Next Generation CMS :: Форум поддержки
Вы не зашли.
- Темы: Активные | Без ответов
Объявление
#1 2011-03-09 20:11:40
К вопросу безопасности
Ни в коей мере не хочу подвергать сомнению безопасность системы, но хотелось бы
знать, какие меры безопасности можно дополнительно ввести для предотвращения.
Ситуация.
На хостинге были размещены два сайта на ngcms - dewon.ru и sowi.ru (экспериментальные площадки). Перед Новым годом статистика показала по обоим резкое увеличение размещение страниц. Расследование показало наличие в общей папке сайтов по левому файлу, и кучу файлов и папок в папке uploads, с изменением шаблона main (c организацией циклов ссылок с другими пораженными сайтами)
Учитывая, что обнаружил коверки поздно, определить не смог откуда руки растут.
Вопрос, можно что-то сделать для усиления безопасности, как запретить внешний доступ к папкам,
есть ли что то похожее по функционалу - проверка дополнений и изменений файлов на хостинге (как у wordpress)
Из того, что мне попалось, были сайты на ng, в тч из соответствующего топа и некоторых пользователей, несколько самописных, тот же wordpress, еще несколько (определить принадлежность не смог). Ну вот пара к примеру lising.org, seoblog.org.ru
Изменено oldvovk (2011-03-09 20:14:47)
Не в сети
?
#5 2011-03-09 21:40:38
Re: К вопросу безопасности
Паролировать что ли? а как тогда двиг имиджи и файлы будет вытаскивать
Ладно, папка upload, но с таким же успехом, наверное, могли навтыкать в любую или новую создать.
Или аксессы добавить с нужными директивами? Просто я сейчас на распутьи, что-то сделал,
чего-то не знаю что сделать, потому и вопрос задал.
Убило, что из десятка сайтов зацепило именно эти два.
Изменено oldvovk (2011-03-09 21:48:24)
Не в сети
#9 2011-03-09 23:38:12
Re: К вопросу безопасности
кстати так же перед НГ была похожая ситуация.. 
(
в майн.тпл были прописаны левые(порно) ссылки но визуально не выводились, так что пока не получил предупреждение от гугла - даже не был в курсе..
откуда ноги - тоже к сожалению не определил..
Не в сети
#10 2011-03-10 02:04:35
Re: К вопросу безопасности
Вот тут нечто похожее делают с dle - http://forum.searchengines.ru/showthread.php?t=610134
Изменено oldvovk (2011-03-10 02:04:52)
Не в сети
#12 2011-03-23 23:31:41
Re: К вопросу безопасности
Хорошо бы, если так. Но почему имено эти два на ng и не тронули wp, joom. И только по 1 из 8 подключений. Большие сомнения с ftp, тут что то другое.
Хотя смотрю по форумам и wp с dle долбят по полной по той же схеме.
Изменено oldvovk (2011-03-23 23:32:34)
Не в сети
#13 2012-05-14 20:10:47
Re: К вопросу безопасности
Здрасти! :)
К вопросу о безопасности...
Тут, знаете ли, вчера открыл для себя, что существуют так называемые sql-инъекции...
Прям перепугался весь от неожиданности )))
А по сему просто хочу спросить (чтобы спать спокойно), как у NG с защитой от этих "уколов"? :)
Не в сети
#14 2012-05-17 00:59:43
Re: К вопросу безопасности
cmsTester, SQL-инъекция возможна только в случае, когда входные данные не проверяются и напрямую попадают в SQL запрос.
В NG для этого используется либо функция db_squote() (лежит в functions.inc.php), либо встроенная функция intval() (для цифровых значений).
Не в сети
#15 2012-05-17 01:36:55
Re: К вопросу безопасности
Уважаемый Виталий!
Спасибо, что обратил внимание на мой вопрос! :) Но...
Из твоего поста мне не понятно, могу ли я спать спокойно, или же мне сейчас надо срочно бежать и что-то делать с функцией db_squote() и с функцией intval() :)))))
Дуб я в программировании, ты уж извини :)
А поэтому (потому, что дуб) задам вот такой вопрос: эти функции уже работают по умолчанию или мне нужно чего-то сделать, чтобы всё это заработало?
