Для вступления в общество новичков и профессионалов домен-индустрии, пожалуйста нажмите здесь ...

   
 Купля-продажа и обсуждение доменных имён
        

  
Вернуться   Форум о доменах > Дизайн и развитие проектов > Программирование
Регистрация Реноме Правила форума Справка Пользователи Социальные группы Все разделы прочитаны
Программирование PHP, Perl, HTML, XHTML, CSS, JavaScript, MySQL и другие языки кодирования.

Ответ
 
Опции темы
Сегодня
от 149р за .RU
Аренда сервера
2x Intel Hexa-Core Xeon E5-2420
Всего 79 евро!

с видеокартой GeForce GTX 1080 Ti
всего 99 евро!

от 149р за .РФ Реклама на DomenForum.net
Старый 12.09.2015, 07:58   #1
 
Аватар для Blackman-st
 
Регистрация: 16.02.2009
Адрес: г. Москва
Сообщений: 3,971
Доменные сделки: 159
Реноме: 7798
Одобрения
Спасибо (Отдано): 66
Спасибо (Получено): 312
Отправить сообщение для Blackman-st с помощью Skype™
Коллективная безопасность (давайте вместе напишем .htaccess)

Всем привет.
Ошалелые вирусы крошат все больше сайтов и ведут себя все наглее.

Перерыв кучу форумов, сайтов с описанием .htaccess, что-то полезное взяв оттуда, но уверенности до конца нет, что все охватил.

Это прелюдия.

Суть: нужно создать универсальный файл, в котором будут прописаны ВСЕ правила, необходимые для полноценной защиты. Причем, возможно, какие то правила будут размещены в корне сайта, а какие то в папках сайта, например, в тех, куда загружаются картинки, документы, и имеющие права 777.

Что нужно:
1. запретить внедрять скрипты и шеллы
2. запертить менять .htaccess
3. запретить заливать файлы *.php,.html,.htm,.css,.xml,.tpl (возможно другие расширения)
4. запретить изменять файлы *.php,.html,.htm,.css,.xml,.tpl (возможно другие расширения)

это основное.
Если кто что еще добавит, будет замечательно!

Что найдено на текущий момент:

PHP код:
#Запускаем url_rewriting
RewriteEngine On
#
#Включаем отслеживание сим-ссылок
Options +FollowSymLinks
#
# --- Оптимизируем сайт для поисковиков ---
#
# Делаем редирект всех возможных вариантов набора адреса страницы на одну и ту же. Т.е. обращения к сайту в формате
# http://www.site.com
# http://site.com
# http://www.site.com/index.html
# http://site.com/index.html
# будут редиректиться на одну и ту же страницу http://www.site.com
RewriteCond %{HTTP_HOST} ^site.com
RewriteRule 
(.*) http://www.site.com/$1 [R=301,L]
RewriteCond %{THE_REQUEST} ^[A-Z]{3,9} /index.html HTTP/
RewriteRule ^index.htmlhttp://www.site.com/ [R=301,L]
#
# Избавляемся от дубля www.site.com 
RewriteCond %{HTTP_HOST} ^www.site.com$ [NC]
RewriteRule ^(.*)$ http://site.com/$1 [R=301,L]
#
# --- Формируем систему безопасности для своего сайта ---
#
#Блокируем все ссылки, содержащие <script>
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
#
#Блокируем все скрипты, которые пытаются изменить переменные PHP Globals:
RewriteCond %{QUERY_STRINGGLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
#
#Блокируем все скрипты, которые пытаются изменить переменную _REQUEST:
RewriteCond %{QUERY_STRING_REQUEST(=|[|%[0-9A-Z]{0,2})
#
#Перенаправляем все подобные на страницу с ошибкой 403 - запрещено
RewriteRule ^(.*)$ index.php [F,L]
#
# Защищаем файл .htaccess от изменений
<files .htaccess>
order allow,deny
deny from all
</files>
#
# Защищаем от изменений все файлы с расширениямм .php,.htm,.html,.css,.txt,.tpl,.spc,.xml,.sql,.js,.ini
<files .php,.htm,.html,.css,.txt,.tpl,.spc,.xml,.sql,.js,.ini>
order allow,deny
deny from all
</files>
#
# --- Работаем с вредными ботами ---
#
SetEnvIfNoCase user-Agent ^FrontPage [NC,OR]
SetEnvIfNoCase user-Agent ^Java.* [NC,OR]
SetEnvIfNoCase user-Agent ^Microsoft.URL [NC,OR]
SetEnvIfNoCase user-Agent ^MSFrontPage [NC,OR]
SetEnvIfNoCase user-Agent ^Offline.Explorer [NC,OR]
SetEnvIfNoCase user-Agent ^[Ww]eb[Bb]andit [NC,OR]
SetEnvIfNoCase user-Agent ^Zeus [NC]
<
Limit GET POST HEAD>
Order Allow,Deny
Allow from all
Deny from env
=bad_bot
</Limit>
#
# Защищаем от скачивания картинок в нашего сайта
RewriteEngine On
RewriteCond 
%{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://([ -a-z0-9] \.)?site\.com [NC]
RewriteRule .(gif|jpe?g|png)$ - [F,NC,L]

