 |
Форум вебмастеров на AlfaSpace.NET / Создание сайта / как уберечься от хакеров |
| . 1 . 2 . >> |
| Автор | Сообщение |
| admin powered by admin  7202 |
# Дата: 27 Апр 2005 05:48 (с) Help придерживайтесь следующих правил, которые помогут уберечь ваш сайт от хацкеров: Права доступа на директории 711, даже если "знающие" люди (включая авторов скрипта) советуют 777. Поставьте для начала 711 и посмотрите как работает ;) Права на php-скрипты - 600 Права на html-файлы и картинки - 644 И избегайте скриптов, позволяющих загружать к вам на сайт скрипты. Если ваш скрипт такое позволяет, то все ограничения правами доступа на каталоги/файлы будут бесполезны |
| s007s Участник 491 |
# Дата: 27 Апр 2005 07:53 Vot molotok admin =) |
| Dizee Участник  22 |
# Дата: 6 Май 2005 12:39 Вот только владельцам IPB это не сильно поможет. Tег [video] преобразует пост в HTML код... |
| Mazej Участник  206 |
# Дата: 6 Май 2005 19:13 А где поставлены права 755 с ними что делать? и на файлах права 644 |
| s007s Участник 491 |
# Дата: 9 Май 2005 08:07 Mazej Smotri rassirenie fajla (php, html, htm, cgi i td) i smotri post helpera =) |
| help Техпомощь  1245 |
# Дата: 14 Май 2005 05:50 755 на каталоге замените на 711 755 на файлах может быть только на cgi-скриптах из каталога cgi-bin, да и то лучше понизить то 711 |
| digs Участник  364 |
# Дата: 14 Май 2005 05:58 У меня в архиве допустим лежит exe-шник. Ему какие права поставить чтобы он не тыпался на сервере запуститься, а только скачивался. |
| help Техпомощь 1245 |
# Дата: 14 Май 2005 06:05 У меня в архиве допустим лежит exe-шник. Ему какие права поставить чтобы он не тыпался на сервере запуститься, а только скачивался. Если нужно, чтобы скачивался по http, то 644 Если только по ftp, то 600 |
| digs Участник 364 |
# Дата: 14 Май 2005 23:26 ° Поправил: digs help Есть у меня скрипт docs.php. Но он сам по себе не вызывается (из браузера), а подключается include-ом из другого модуля. Тогда для docs.php лучше поставить права 600. Правильно? или лучше вообще 400? |
| help Техпомощь 1245 |
# Дата: 16 Май 2005 01:13 Есть у меня скрипт docs.php. Но он сам по себе не вызывается (из браузера), а подключается include-ом из другого модуля. Тогда для docs.php лучше поставить права 600. Правильно? или лучше вообще 400? 600 |
| Smirna Участник 33 |
# Дата: 20 Май 2005 04:34 То есть как я понимаю, на все файлы с расширением РНР лучше всего поставить 600, но будут ли они выполняться, если на них у меня форум стоит??? |
| s007s Участник 491 |
# Дата: 20 Май 2005 12:42 Smirna Dolzni :) poprobuj ;) |
| s007s Участник 491 |
# Дата: 24 Май 2005 22:05 :) |
| help Техпомощь 1245 |
# Дата: 25 Май 2005 04:26 То есть как я понимаю, на все файлы с расширением РНР лучше всего поставить 600, но будут ли они выполняться, если на них у меня форум стоит??? Да, на все php-файлы и все файлы, которые включаются php-файлами (шаблоны и пр.), рекомендуется ставить права доступа 600 |
| digs Участник 364 |
# Дата: 25 Май 2005 05:11 А как сделать чтобы файл был доступен для моих скриптов, а для пользователей нет? Чтобы они в принципе файл не видели? |
| Nightfly Участник  256 |
# Дата: 22 Окт 2005 11:06 А как сделать чтобы файл был доступен для моих скриптов, а для пользователей нет? Чтобы они в принципе файл не видели? .htaccess deny from all не кошерен? |
| smallcms Участник 2752 |
# Дата: 22 Окт 2005 11:35 Nightfly .htaccess deny from all глупо. можно посмотреть файл "локально". то есть залить файл, который читает файлы соседних субдоменов. поэтому не .htaccess(детский сад), а именно права. причём по возможности запрет на ls каталогов... |
| Nightfly Участник 256 |
