PDA

Zobacz pełną wersję : Moje podstawy zabezpieczen | zapraszam do dyskusji



dumes
07-02-2012, 10:35
Witam,
Przedstawie panstwu moje podstawy ( skromne ) zabezpieczen jakie stosuje na moich serwisach joomlowskich, zachecam do dyskusji w tym temacie i napisanie co panstwo stosuja ( jakies inne metody ) oporcz tych ktore opisze ponizej.

1.Aktualizacje systemu joomla do najnowszych wersji
2.Zalozenie na haslo katalogu /administrator w htaccess ( sadze ze to wystarczy i nie trzeba zmieniac polozen folderu do logowania jak pomagaja w tym rozne komponenty
3.Odinstalowanie komponentow, modulow, ktorych nie uzywamy ( po co nam cos czego nie uzywamy i tylko nam zasmieca a moze rowniez doprowadzic do wlamania )
4.Zainstalowanie ( kupienie ) komponentu jakim jest RSfirewall ( kto polubi ich profil na FB dostanie -50% na ten komponent ) podobno jeden z najlepszych komponentow do zabezpieczen joomla
5.zmienic swoj login i haslo do joomla
6.zmienic podczas instalacji prefix nazw tabel bazy danych z jos_ na jakis innych wymyslony przez siebie
7.zmienic ID konta administratora 62 mozna to wykonac za pomoca Akeeba Admin Tools Pro ( i tutaj moze pytanie, o co chodzi dokladnie z ta zmiana ID, czy moge na dowolna zmienic? prosze o bardziej kompetentna osobe o wypowiedz w tym punkcie)
8.Jesli uzywasz komponentow z warezow to musisz uwazac czy czasem nie jest doczepiony kod ( backdoor ) ktory umozliwi przejecie kontroli nad twoim systemem, czy tez zainfekowaniem go )
9.Tak samo tyczy sie templatek, do nich tez jest doczepiony kod, grupy ktora ta templatke wypuscila wiec jesli to robisz juz a nie powinienes to przejzyj dokladnie KOD



To tyle co mi przychodzi do glowy
Bardzo prosze o podzielenie sie jakich wy uzywacie metod do zabezpieczenia joomla, fajnie bedzie jesli z tego watku zrobi sie jeden podstawowy watek na temat podstaw bezpieczenstwa.
Jesli sie pomylilem w jakims punkcie prosze o poprawe

Pozdrawiam

nikszal
07-02-2012, 10:53
Piszesz @dumes o aktualizacji Joomla do najnowszej wersji, a ciągle masz na myśli Joomla 1.5 (prefiksy tabel bazy, ID administratora). Najnowszą wersją jest Joomla 2.5.1.

dumes
07-02-2012, 10:58
Wiem, ale gdzie mialem napisac? dublowac tematy?
Juz wolalem napisac w 1,5 gdzie wiekszosc uzytownikow posiada ta wersje, jak na dzien dzisiejszy,

zwiastun
07-02-2012, 12:43
Jesli uzywasz komponentow z warezow to musisz uwazac czy czasem nie jest doczepiony kod ( backdoor )
Odpowiedzialny administrator Joomla! (i nie tylko) nielegalnego oprogramowania nie używa. Jakiekolwiek sankcjonowanie tego typu działań (w tym doradzanie, jak rozwiązywać problemy z takim oprogramowaniem) jest na forum niedopuszczalne!
@nikszal: najnowszą wersją, o czym dobrze wiesz, z serii 1.5 jest 1.5.25. Proszę Cię bardzo, nie rób ludziom wody z mózgu. Jeśli witryna działa dobrze, spełnia swoje zadania, to nie ma potrzeby migracji do 2.5 (co nie znaczy, że nie należy tej kwestii przemyśleć). Z Twojej wypowiedzi można by wnioskować, że Joomla! 1.5 nie jest wystarczająco zabezpieczony.

nikszal
07-02-2012, 13:06
Z Twojej wypowiedzi można by wnioskować, że Joomla! 1.5 nie jest wystarczająco zabezpieczony.
A ja Cię @zwiastun bardzo przepraszam, ale chyba mnie nie zrozumiałeś. Wkładasz w moje usta słowa, których nie napisałem. Nie napisałem, że Joomla 1.5.25 nie jest bezpieczny, że jest podatny na ataki. Jest tak samo "dziurawy" jak każda inna aplikacja i ma do niego zastosowanie jedno z praw Murphy'ego - dotąd nie ma błędu w programie, póki go ktoś nie znajdzie.
Post @dumes'a na podstawie punktu 1 potraktowałem jako metody zabezpieczeń najnowszej wersji wersji Joomla. Najnowszą wersją z serii 1.5 jest 1.5.25, ale najnowszym wydaniem Joomla jest Joomla 2.5.1, z czym chyba wszyscy się zgodzimy. Wersja 1.5.25 odchodzi w przeszłość, więc nie chciałbym, aby metody zabezpieczeń @dumes'a były zachętą do kontynuacji instalacji starego CMS-a na co wyraźnie wskazuje ID administratora i prefiksy tabel.

