Коллективная безопасность (давайте вместе напишем .htaccess)

[Blackman-st]

Всем привет.
Ошалелые вирусы крошат все больше сайтов и ведут себя все наглее.

Перерыв кучу форумов, сайтов с описанием .htaccess, что-то полезное взяв оттуда, но уверенности до конца нет, что все охватил.

Это прелюдия.

Суть: нужно создать универсальный файл, в котором будут прописаны ВСЕ правила, необходимые для полноценной защиты. Причем, возможно, какие то правила будут размещены в корне сайта, а какие то в папках сайта, например, в тех, куда загружаются картинки, документы, и имеющие права 777.

Что нужно:
1. запретить внедрять скрипты и шеллы
2. запертить менять .htaccess
3. запретить заливать файлы *.php,.html,.htm,.css,.xml,.tpl (возможно другие расширения)
4. запретить изменять файлы *.php,.html,.htm,.css,.xml,.tpl (возможно другие расширения)

это основное.
Если кто что еще добавит, будет замечательно!

Что найдено на текущий момент:

PHP код:

#Запускаем url_rewriting
RewriteEngine On
#
#Включаем отслеживание сим-ссылок
Options +FollowSymLinks
#
# --- Оптимизируем сайт для поисковиков ---
#
# Делаем редирект всех возможных вариантов набора адреса страницы на одну и ту же. Т.е. обращения к сайту в формате
# http://www.site.com
# http://site.com
# http://www.site.com/index.html
# http://site.com/index.html
# будут редиректиться на одну и ту же страницу http://www.site.com
RewriteCond %{HTTP_HOST} ^site.com
RewriteRule (.*) http://www.site.com/$1 [R=301,L]
RewriteCond %{THE_REQUEST} ^[A-Z]{3,9} /index.html HTTP/
RewriteRule ^index.html$ http://www.site.com/ [R=301,L]
#
# Избавляемся от дубля www.site.com 
RewriteCond %{HTTP_HOST} ^www.site.com$ [NC]
RewriteRule ^(.*)$ http://site.com/$1 [R=301,L]
#
# --- Формируем систему безопасности для своего сайта ---
#
#Блокируем все ссылки, содержащие <script>
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
#
#Блокируем все скрипты, которые пытаются изменить переменные PHP Globals:
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
#
#Блокируем все скрипты, которые пытаются изменить переменную _REQUEST:
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2})
#
#Перенаправляем все подобные на страницу с ошибкой 403 - запрещено
RewriteRule ^(.*)$ index.php [F,L]
#
# Защищаем файл .htaccess от изменений
<files .htaccess>
order allow,deny
deny from all
</files>
#
# Защищаем от изменений все файлы с расширениямм .php,.htm,.html,.css,.txt,.tpl,.spc,.xml,.sql,.js,.ini
<files .php,.htm,.html,.css,.txt,.tpl,.spc,.xml,.sql,.js,.ini>
order allow,deny
deny from all
</files>
#
# --- Работаем с вредными ботами ---
#
SetEnvIfNoCase user-Agent ^FrontPage [NC,OR]
SetEnvIfNoCase user-Agent ^Java.* [NC,OR]
SetEnvIfNoCase user-Agent ^Microsoft.URL [NC,OR]
SetEnvIfNoCase user-Agent ^MSFrontPage [NC,OR]
SetEnvIfNoCase user-Agent ^Offline.Explorer [NC,OR]
SetEnvIfNoCase user-Agent ^[Ww]eb[Bb]andit [NC,OR]
SetEnvIfNoCase user-Agent ^Zeus [NC]
<Limit GET POST HEAD>
Order Allow,Deny
Allow from all
Deny from env=bad_bot
</Limit>
#
# Защищаем от скачивания картинок в нашего сайта
RewriteEngine On
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://([ -a-z0-9] \.)?site\.com [NC]
RewriteRule .(gif|jpe?g|png)$ - [F,NC,L]
# 


в коде есть сразу оптимизация для поисковиков и другие полезные плюшки

добавлено через 1 час 11 минут
есть еще кусок кода:

<IfModule mod_authz_host.c>
Deny from all
</IfModule>

кто расскажет про что он?

[zweroboy1]

Код:

# Защищаем от изменений все файлы с расширениямм .php,.htm,.html,.css,.txt,.tpl,.spc,.xml,.sql,.js,.ini
<files .php,.htm,.html,.css,.txt,.tpl,.spc,.xml,.sql,.js,.ini>
order allow,deny
deny from all
</files>
#

Вообще-то, это бессмысленная директива, которая запрещает юзеру смотреть через браузер файлы .php, .htm и т.д. (т.е. с пустым названием и php или htm после точки).
Для недопущения открытия файлов этого типа надо писать так:

Код:

<FilesMatch ".(htaccess|htpasswd|ini|phps|fla|psd|log|sh)$">
 Order Allow,Deny
 Deny from all
 </FilesMatch>

Но расширения php, htm(l), css, js туда добавлять глупо ибо нормальный юзер не сможет ничего на сайте посмотреть.

 

#Блокируем все скрипты, которые пытаются изменить переменные PHP Globals:

Вообще-то в пхп есть такая фича как register globals off, которая установлена в такое положение на всех нормальных хостингах по умолчанию. Если её где нет, то обычно это хостер-калека, которого всё равно сломают. Ну или это VDS, где у админа есть право редактировать php.ini.

