Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: Запрещяем редактировать htaccess и index.php  (Прочитано 7234 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Shambler81

  • Автор темы
  • Любитель
  • *
  • Сообщений: 60
    • Просмотр профиля
День дорбый  коллеги,  прошу высказать ваши соображения  по вариантам защиты  от постоянных взломов следующихфайлов.
.htaccess   и index.php
умоляю 444 не предлагать. Помогало бы не  спрашивал бы.
фактически сейчас приходится изголяться  прогонять регуляркой все хостинги по всем сайтам, искать изменившиеся файлы и перезаливать их  тру версией лежещей в бэкапе.
Замечу что по умолчанию сменить права на файлы апач сам может.
Запретить запись в каталоги неьлзя,  на слайс или  раздел тоже посколькуо сотни сайтов  имеют милион тонкостей которые предусмотреть нельзя.
Фактически задача достаточно четкая
закрыть возможность внесение вредоносного кода в данные файлы.


« Последнее редактирование: 22 Февраля 2012, 18:51:24 от Shambler81 »

Оффлайн artifactor

  • Старожил
  • *
  • Сообщений: 1769
    • Просмотр профиля
    • Leaf Watoru's notes
Re: Запрещяем редактировать htaccess и index.php
« Ответ #1 : 22 Февраля 2012, 21:04:20 »
а попробуйте симлинк сделать. и уже с оригинальным файлом плясать.
Xubuntu 16.04 x64
Обои для рабочего стола и Space Ambient

Оффлайн Shambler81

  • Автор темы
  • Любитель
  • *
  • Сообщений: 60
    • Просмотр профиля
Re: Запрещяем редактировать htaccess и index.php
« Ответ #2 : 24 Февраля 2012, 17:29:27 »
а попробуйте симлинк сделать. и уже с оригинальным файлом плясать.
дело в том что сайт не один и не 100, и на некоторых из них свои линки на хтаксесс, разбираться с каждым изначально не вариант надо придумать средство рекурсивно защитьить все эти файлы
А линк ничего не даст, поскольку все файлы уникальны хранить их всеравно прийдется для каждого сайта свой, следовательно и путь к сайту тоже.
А следовательно или руками каждую линку делать
или писать скрипт который будет искать все хтаксессы копировать сохранять ложить рядом ссылку на его сайт делать линк, в общем  это уже награмождение.
фактически выход толко один найти способ запретить апачу писать именно в эти файлф

andrey_p

  • Гость
Re: Запрещяем редактировать htaccess и index.php
« Ответ #3 : 24 Февраля 2012, 19:17:53 »
<Files .htaccess>
order deny,allow
deny from all
</Files>
Не то?

Оффлайн unimix

  • Активист
  • *
  • Сообщений: 537
    • Просмотр профиля
Re: Запрещяем редактировать htaccess и index.php
« Ответ #4 : 25 Февраля 2012, 10:45:44 »
умоляю 444 не предлагать. Помогало бы не  спрашивал бы.

И вместе с этим не помогает?
chown root:root .htaccess

Оффлайн НеФормат

  • Участник
  • *
  • Сообщений: 117
  • Ubuntu 11.10
    • Просмотр профиля
    • Линукс по Русски
Re: Запрещяем редактировать htaccess и index.php
« Ответ #5 : 25 Февраля 2012, 11:57:40 »
chmod -R 000 что там
 :2funny:

Мой сайт -  http://linuxfanat.ru!
Могу помочь с PHP,CSS,Html

Оффлайн Shambler81

  • Автор темы
  • Любитель
  • *
  • Сообщений: 60
    • Просмотр профиля
Re: Запрещяем редактировать htaccess и index.php
« Ответ #6 : 27 Февраля 2012, 13:30:30 »
<Files .htaccess>
order deny,allow
deny from all
</Files>
Не то?
нет, не то я сказал не отменить все файлы, а не писать в них.
Сами файлы то как раз нужны.


Пользователь решил продолжить мысль 27 Февраля 2012, 13:42:11:
умоляю 444 не предлагать. Помогало бы не  спрашивал бы.

И вместе с этим не помогает?
chown root:root .htaccess
ну вот это уже ближе к делу, но фактически проблема в том что тот же chwn может сделать и апач ;( а следовательно надо как минимум ему запретить это делать, так же не забывайте что линукс такая тема где можно се сделать через анус. К примеру тот же чендж мод я уже нашел как можно сделать 3-6 способами в зависимости от системы, не исключаю факт не криворукий найдет еще пару штук.
 
Хотя на данный момент  ваше предложение одно из самых жизнеспособных.

 Фактически лучшим решением бы являлось невозможность юзеру www-data изменять .htaccess и *php и не иметь возможности сменить эти права себе на этот файл, притом не ограничивая себя в изменение других файлов и прав наних ;(

вот собственно как легко обойти.
http://omsk777.ru/funct.argument.chown.html


Еще варианты у кого есть?


« Последнее редактирование: 27 Февраля 2012, 14:17:30 от Shambler81 »

Оффлайн unimix

  • Активист
  • *
  • Сообщений: 537
    • Просмотр профиля
Re: Запрещяем редактировать htaccess и index.php
« Ответ #7 : 29 Февраля 2012, 02:39:24 »
вот собственно как легко обойти.
http://omsk777.ru/funct.argument.chown.html

Ну обойди. На практике, а не в теории. :)
Не, ну конечно можно создать условия, чтобы сработало, но это уже...

Оффлайн Shambler81

  • Автор темы
  • Любитель
  • *
  • Сообщений: 60
    • Просмотр профиля
Re: Запрещяем редактировать htaccess и index.php
« Ответ #8 : 07 Марта 2012, 22:49:50 »
вот собственно как легко обойти.
http://omsk777.ru/funct.argument.chown.html

Ну обойди. На практике, а не в теории. :)
Не, ну конечно можно создать условия, чтобы сработало, но это уже...