zwiastun
07-02-2012, 13:34
I o tę możliwość opacznego zrozumienia chodzi :). Ale ponieważ i tak jest sporo zamieszania z wersjami, musimy być w tej mierze jak najbardziej precyzyjni. :)

dumes
07-02-2012, 16:13
Odpowiedzialny administrator Joomla! (i nie tylko) nielegalnego oprogramowania nie używa. Jakiekolwiek sankcjonowanie tego typu działań (w tym doradzanie, jak rozwiązywać problemy z takim oprogramowaniem) jest na forum niedopuszczalne!
@nikszal: najnowszą wersją, o czym dobrze wiesz, z serii 1.5 jest 1.5.25. Proszę Cię bardzo, nie rób ludziom wody z mózgu. Jeśli witryna działa dobrze, spełnia swoje zadania, to nie ma potrzeby migracji do 2.5 (co nie znaczy, że nie należy tej kwestii przemyśleć). Z Twojej wypowiedzi można by wnioskować, że Joomla! 1.5 nie jest wystarczająco zabezpieczony.


Co do kwestii warezu niech ludzie beda swiadomi, po to wlasnie pisze, a nie pozniej wielkie zdziwienie ze ktos sie wlamal na ich system albo rozsyla spam po ludziach czy dosuje serwer.

Macie inne propozycje co do zabezpieczen ?


Moze ty @ zwiastun (http://forum.joomla.pl/member.php?8-zwiastun) wypowiesz sie co do swoich metod zabezpieczen, jak ty to robisz Czy @ (http://forum.joomla.pl/member.php?2532-nikszal)nikszal (http://forum.joomla.pl/member.php?2532-nikszal)

nikszal
07-02-2012, 16:37
Czy @nikszal
Bardzo proszę. Zaliczyłem tylko jedno włamanie na swoją stronę i to na własną prośbę. Było to bardzo dawno temu, jeszcze za żywota Mambo. Nie mam zainstalowanych żadnych wodotrysków do zabezpieczenia. Czuwam nad aktualizacją i nie zapisuję na komputerze haseł, ani numeru konta bankowego i tak się kręci z roku na rok bez wpadek. Raz tylko założyłem hasło na katalog 'administrator', ale bardziej mi to utrudniało niż udogadniało korzystanie ze strony. Jednym z moich niezawodnych zabezpieczeń jest brak standardowych loginów i haseł. Jak bardzo to jest ważne przekonały się niedawno strony rządowe.

dumes
07-02-2012, 17:00
@nikszal (http://forum.joomla.pl/member.php?2532-nikszal)
dziekuje, wlasnie o takie cos mi chodzi, prosze sie dzielic swoimi metodami ( no chyba ze ktos nie chce ) jak sobie z tym radzil, itp
Moge od siebie dodac jeszcze dobry komponent o nazwie:OSE Security 3.0 jest to pewien skaner/antywirus ktory ma na celu sprawdzenie kodu zrodlowego calej witryny ( wszystkich plikow na serwerze ) czy czasem nie jest doczepiony iframe ze zlosliwym kodem. Dosc ciekawe rozwiazanie, jesli komus sie nie chce analizowac calego kodu, ale nie oznacza to ze ma w 100% wykrycz skutecznosc, ale pomoze wiekszosci.

Zapraszam do dyskusji :)


(http://www.portaliz.com/forum/topic/514726-ose-security-30-j151725x-antivirusantihackerfile-manager/)

nikszal
07-02-2012, 17:16
Masz tylko komfort psychiczny i dziurę w kieszeni. Jak "Turcy" zechcą się włamać, a śledzą pilnie rozwój projektów i luki, to i tak wpadną i zostawią pozdrowienia. Ja osobiście mam to w nosie, bo mam zawsze dostęp do kopii bazy z całego tygodnia wstecz, a Joomla jestem w stanie odtworzyć bez zakopywania się w robotę przy wyszukiwaniu "pozdrowień" pozostawionych przez gości. Siła tkwi w bieżącej aktualizacji systemu, nieinstalowaniu rozszerzeń i szablonów pochodzących ze stron o szemranej reputacji i sprawnym systemie antywirusowym na serwerze. Za to płacę administratorowi.

neo_fox
07-02-2012, 18:07
Zainstalowanie ( kupienie ) komponentu jakim jest RSfirewall

Nie wiem bo nigdy nie używałem ale w moim przekonaniu wystarczy dobrze skonfigurowany serwer.
Przydaje się w moim przekonaniu Akeeba Admin Tools.


Jesli uzywasz komponentow z warezow

W zasadzie to bez komentarza.


i tutaj moze pytanie, o co chodzi dokladnie z ta zmiana ID, czy moge na dowolna zmienic?