в коде есть сразу оптимизация для поисковиков и другие полезные плюшки

добавлено через 1 час 11 минут
есть еще кусок кода:

<IfModule mod_authz_host.c>
Deny from all
</IfModule>

кто расскажет про что он?
__________________
Хотите купить красивый домен? Обращайтесь!
Группа в Telegram для всех домейнеров

Последний раз редактировалось Blackman-st; 12.09.2015 в 09:09. Причина: Добавлено сообщение
Blackman-st вне форума   Ответить с цитированием
Старый 12.09.2015, 12:58   #2
 
Регистрация: 16.01.2008
Сообщений: 1,981
Доменные сделки: 2
Реноме: 3685
Одобрения
Спасибо (Отдано): 31
Спасибо (Получено): 236
Код:
# Защищаем от изменений все файлы с расширениямм .php,.htm,.html,.css,.txt,.tpl,.spc,.xml,.sql,.js,.ini
<files .php,.htm,.html,.css,.txt,.tpl,.spc,.xml,.sql,.js,.ini>
order allow,deny
deny from all
</files>
#
Вообще-то, это бессмысленная директива, которая запрещает юзеру смотреть через браузер файлы .php, .htm и т.д. (т.е. с пустым названием и php или htm после точки).
Для недопущения открытия файлов этого типа надо писать так:
Код:
<FilesMatch ".(htaccess|htpasswd|ini|phps|fla|psd|log|sh)$">
 Order Allow,Deny
 Deny from all
 </FilesMatch>
Но расширения php, htm(l), css, js туда добавлять глупо ибо нормальный юзер не сможет ничего на сайте посмотреть.


 
#Блокируем все скрипты, которые пытаются изменить переменные PHP Globals:
Вообще-то в пхп есть такая фича как register globals off, которая установлена в такое положение на всех нормальных хостингах по умолчанию. Если её где нет, то обычно это хостер-калека, которого всё равно сломают. Ну или это VDS, где у админа есть право редактировать php.ini.

И вообще-то как правило ломают через какие-то дырки у хостера, либо же через общеизвестные дыры в популярных движках (на которых уже есть свой хтаккесс и который весь не исправишь).
zweroboy1 вне форума   Ответить с цитированием
Старый 12.09.2015, 13:01   #3
 
Аватар для Blackman-st
 
Регистрация: 16.02.2009
Адрес: г. Москва
Сообщений: 3,971
Доменные сделки: 159
Реноме: 7798
Одобрения
Спасибо (Отдано): 66
Спасибо (Получено): 312
Отправить сообщение для Blackman-st с помощью Skype™
zweroboy1, благодарю, что откликнулись

Сообщение от zweroboy1 Посмотреть сообщение
Для недопущения открытия файлов этого типа надо писать так:
открытия и изменения с последующим сохранением, я правильно понимаю?