Просто меня с толку сбивает пояснение "(лежит в functions.inc.php)". Это зачем? Чтобы я туда сходил и убедился, что оно там есть, или с ним надо что-то делать? В системе столько разных плагинов, и все их надо активировать после установки, вот и тут я недопонял, надо ли чего поковырять или уже успокоиться и не отсвечивать... :)
Изменено cmsTester (2012-05-17 02:07:26)
Не в сети
#16 2012-05-17 08:20:47
Re: К вопросу безопасности
cmsTester, Входные данные все проверяются через функцию db_squote()...
xmpp://ngcms@conf.ngcms.ru
Настройка клиента для подключения к конференции
Не в сети
#18 2012-05-17 11:42:17
Re: К вопросу безопасности
Короче, как я понимаю, от sql-инъекций система защищена по умолчанию. Спасибо! Успокоили... 
Тогда осталось разобраться с защитой против "воровства авторизационной cookie через обнаруженные XSS уязвимости".
Подскажите пожалуйста:
(1) После замены соответствующих файлов на файлы из Changeset [994] возникают следующие проблемы:
на 9.2 показывает белый экран, а на 9.3 ругается вот так:
NGCMS Runtime error: Call to undefined function loadPermissions()
[ 1]: Call to undefined function loadPermissions()
Stack trace
Line # File name
308 /home/бла-бла-бла/public_html/engine/core.php
Как с этим бороться? Может подкрутить чего в файле core.php ?
(2) Если в настройках безопасности выбрано не использовать cookies для авторизации, то в этом случае Changeset [994] продолжает быть актуальным или уже нет?
Изменено cmsTester (2012-05-17 12:17:26)
Не в сети
#19 2012-05-17 19:01:47
Re: К вопросу безопасности
cmsTester, зависит от того как ты смотришь на систему.
Если как пользователь, то ответ - да, защищена.
Если как разработчик плагинов, то ответ - нет, при разработке ты сам должен заботиться безопасностью и пользоваться указанными выше функциями.
Не в сети
#20 2012-05-17 23:28:51
Re: К вопросу безопасности
Ага, понятно. Спасиба! Можно выдохнуть :)
Не до такой степени я допиливаю дефолтную версию системы, чтобы лесть в такие дебри, как разработка плагинов.
Однако, неужели не найдётся человека, который бы ответил на другие два вопроса в моём посте за номером #18 ?
Ау! Пролейте свет, господа! Вы же всё знаете! :)
Изменено cmsTester (2012-05-17 23:30:19)
Не в сети
#21 2012-05-18 00:01:39
- hot
- Участник
- Откуда Россия
- Зарегистрирован: 2008-10-26
- Сообщений: 173
Re: К вопросу безопасности
Веб-сайт заблокирован!
G Data TotalCare 2012: отказано в доступе к этому веб-сайту.
Страница содержит зараженный код: HTML:Script-inf (Антивирусный движок B).
Что это?!
Не в сети
#23 2012-05-18 00:16:53
Re: К вопросу безопасности
Ага, понятно. Спасиба! Можно выдохнуть
Не до такой степени я допиливаю дефолтную версию системы, чтобы лесть в такие дебри, как разработка плагинов.Однако, неужели не найдётся человека, который бы ответил на другие два вопроса в моём посте за номером #18 ?
Ау! Пролейте свет, господа! Вы же всё знаете!
Всё намного проще - тебе нужно было не заменять файлы, а применить патч (т.е. выполнить указанные замены).
В SVN уже лежит более новый код, для его использования нужно вообще весь двиг обновлять.
Не в сети
#24 2012-05-18 00:18:17
- hot
- Участник
- Откуда Россия
- Зарегистрирован: 2008-10-26
- Сообщений: 173
Re: К вопросу безопасности
Антивирус "Avast" выключи и попробуй зайти ...
Кто написал про Avast ?
Ссылка есть на главной...
elenika.com
Не в сети
#25 2012-05-18 00:21:26
- hot
- Участник
- Откуда Россия
- Зарегистрирован: 2008-10-26
- Сообщений: 173
Re: К вопросу безопасности
cmsTester пишет:Ага, понятно. Спасиба! Можно выдохнуть
Не до такой степени я допиливаю дефолтную версию системы, чтобы лесть в такие дебри, как разработка плагинов.Однако, неужели не найдётся человека, который бы ответил на другие два вопроса в моём посте за номером #18 ?
Ау! Пролейте свет, господа! Вы же всё знаете!Всё намного проще - тебе нужно было не заменять файлы, а применить патч (т.е. выполнить указанные замены).
В SVN уже лежит более новый код, для его использования нужно вообще весь двиг обновлять.
Спасибо, Виталик, у тебя всё просто...:)
...у меня всё сложно...
P.S.
Двиг о-о-о-чень хорош...
Изменено hot (2012-05-18 00:24:53)
Не в сети