Next Generation CMS :: Форум поддержки

Заинтересовала наша система? Тогда этот форум для Вас!

rss

Вы не зашли.

Объявление

#1 2011-03-09 19:11:40

oldvovk
Пользователь
Зарегистрирован: 2010-10-14
Сообщений: 137
Рейтинг :   
Профиль  Вебсайт

К вопросу безопасности

Ни в коей мере не хочу подвергать сомнению безопасность системы, но хотелось бы
знать, какие меры безопасности можно дополнительно ввести для предотвращения.

Ситуация.
На хостинге были размещены два сайта на ngcms - dewon.ru и sowi.ru (экспериментальные площадки). Перед Новым годом статистика показала по обоим резкое увеличение размещение страниц. Расследование показало наличие в общей папке сайтов по левому файлу, и кучу файлов и папок в папке uploads, с изменением шаблона main (c организацией циклов ссылок с другими пораженными сайтами)

Учитывая, что обнаружил коверки поздно, определить не смог откуда руки растут.

Вопрос, можно что-то сделать для усиления безопасности, как запретить внешний доступ к папкам,
есть ли что то похожее по функционалу - проверка дополнений и изменений файлов на хостинге (как у wordpress)

Из того, что мне попалось, были сайты на ng, в тч из соответствующего топа и некоторых пользователей, несколько самописных, тот же wordpress, еще несколько (определить принадлежность не смог). Ну вот пара к примеру lising.org,  seoblog.org.ru

Отредактированно oldvovk (2011-03-09 19:14:47)

Неактивен

 

#2 2011-03-09 20:00:13

legenda
Пользователь
Откуда: ua
Зарегистрирован: 2009-12-22
Сообщений: 2151
Рейтинг :   39 
Профиль

Re: К вопросу безопасности

этот топик с єтим както связан hmm?

Неактивен

 

#3 2011-03-09 20:30:45

oldvovk
Пользователь
Зарегистрирован: 2010-10-14
Сообщений: 137
Рейтинг :   
Профиль  Вебсайт

Re: К вопросу безопасности

Вроде нет. Просмотрел статистику доступа к файлам - дампы не запрашивались.

Неактивен

 

#4 2011-03-09 20:38:04

easmik
Модератор
Откуда: Анталья
Зарегистрирован: 2011-02-01
Сообщений: 1005
Рейтинг :   37 
Профиль  Вебсайт

Re: К вопросу безопасности

oldvovk написал:

Вроде нет. Просмотрел статистику доступа к файлам - дампы не запрашивались.

А если поставить защиту на саму папку?


Все сайты, что могут быть сделаны на ng cms, должны быть сделаны на ng cms.

Расширив границы сознания, мы открываем новые горизонты жизни.

Неактивен

 

#5 2011-03-09 20:40:38

oldvovk
Пользователь
Зарегистрирован: 2010-10-14
Сообщений: 137
Рейтинг :   
Профиль  Вебсайт

Re: К вопросу безопасности

Паролировать что ли? а как тогда двиг имиджи и файлы будет вытаскивать

Ладно, папка upload, но с таким же успехом, наверное, могли навтыкать в любую или новую создать.

Или аксессы добавить с нужными директивами? Просто я сейчас на распутьи, что-то сделал,
чего-то не знаю что сделать, потому и вопрос задал.

Убило, что из десятка сайтов зацепило именно эти два.

Отредактированно oldvovk (2011-03-09 20:48:24)

Неактивен

 

#6 2011-03-09 20:42:42

easmik
Модератор
Откуда: Анталья
Зарегистрирован: 2011-02-01
Сообщений: 1005
Рейтинг :   37 
Профиль  Вебсайт

Re: К вопросу безопасности

Не обязательно паролить, некоторые панели умеют просто перекрывать доступ к папке из вне.

Отредактированно easmik (2011-03-09 20:43:30)


Все сайты, что могут быть сделаны на ng cms, должны быть сделаны на ng cms.

Расширив границы сознания, мы открываем новые горизонты жизни.

Неактивен

 

#7 2011-03-09 20:49:50

oldvovk
Пользователь
Зарегистрирован: 2010-10-14
Сообщений: 137
Рейтинг :   
Профиль  Вебсайт

Re: К вопросу безопасности

Ну это ж практически то же самое. ISP делает это, к примеру, но при обращении к папке тут же пойдет запрос на разрешение доступа и как двиг на это среагирует?

Неактивен

 

#8 2011-03-09 20:52:37

easmik
Модератор
Откуда: Анталья
Зарегистрирован: 2011-02-01
Сообщений: 1005
Рейтинг :   37 
Профиль  Вебсайт

Re: К вопросу безопасности

Скоро узнаем smile


Все сайты, что могут быть сделаны на ng cms, должны быть сделаны на ng cms.

Расширив границы сознания, мы открываем новые горизонты жизни.

Неактивен

 

#9 2011-03-09 22:38:12

RMC
Пользователь
Зарегистрирован: 2009-07-01
Сообщений: 151
Рейтинг :   
Профиль  Вебсайт

Re: К вопросу безопасности

кстати так же перед НГ была похожая ситуация.. sad(
в майн.тпл были прописаны левые(порно) ссылки но визуально не выводились, так что пока не получил предупреждение от гугла - даже не был в курсе..
откуда ноги - тоже к сожалению не определил..