на хостера надейся, сам не плошай...
ну и проще час потратить на то, чтобы найти все .ht и прописать в них защиты, чем ежедневно выковыривать вирусню...

добавлено через 2 минуты
Сообщение от zweroboy1 Посмотреть сообщение
Но расширения php, htm(l), css, js туда добавлять глупо ибо нормальный юзер не сможет ничего на сайте посмотреть.
а как тогда защитить файлы с этими расширениями от изменений и инъекций туда вредоносного кода? (444) не помогают
__________________
Хотите купить красивый домен? Обращайтесь!
Группа в Telegram для всех домейнеров

Последний раз редактировалось Blackman-st; 12.09.2015 в 13:04. Причина: Добавлено сообщение
Blackman-st вне форума   Ответить с цитированием
Старый 12.09.2015, 13:15   #4
 
Регистрация: 16.01.2008
Сообщений: 1,981
Доменные сделки: 2
Реноме: 3685
Одобрения
Спасибо (Отдано): 31
Спасибо (Получено): 236
Сообщение от Blackman-st Посмотреть сообщение
а как тогда защитить файлы с этими расширениями от изменений и инъекций туда вредоносного кода?
Через .htaccess никак. Ведь .htaccess - это настройки для Апача, который принимает запрос от пользователя к серверу. Апач обрабатывает запрос и дальше он запрашивает выполнения php скрипта (если запрос юзера был именно к пхп, а не какой-то картинке). А php-скрипт уже творит то, что в нём заложено его автором. В том числе, он может изменять любые файлы и помещать куда угодно вредоносный код. И ему наплевать, что там написано в .htaccess.
zweroboy1 вне форума   Ответить с цитированием
Старый 12.09.2015, 13:47   #5
 
Аватар для Blackman-st
 
Регистрация: 16.02.2009
Адрес: г. Москва
Сообщений: 3,971
Доменные сделки: 159
Реноме: 7798
Одобрения
Спасибо (Отдано): 66
Спасибо (Получено): 312
Отправить сообщение для Blackman-st с помощью Skype™
тогда вопрос нуба: как защититься от этого?

кроме штатных: обновлять движок и прочее...

и хотя бы запретить добавлять файлы в папку или на весь сайт, потому как не только изменяют код, но и заливают же море файлов .php
__________________
Хотите купить красивый домен? Обращайтесь!
Группа в Telegram для всех домейнеров
Blackman-st вне форума   Ответить с цитированием
Старый 12.09.2015, 14:44   #6
 
Аватар для cB@nner
 
Регистрация: 09.07.2009
Адрес: Это Родина моя!
Сообщений: 724
Доменные сделки: 24
Реноме: 2120
Одобрения
Спасибо (Отдано): 359
Спасибо (Получено): 163
Хорошую тему подняли +1, присоединюсь, т.к. часто сталкиваюсь с этим файлом ))

Сообщение от Blackman-st Посмотреть сообщение
<IfModule mod_authz_host.c>
Deny from all
</IfModule>
кто расскажет про что он?
В последнее время, встречаю этот код в папке Sape.
Со слов пользователей форума Sape, Яндекс каким-то макаром умудряется иногда индексировать код в папке Сапы. А так - хрен ему


Часто пользуюсь наработками файла .htaccess из темы "Попытка номер раз создать почти идеальный htaccess"
Особенно полезный пункт для пользователей, которые сидят на виртуальном хостинге и когда нет доступа к php.ini. В последнее время, моим заказчикам часто приходится менять хостинг, вот и возникнет проблема с настройками PHP для вирт.хост., например, увеличить лимит на загрузку файлов, или лимит передачи данным методом POST.

Код HTML:
<ifModule mod_php.c>
  php_value	upload_max_filesize 32M
  php_value	post_max_size 10M
  php_value	default_charset utf-8
  php_value	max_execution_time 200
</ifModule>
Первая строчка разрешить загружать файлы размером до 32 Мегабайт. По умолчанию в php обычно это значение 8 или 16 мегабайт.
Второй строкой разрешаем постинг объемом до 10 мегабайт. По умолчанию это значение обычно 2 Мегабайта.
Третья строка устанавливает кодировку по используемую вашими скриптами. По своей сути она дублирует строку: «AddDefaultCharset UTF-8».
Четвертой строкой изменяем лимит времени выделенный на выполнение скрипта. По умолчанию он обычно равен 30 секундам. Но иногда для выполнения каких нибудь сложных обработок требуется больше времени.


