie warto tworzyć kolejnych zabezpieczeń do zabezpieczeń i pancernych drzwi do sejfu, w którym nic nie trzymamy.

Czasem warto zastanowić się nad postawieniem lekkiej stronki czy serwisu, który można łatwo odtworzyć, a ataki przelecą jak woda przez sito.
Nawet najlepsze zabezpieczenia zawodzą, a jak kto zobaczy pancerne wrota to myśli, że za nimi jest coś cennego.

Podobnie jest z ludźmi.
Jak zbój widzi np. chłopaczka w ciuszkach markowych, złotym sikorem i wypacykowanego jak stróż w Boże Ciało to zaraz do niego po dwa zety podbije (a to jest biedak najczęściej).
A jak zbój tego chłopaczka zobaczy w zwykłych spodenkach i tiszercie to go zostawi choćby w kieszeniach trzymał 100 000 GBP (i to właśnie bogacz jest).
Bo mądrość to prawdziwy skarb.

Administruję kilkoma stronkami i serwisem i wszystko na Joomla 1.5 i posiada tylko to co niezbędne a jak coś się przydarzy to 5 minut i po sprawie.

Może uznacie że odchodzę od tematu ale jeśli chociaż jedna osoba przeczyta powyższe słowa i zastanowi się nad nimi chwilę to będzie do przodu.