# Дата: 22 Окт 2005 11:51 причём по возможности запрет на ls chmod -x [dir]? имхо точно глупо и не настолько еффективно а вобще о чужих скриптах речь не ведеться ибо понятие chroot еще никто не отменял. |
| SapienS Участник  760 |
# Дата: 23 Окт 2005 08:39 Прошу извинить меня, НО КАК МЕНЯ ДОСТАЛИ admin/help/Anna/Deflector ТОЛЬКО И ТВЕРДЯЩИЕ О ТОМ, ЧТО "ПОСТАВЬТЕ ПРАВА ТАКИЕ-ТО И БУДЕТ ВАМ СЧАСТЬЕ"! Две трети хацкеров смотрят права файлов только если выбирают куда скачать руткит/shell/sploit! Прежде всего смотрится ДВИГ сайта, возможность SQL-injection или XSS/CSS атаки. Поэтому не стоит успокаиваться, если вы установили какие-то там "права"! Вот так! Враг не дремлет 
з.ы. Надеюсь меня не забанят  |
| smallcms Участник 2752 |
# Дата: 23 Окт 2005 11:29 SapienS какой sql injection, если права на конфиг файлы у 60% на чтение стоят. |
| Константин TorrentMaster 3497 |
# Дата: 23 Окт 2005 11:42 SapienS "ПОСТАВЬТЕ ПРАВА ТАКИЕ-ТО И БУДЕТ ВАМ СЧАСТЬЕ" Ты не прав 
Никто не говорит, что это единственное, что надо сделать. Это лишь одно из необходимых действий и необходимое в первую очередь для пользователей этого хостинга, ибо он именно в силу того что он является общедоступным бесплатным хостингом, а значит хакер может без труда зарегистрировать себе аккаунт и попасть в группу пользователи. Дальше я думаю понятно
По поводу sql injection, xss и т.д. - заставить пользователей писать самим движки, да и вообще скрипты так, чтобы они были безопасны в отношении такого рода атак достаточно сложно - так что кричать например везде о том, что "не пишите в скриптах так-то и так-то" и "не юзайте такие-то движки" ИМХО практически бессмысленно. |
| admin powered by admin 7202 |
# Дата: 23 Окт 2005 12:27 SapienS Прошу извинить меня, НО КАК МЕНЯ ДОСТАЛИ admin/help/Anna/Deflector ТОЛЬКО И ТВЕРДЯЩИЕ О ТОМ, ЧТО "ПОСТАВЬТЕ ПРАВА ТАКИЕ-ТО И БУДЕТ ВАМ СЧАСТЬЕ"! Две трети хацкеров смотрят права файлов только если выбирают куда скачать руткит/shell/sploit! Прежде всего смотрится ДВИГ сайта, возможность SQL-injection или XSS/CSS атаки. Поэтому не стоит успокаиваться, если вы установили какие-то там "права"! если в движке есть общедоступная дырка то тут сорри правами не отделаешься. поэтому так бурно и дискутируем тут по-поводу дырок в популярных движках |
| Анна Участник  2889 |
# Дата: 24 Окт 2005 14:31 SapienS, ты smallcms забыл упомнянуть 
И насчет 60%, кстати, он абсолютно прав. |
| SapienS Участник 760 |
# Дата: 25 Окт 2005 09:10 М-м-м-м, какие ответы 
Я просто хотел, чтобы на форуме немного отвлеклись от проблемы прав на файлы, а насчет sql-inj - я говорил о Инете в общем  |
| Jadd Участник 106 |
# Дата: 31 Окт 2005 12:32 Было бы интересно рассмотреть конкретный пример взлома конкретного сайта (не моего, желательно ) ) на этом хостинге с подробными комментариями об использованных приемах |
| WarGot Per aspera ad astra  1948 |
# Дата: 31 Окт 2005 12:37 Jadd Напиши сдесь или в асе у Дефлектора или Сапиенса какие они "хорошие" , только не забудь записать в инфу адрес своего сайта  Будет тебе и проверка надёжности и взлом с примерами |
| SapienS Участник 760 |
# Дата: 31 Окт 2005 13:11 ° Поправил: SapienS Jadd, есть такая хорошая штука - видеохак. Вперед! |
| Анна Участник 2889 |
# Дата: 31 Окт 2005 13:18 Jadd Это вроде как запрещено |
| Константин TorrentMaster 3497 |
# Дата: 31 Окт 2005 15:15 Это вроде как запрещено Официально во всяком случае |
| acsid Alfa Guru  2410 |
# Дата: 31 Окт 2005 15:18 Jadd тебе на хакер ру=)чувак |
| . 1 . 2 . >> |
![[Valid RSS]](valid-rss.png "Validate my RSS feed")