Chodzi o to że każdy głupi script kiddie wie że w Joomla! id administratora to 62 względnie 42 więc jak próbuje jakichś SQL-Injection to stara się nadpisać dane (hasło/username) właśnie tego konkretnego użytkownika. Jeśli mu się to uda to zdobędzie w ten sposób dane super admina.

Na ważniejszych stronach korzystam z secret URL parameter (1) bo mi się notorycznie barany próbują na konto dostać.

Ważne jest:
- Dobra nazwa użytkownika. W Joomla! można używać na przykład spacji na co większość włamywaczy nie wpada
- Dobre hasło. Napisałem dawno temu taki skrypt do generowania haseł które w miarę łatwo można zapamiętać: https://pass.sigsiu.net/
- Na ważniejszych stronach blokuje co niektóre próby włamania poprzez .htaccess. Zobacz sobie tu: http://www.sigsiu.net/presentations/fortifying_your_joomla_website.html (Joomla! .htaccess file example). Tylko ostrożnie z tym bo można sobie zablokować dostęp do części strony.


1) Akeba Admin Tools -> Web Application Firewall -> Administrator secret URL parameter

dumes
07-02-2012, 18:43
neo_fox (http://forum.joomla.pl/member.php?2688-neo_fox)

Jeśli chodzi o ID to moge swobodnie zmienic na jakis inny tak? 62 np. na 232 ?
Tak samo sie tyczy uzytkownikow ktorzy maja dostep do panelu? np. jakis redaktor posiada dostep i pewne prawa admina to tez mozna mu zmienic ID?

Mam pare stron na joomli, stoja one na jednym serwerze, a dokladnie nazwa.pl, czy jesli wylacze Safe mode off i register globals off to niektore komponenty moga mi sie wykrzaczyc?
Mam najnowsza joomle 1,5 i 1,7 ( narazie nie przesiadam sie na 2,5, wole poczekac az zostana zalatane wszelkie niedorobki, nie spieszy mi sie. Ostatnio aktualizowalem jedna strone z 1,7 na 2,5 i w panelu admina mialem ikonki w pionie zamiast w szeregu tak jak jest po zalogowaniu. Nie wiem czy to wina mojego systemu czy po prostu wszelkich niedorobek z nim zwiazanych.

neo_fox
07-02-2012, 18:50
Jeśli chodzi o ID to moge swobodnie zmienic na jakis inny tak? 62 np. na 232 ?

Tak


np. jakis redaktor posiada dostep i pewne prawa admina to tez mozna mu zmienic ID?

Można ale po co?


Safe mode off i register globals off to niektore komponenty moga mi sie wykrzaczyc?

Jeśli masz komponenty które wymagają register globals on to od razu je skasuj.
Jeśli masz "Safe mode on" - to poszukaj innego usługodawcy.

Jeśli masz Joomla! 1.7 to zrób update na 2.5
Joomla! 2.5 jest bezpośrednim następcą 1.7 (LTS) także raczej jest bardziej prawdopodobne że jest bardziej stabilny niż 1.7

dumes
08-02-2012, 01:39
Na serwerze mam register_globals OFF, tak samo safe_mode: OFF w nazwa.pl masz taka mozliwosc samemu ingerowana w ustawienia, przynajmniej te ;)
Jesli mam php 5.2 i zmienie sobie na php 5.3 to joomla nie powinna sie wysypac? Poniewaz mam mozliwosc wyboru/przejscia na nowsza wersje.

Sprobuje zrobic update z 1.7 do 2.5.1 na dniach zobaczymy czy sie wysypie ;)

---------- Post dodany 08-02-2012 o 00:39 ---------- Poprzedni post był 07-02-2012 o 18:08 ----------

Jeszcze mam do was jedno pytanie, mianowicie chodzi mi o darmowy komponent dodatek do joomli,

Pod adresem:
http://blog.elimu.pl/4305-jhackguard-od-siteground/ przeczytalem o jHackGuard (http://extensions.joomla.org/extensions/access-a-security/site-security/13233) moze ktos sie wypowiedziec na temat tego komponentu? Podobno instalowanie Joli jest zbyteczne jak zainstalujemy ten komponent?

Jaka jest roznica pomiedzy jHackGuard (http://extensions.joomla.org/extensions/access-a-security/site-security/13233) a Akeeba Admin Tools Pro ???

neo_fox
08-02-2012, 10:02
moze ktos sie wypowiedziec na temat tego komponentu

A mało to komentarzy na JED: http://extensions.joomla.org/extensions/access-a-security/site-security/13233

Zobacz sobie szczególnie komentarz Brian'a (http://extensions.joomla.org/extensions/access-a-security/site-security/site-protection/13233#rev-106837) (którego nota bene bardzo szanuje). Chyba mówi on wystarczająco dużo na ten temat.