Неактивен

 

#10 2011-03-10 01:04:35

oldvovk
Пользователь
Зарегистрирован: 2010-10-14
Сообщений: 137
Рейтинг :   
Профиль  Вебсайт

Re: К вопросу безопасности

Вот тут нечто похожее делают с dle - http://forum.searchengines.ru/showthread.php?t=610134

Отредактированно oldvovk (2011-03-10 01:04:52)

Неактивен

 

#11 2011-03-12 09:24:13

vitaly
Администратор
Откуда: Россия
Зарегистрирован: 2008-10-08
Сообщений: 2785
Рейтинг :   115 
Профиль

Re: К вопросу безопасности

oldvovk, проще всего такое сделать украв твой пароль к FTP.
Запретить доступ у файлам вне дерева каталогов сайта можно, но только средствами php.

Неактивен

 

#12 2011-03-23 22:31:41

oldvovk
Пользователь
Зарегистрирован: 2010-10-14
Сообщений: 137
Рейтинг :   
Профиль  Вебсайт

Re: К вопросу безопасности

Хорошо бы, если так. Но почему имено эти два на ng и не тронули wp, joom. И только по 1 из 8 подключений. Большие сомнения с ftp, тут что то другое.

Хотя смотрю по форумам и wp с dle долбят по полной по той же схеме.

Отредактированно oldvovk (2011-03-23 22:32:34)

Неактивен

 

#13 2012-05-14 20:10:47

cmsTester
Пользователь
Откуда: Город-На-Болоте
Зарегистрирован: 2011-10-09
Сообщений: 45
Рейтинг :   
Профиль

Re: К вопросу безопасности

Здрасти! :)

К вопросу о безопасности...

Тут, знаете ли, вчера открыл для себя, что существуют так называемые sql-инъекции...
Прям перепугался весь от неожиданности )))

А по сему просто хочу спросить (чтобы спать спокойно), как у NG с защитой от этих "уколов"? :)

Неактивен

 

#14 2012-05-17 00:59:43

vitaly
Администратор
Откуда: Россия
Зарегистрирован: 2008-10-08
Сообщений: 2785
Рейтинг :   115 
Профиль

Re: К вопросу безопасности

cmsTester, SQL-инъекция возможна только в случае, когда входные данные не проверяются и напрямую попадают в SQL запрос.
В NG для этого используется либо функция db_squote() (лежит в functions.inc.php), либо встроенная функция intval() (для цифровых значений).

Неактивен

 

#15 2012-05-17 01:36:55

cmsTester
Пользователь
Откуда: Город-На-Болоте
Зарегистрирован: 2011-10-09
Сообщений: 45
Рейтинг :   
Профиль

Re: К вопросу безопасности

Уважаемый Виталий!
Спасибо, что обратил внимание на мой вопрос! :) Но...

Из твоего поста мне не понятно, могу ли я спать спокойно, или же мне сейчас надо срочно бежать и что-то делать с функцией db_squote() и с функцией intval() :)))))

Дуб я в программировании, ты уж извини :)

А поэтому (потому, что дуб) задам вот такой вопрос: эти функции уже работают по умолчанию или мне нужно чего-то сделать, чтобы всё это заработало?

Просто меня с толку сбивает пояснение "(лежит в functions.inc.php)". Это зачем? Чтобы я туда сходил и убедился, что оно там есть, или с ним надо что-то делать? В системе столько разных плагинов, и все их надо активировать после установки, вот и тут я недопонял, надо ли чего поковырять или уже успокоиться и не отсвечивать... :)

Отредактированно cmsTester (2012-05-17 02:07:26)

Неактивен

 

#16 2012-05-17 08:20:47

ROZARD
Модератор
Откуда: Россия, Астрахань
Зарегистрирован: 2008-10-13
Сообщений: 1523
Рейтинг :   82 
Профиль  Вебсайт

Re: К вопросу безопасности

cmsTester, Входные данные все проверяются через функцию db_squote()...

Неактивен

 

#17 2012-05-17 09:08:14

easmik
Модератор
Откуда: Анталья
Зарегистрирован: 2011-02-01
Сообщений: 1005
Рейтинг :   37 
Профиль  Вебсайт

Re: К вопросу безопасности

ROZARD, что то мне подсказывает что cmsTester и сейчас не поймет что ему делать, спать ему спокойно или нет? smile


Все сайты, что могут быть сделаны на ng cms, должны быть сделаны на ng cms.

Расширив границы сознания, мы открываем новые горизонты жизни.

Неактивен

 

#18 2012-05-17 11:42:17

cmsTester
Пользователь
Откуда: Город-На-Болоте
Зарегистрирован: 2011-10-09
Сообщений: 45
Рейтинг :   
Профиль

Re: К вопросу безопасности

Короче, как я понимаю, от sql-инъекций система защищена по умолчанию. Спасибо! Успокоили... smile

Тогда осталось разобраться с защитой против "воровства авторизационной cookie через обнаруженные XSS уязвимости".