Для сайтов на Joomla, обращаюсь к теме "Закрыть распространенные и уязвимые папки" и "Обезопасить сайт с помощью.htaccess в images"

Андрей, на днях на хабре, обсуждали тему "устранение последствий взлома", Шаг 1: Проверка файла .htaccess, как вариант обратите внимание на новые комментарии, часто среди них проскальзывают умные подсказки и ответы
__________________
Мои аукционы и лоты по доменам Robot/Robotics (выслушаю ставки от ххх...)
cB@nner вне форума   Ответить с цитированием
Старый 12.09.2015, 16:58   #7
 
Аватар для Blackman-st
 
Регистрация: 16.02.2009
Адрес: г. Москва
Сообщений: 3,971
Доменные сделки: 159
Реноме: 7798
Одобрения
Спасибо (Отдано): 66
Спасибо (Получено): 312
Отправить сообщение для Blackman-st с помощью Skype™
cB@nner, благодарю за ссылки, взял оттуда немного приемов, буду анализировать, о результатаз отпишу.

Есть кто чем еще может поделиться, велкам!
__________________
Хотите купить красивый домен? Обращайтесь!
Группа в Telegram для всех домейнеров
Blackman-st вне форума   Ответить с цитированием
Старый 12.09.2015, 18:11   #8
 
Регистрация: 01.04.2009
Сообщений: 49
Доменные сделки: 0
Реноме: 7
Одобрения
Спасибо (Отдано): 0
Спасибо (Получено): 0
Сообщение от Blackman-st Посмотреть сообщение
и хотя бы запретить добавлять файлы в папку или на весь сайт, потому как не только изменяют код, но и заливают же море файлов .php
для начала:
- сделайте доступ только по ssh (22 порт)
- положите в корень .ftpaccess с содержанием
<Limit WRITE>
DenyAll
</Limit>
- на все индексные, конфиг и системные файлы поставьте cmod 444
+ никогда не храните пароли от ftp в менеджерах..
__________________
c уважением Iren
iren K вне форума   Ответить с цитированием
Старый 12.09.2015, 21:02   #9
 
Аватар для Blackman-st
 
Регистрация: 16.02.2009
Адрес: г. Москва
Сообщений: 3,971
Доменные сделки: 159
Реноме: 7798
Одобрения
Спасибо (Отдано): 66
Спасибо (Получено): 312
Отправить сообщение для Blackman-st с помощью Skype™
iren K, благодарю.
а если не делать ssh доступ, будет ли эффективна команда?

и смогу ли я сам заходить через, допустим, тотал коммандер для редактирования своего сайта?

и будет ли это защитой от шелов, которые разворачивают файлы и вносят изменения минуя фтп?
__________________
Хотите купить красивый домен? Обращайтесь!
Группа в Telegram для всех домейнеров
Blackman-st вне форума   Ответить с цитированием
Старый 12.09.2015, 23:28   #10
 
Регистрация: 01.04.2009
Сообщений: 49
Доменные сделки: 0
Реноме: 7
Одобрения
Спасибо (Отдано): 0
Спасибо (Получено): 0
Сообщение от Blackman-st Посмотреть сообщение
iren K, благодарю.
а если не делать ssh доступ, будет ли эффективна команда?

и смогу ли я сам заходить через, допустим, тотал коммандер для редактирования своего сайта?

и будет ли это защитой от шелов, которые разворачивают файлы и вносят изменения минуя фтп?
про тотал сомневаюсь - ставьте winscp - ибо пора нормально работать ))
__________________
c уважением Iren
iren K вне форума   Ответить с цитированием
Ответ



Реклама

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы
Закладки Добавить Тема в закладки

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 00:51. Часовой пояс GMT +4.