И вообще-то как правило ломают через какие-то дырки у хостера, либо же через общеизвестные дыры в популярных движках (на которых уже есть свой хтаккесс и который весь не исправишь).

[Blackman-st]

zweroboy1, благодарю, что откликнулись

Сообщение от zweroboy1

Для недопущения открытия файлов этого типа надо писать так:

открытия и изменения с последующим сохранением, я правильно понимаю?


на хостера надейся, сам не плошай...
ну и проще час потратить на то, чтобы найти все .ht и прописать в них защиты, чем ежедневно выковыривать вирусню...

добавлено через 2 минуты

Сообщение от zweroboy1

Но расширения php, htm(l), css, js туда добавлять глупо ибо нормальный юзер не сможет ничего на сайте посмотреть.

а как тогда защитить файлы с этими расширениями от изменений и инъекций туда вредоносного кода? (444) не помогают

[zweroboy1]

Сообщение от Blackman-st

а как тогда защитить файлы с этими расширениями от изменений и инъекций туда вредоносного кода?

Через .htaccess никак. Ведь .htaccess - это настройки для Апача, который принимает запрос от пользователя к серверу. Апач обрабатывает запрос и дальше он запрашивает выполнения php скрипта (если запрос юзера был именно к пхп, а не какой-то картинке). А php-скрипт уже творит то, что в нём заложено его автором. В том числе, он может изменять любые файлы и помещать куда угодно вредоносный код. И ему наплевать, что там написано в .htaccess.

[Blackman-st]

тогда вопрос нуба: как защититься от этого?

кроме штатных: обновлять движок и прочее...

и хотя бы запретить добавлять файлы в папку или на весь сайт, потому как не только изменяют код, но и заливают же море файлов .php

[cB@nner]

Хорошую тему подняли +1, присоединюсь, т.к. часто сталкиваюсь с этим файлом ))

Сообщение от Blackman-st

<IfModule mod_authz_host.c>
Deny from all
</IfModule>
кто расскажет про что он?

В последнее время, встречаю этот код в папке Sape.
Со слов пользователей форума Sape, Яндекс каким-то макаром умудряется иногда индексировать код в папке Сапы. А так - хрен ему


Часто пользуюсь наработками файла .htaccess из темы "Попытка номер раз создать почти идеальный htaccess"
Особенно полезный пункт для пользователей, которые сидят на виртуальном хостинге и когда нет доступа к php.ini. В последнее время, моим заказчикам часто приходится менять хостинг, вот и возникнет проблема с настройками PHP для вирт.хост., например, увеличить лимит на загрузку файлов, или лимит передачи данным методом POST.

Код HTML:

<ifModule mod_php.c>
  php_value	upload_max_filesize 32M
  php_value	post_max_size 10M
  php_value	default_charset utf-8
  php_value	max_execution_time 200
</ifModule>

Первая строчка разрешить загружать файлы размером до 32 Мегабайт. По умолчанию в php обычно это значение 8 или 16 мегабайт.
Второй строкой разрешаем постинг объемом до 10 мегабайт. По умолчанию это значение обычно 2 Мегабайта.
Третья строка устанавливает кодировку по используемую вашими скриптами. По своей сути она дублирует строку: «AddDefaultCharset UTF-8».
Четвертой строкой изменяем лимит времени выделенный на выполнение скрипта. По умолчанию он обычно равен 30 секундам. Но иногда для выполнения каких нибудь сложных обработок требуется больше времени.


Для сайтов на Joomla, обращаюсь к теме "Закрыть распространенные и уязвимые папки" и "Обезопасить сайт с помощью.htaccess в images"

Андрей, на днях на хабре, обсуждали тему "устранение последствий взлома", Шаг 1: Проверка файла .htaccess, как вариант обратите внимание на новые комментарии, часто среди них проскальзывают умные подсказки и ответы

[Blackman-st]

cB@nner, благодарю за ссылки, взял оттуда немного приемов, буду анализировать, о результатаз отпишу.

Есть кто чем еще может поделиться, велкам!

[iren K]

Сообщение от Blackman-st

и хотя бы запретить добавлять файлы в папку или на весь сайт, потому как не только изменяют код, но и заливают же море файлов .php

для начала:
- сделайте доступ только по ssh (22 порт)
- положите в корень .ftpaccess с содержанием
<Limit WRITE>
DenyAll
</Limit>
- на все индексные, конфиг и системные файлы поставьте cmod 444
+ никогда не храните пароли от ftp в менеджерах..

[Blackman-st]

iren K, благодарю.
а если не делать ssh доступ, будет ли эффективна команда?

и смогу ли я сам заходить через, допустим, тотал коммандер для редактирования своего сайта?

и будет ли это защитой от шелов, которые разворачивают файлы и вносят изменения минуя фтп?

[iren K]

Сообщение от Blackman-st

iren K, благодарю.
а если не делать ssh доступ, будет ли эффективна команда?

и смогу ли я сам заходить через, допустим, тотал коммандер для редактирования своего сайта?

и будет ли это защитой от шелов, которые разворачивают файлы и вносят изменения минуя фтп?

про тотал сомневаюсь - ставьте winscp - ибо пора нормально работать ))