Условия создать достаточно легко:

Вирусы которые писались два года назад по сравнению с тем что пишут сейчас это  разные вещи.
Если хочешь могу тебе дать разобраный вирусок среднего звена
у него веб морда удобней чем на хостинге, массовое переименовывание добавление смена прав, touch и тд и тп....  не говоря уже о том что они могут управляться как и нормальная бот сеть с удаленых сервверов, по сути делая  редикект на нужные им ресурсы.
обычный ченджмод для них не составляет никакого труда. вирусы не имеют практически ни одного повторяющегося элемента в своей структуре
разные точки входа, разная длина разное начало и конец вируса. даже разное количество строк занимаемое одним и тем же вирусом в разных файлах.
я уже не говорю о плясках с eval(base64  и тд.

а теперь о хостингах, к примеру  у sweb.ru  вчера на днях столкнулся с офигеной фишкой,  ( не учитывая убогость их ssh) phpmyadmin 2.1 !!!
конечно критические фиксы у них на серверере стоят но говорить  о чем то большем не приходится, как правило просто кладут большой и жирный. Безопасностью хостеры занимаюся постолкьуо поскольку.
я уже не говорю о таких на мой взгляд комических вещях как  у nic.ru
 в партнерке у меня около 200 сайтов, за последние 3 года  по всем сайтам небыло ни одного предупреждения по брудфорсу ни одного по атаке  ( вирусов у них нет в экстренной рассылке) о чем вообще можно тут говорить. Да открыв любой лог за это время можно найти пару атак или брудфорсов.
Peterhost.ru - ваще не буду о грустном, это ваще мега жесть
Так что если говорить о концепции попробуй, то вообще в легкую, хотя нет возможны трудности в связи с просто убогостью этих хостеров.
К примеру у majordomo на VPS прописать днс надо зайти в 5 ! разных мест!!!! из них 2 разные админки  на разных сайтах. и 2 раза в одну вначале под рутом потом под юзером.
Поэтому могу сделать заключение
хостер вещь по определению убогая, для бич уровня сайтов и чуть выше.
Все номральные проекты у меня на ВПС или на отдельных машинах, или вообще  с последнего времяни на своем хостинге.
Дыр у хостеров видимо не видимо, просто их ковырять  некому всем впадлу, а тем кто пишут вирусы какраз таки платят, бесплатные времена прошли.

Могу привести среднюю статистику за этот год ( надо сказать она выше нормы, ребята чет разошлись)
примерно с периуда 1.1.12 до 6.3.12   из нескольких сотен сайтов было так или иначе инфецировано около 30 штук, конечно  большенство из них одним и тем же, и как правило это joomal 1.5 но в  этот список попало 3 проекта  на битриксе 1 из них достоточно не плохо пострадал.  2  на hostsCMS , 1 самописаный! 1 вообще не  понятно на чем.
притом поселдние 3 смс были поражены одним и тем же, одновременно на нескольких хостерах. ( никто ничего не знает у них все хорошо, видимо у вас украли FTP)
доступов до них кроме как по ssh с машины на линуксе никаких небыло нет и не будет, так что говорить о краже пароелй глупо.  А до двух из этих проектов вообще доступы были закрыты кроме как управление админкой на хостинге ;)






Оффлайн unimix

  • Активист
  • *
  • Сообщений: 537
    • Просмотр профиля
Re: Запрещяем редактировать htaccess и index.php
« Ответ #9 : 10 Марта 2012, 02:10:39 »
Ну... Дырявый сайт это первая беда, кривые настройки это вторая, а взлом сервера это уже третья.
Что тут скажешь?.. Вот такое дело. :)

Оффлайн Shambler81

  • Автор темы
  • Любитель
  • *
  • Сообщений: 60
    • Просмотр профиля
Re: Запрещяем редактировать htaccess и index.php
« Ответ #10 : 19 Марта 2012, 12:32:33 »
Ну... Дырявый сайт это первая беда, кривые настройки это вторая, а взлом сервера это уже третья.
Что тут скажешь?.. Вот такое дело. :)
сайт дырявый это беда движка, мало вероятно что верстка и дописка компанентов приводит к взлому. Никто не будет ломать твой сайт если можно взломать 15 000 000  сайтов за раз наядй уязвимостьв  стандартном компаненте движка или не стандартном но уж точно не в твоем.
Кривые настройки  - угу зачастую они бы решили но вот ведь  в чем проблема когда есть вирус ты знаешь как от него закрытсья настройками. А когда его нет то нет.
3 без коментариев ;)
В конечном итоге получается сумма этих трех параметров требует изучение каждого сайта и не по часу. В  таком контексте нам не платят за это и тратить сотни часов на бесплатную работу никто не будет ни у нас ни у других.
Посему  сейчас кроном просто переписываю  все файлы что не есть тру но хоть так.

Оффлайн ffx

  • Новичок
  • *
  • Сообщений: 25
    • Просмотр профиля
Re: Запрещяем редактировать htaccess и index.php
« Ответ #11 : 15 Мая 2013, 08:43:59 »
ну че как нить вопрос решился?

Оффлайн truegeek

  • FPGA Designer
  • Почётный модератор
  • Старожил
  • *
  • Сообщений: 4214
  • аЦкий схемотехник
    • Просмотр профиля
Re: Запрещяем редактировать htaccess и index.php
« Ответ #12 : 15 Мая 2013, 09:45:58 »
ffx,
Код: (bash) [Выделить]
man chattr
Тема закрыта, тк не соответствует разделу, и вообще уже больше года прошло ;)

 

Страница сгенерирована за 0.032 секунд. Запросов: 26.