Подскажите пожалуйста:

(1) После замены соответствующих файлов на файлы из Changeset [994] возникают следующие проблемы:

на 9.2 показывает белый экран, а на 9.3 ругается вот так:

NGCMS Runtime error: Call to undefined function loadPermissions()
[ 1]: Call to undefined function loadPermissions()

Stack trace
Line #    File name
308    /home/бла-бла-бла/public_html/engine/core.php

Как с этим бороться? Может подкрутить чего в файле core.php ?

(2) Если в настройках безопасности выбрано не использовать cookies для авторизации, то в этом случае Changeset [994] продолжает быть актуальным или уже нет?

Отредактированно cmsTester (2012-05-17 12:17:26)

Неактивен

 

#19 2012-05-17 19:01:47

vitaly
Администратор
Откуда: Россия
Зарегистрирован: 2008-10-08
Сообщений: 2785
Рейтинг :   115 
Профиль

Re: К вопросу безопасности

cmsTester, зависит от того как ты смотришь на систему.
Если как пользователь, то ответ - да, защищена.
Если как разработчик плагинов, то ответ - нет, при разработке ты сам должен заботиться безопасностью и пользоваться указанными выше функциями.

Неактивен

 

#20 2012-05-17 23:28:51

cmsTester
Пользователь
Откуда: Город-На-Болоте
Зарегистрирован: 2011-10-09
Сообщений: 45
Рейтинг :   
Профиль

Re: К вопросу безопасности

Ага, понятно. Спасиба! Можно выдохнуть :)
Не до такой степени я допиливаю дефолтную версию системы, чтобы лесть в такие дебри, как разработка плагинов.

Однако, неужели не найдётся человека, который бы ответил на другие два вопроса в моём посте за номером #18 ?
Ау! Пролейте свет, господа! Вы же всё знаете! :)

Отредактированно cmsTester (2012-05-17 23:30:19)

Неактивен

 

#21 2012-05-18 00:01:39

hot
Пользователь
Откуда: Россия
Зарегистрирован: 2008-10-26
Сообщений: 173
Профиль

Re: К вопросу безопасности

Веб-сайт заблокирован!
G Data TotalCare 2012: отказано в доступе к этому веб-сайту.
Страница содержит зараженный код: HTML:Script-inf (Антивирусный движок B).

Что это?!smile

Неактивен

 

#22 2012-05-18 00:11:08

Ahatomik
Пользователь
Откуда: Киев
Зарегистрирован: 2012-07-02
Сообщений: 800
Профиль  Вебсайт

Re: К вопросу безопасности

hot, Дай ссылку .
Антивирус "Avast" выключи и попробуй зайти ...

Отредактированно Ahatomik (2012-05-18 00:12:28)

Неактивен

 

#23 2012-05-18 00:16:53

vitaly
Администратор
Откуда: Россия
Зарегистрирован: 2008-10-08
Сообщений: 2785
Рейтинг :   115 
Профиль

Re: К вопросу безопасности

cmsTester написал:

Ага, понятно. Спасиба! Можно выдохнуть smile
Не до такой степени я допиливаю дефолтную версию системы, чтобы лесть в такие дебри, как разработка плагинов.

Однако, неужели не найдётся человека, который бы ответил на другие два вопроса в моём посте за номером #18 ?
Ау! Пролейте свет, господа! Вы же всё знаете! smile

Всё намного проще - тебе нужно было не заменять файлы, а применить патч (т.е. выполнить указанные замены).
В SVN уже лежит более новый код, для его использования нужно вообще весь двиг обновлять.

Неактивен

 

#24 2012-05-18 00:18:17

hot
Пользователь
Откуда: Россия
Зарегистрирован: 2008-10-26
Сообщений: 173
Профиль

Re: К вопросу безопасности

Ahatomik написал:

Антивирус "Avast" выключи и попробуй зайти ...

Кто написал про Avast ?
Ссылка есть на главной...
elenika.com

Неактивен

 

#25 2012-05-18 00:21:26

hot
Пользователь
Откуда: Россия
Зарегистрирован: 2008-10-26
Сообщений: 173
Профиль

Re: К вопросу безопасности

vitaly написал:

cmsTester написал:

Ага, понятно. Спасиба! Можно выдохнуть smile
Не до такой степени я допиливаю дефолтную версию системы, чтобы лесть в такие дебри, как разработка плагинов.

Однако, неужели не найдётся человека, который бы ответил на другие два вопроса в моём посте за номером #18 ?
Ау! Пролейте свет, господа! Вы же всё знаете! smile

Всё намного проще - тебе нужно было не заменять файлы, а применить патч (т.е. выполнить указанные замены).
В SVN уже лежит более новый код, для его использования нужно вообще весь двиг обновлять.

Спасибо, Виталик, у тебя всё просто...smile
...у меня всё сложно...
P.S.
Двиг о-о-о-чень хорош...

Отредактированно hot (2012-05-18 00:24:53)

Неактивен

 

Board footer

Powered by FluxBB

[ Generated in 0.021 seconds, 33 queries executed ]