Next Generation CMS :: Форум поддержки

Заинтересовала наша система? Тогда этот форум для Вас!

Вы не зашли.

#1 2011-03-09 20:11:40

oldvovk
Участник
Зарегистрирован: 2010-10-14
Сообщений: 137
Рейтинг :   
Сайт

К вопросу безопасности

Ни в коей мере не хочу подвергать сомнению безопасность системы, но хотелось бы
знать, какие меры безопасности можно дополнительно ввести для предотвращения.

Ситуация.
На хостинге были размещены два сайта на ngcms - dewon.ru и sowi.ru (экспериментальные площадки). Перед Новым годом статистика показала по обоим резкое увеличение размещение страниц. Расследование показало наличие в общей папке сайтов по левому файлу, и кучу файлов и папок в папке uploads, с изменением шаблона main (c организацией циклов ссылок с другими пораженными сайтами)

Учитывая, что обнаружил коверки поздно, определить не смог откуда руки растут.

Вопрос, можно что-то сделать для усиления безопасности, как запретить внешний доступ к папкам,
есть ли что то похожее по функционалу - проверка дополнений и изменений файлов на хостинге (как у wordpress)

Из того, что мне попалось, были сайты на ng, в тч из соответствующего топа и некоторых пользователей, несколько самописных, тот же wordpress, еще несколько (определить принадлежность не смог). Ну вот пара к примеру lising.org,  seoblog.org.ru

Изменено oldvovk (2011-03-09 20:14:47)

Не в сети

#2 2011-03-09 21:00:13

legenda
Участник
Откуда ua
Зарегистрирован: 2009-12-22
Сообщений: 2,160
Рейтинг :   39 

Re: К вопросу безопасности

этот топик с єтим както связан hmm?

Не в сети

#3 2011-03-09 21:30:45

oldvovk
Участник
Зарегистрирован: 2010-10-14
Сообщений: 137
Рейтинг :   
Сайт

Re: К вопросу безопасности

Вроде нет. Просмотрел статистику доступа к файлам - дампы не запрашивались.

Не в сети

#4 2011-03-09 21:38:04

easmik
VIP забанил этого пользователя.
Зарегистрирован: 2011-02-01
Сообщений: 1,030
Рейтинг :   37 

Re: К вопросу безопасности

oldvovk пишет:

Вроде нет. Просмотрел статистику доступа к файлам - дампы не запрашивались.

А если поставить защиту на саму папку?

Не в сети

#5 2011-03-09 21:40:38

oldvovk
Участник
Зарегистрирован: 2010-10-14
Сообщений: 137
Рейтинг :   
Сайт

Re: К вопросу безопасности

Паролировать что ли? а как тогда двиг имиджи и файлы будет вытаскивать

Ладно, папка upload, но с таким же успехом, наверное, могли навтыкать в любую или новую создать.

Или аксессы добавить с нужными директивами? Просто я сейчас на распутьи, что-то сделал,
чего-то не знаю что сделать, потому и вопрос задал.

Убило, что из десятка сайтов зацепило именно эти два.

Изменено oldvovk (2011-03-09 21:48:24)

Не в сети

#6 2011-03-09 21:42:42

easmik
VIP забанил этого пользователя.
Зарегистрирован: 2011-02-01
Сообщений: 1,030
Рейтинг :   37 

Re: К вопросу безопасности

Не обязательно паролить, некоторые панели умеют просто перекрывать доступ к папке из вне.

Изменено easmik (2011-03-09 21:43:30)

Не в сети

#7 2011-03-09 21:49:50

oldvovk
Участник
Зарегистрирован: 2010-10-14
Сообщений: 137
Рейтинг :   
Сайт

Re: К вопросу безопасности

Ну это ж практически то же самое. ISP делает это, к примеру, но при обращении к папке тут же пойдет запрос на разрешение доступа и как двиг на это среагирует?

Не в сети

#8 2011-03-09 21:52:37

easmik
VIP забанил этого пользователя.
Зарегистрирован: 2011-02-01
Сообщений: 1,030
Рейтинг :   37 

Re: К вопросу безопасности

Скоро узнаем smile

Не в сети

#9 2011-03-09 23:38:12

RMC
Участник
Зарегистрирован: 2009-07-01
Сообщений: 151
Рейтинг :   
Сайт

Re: К вопросу безопасности

кстати так же перед НГ была похожая ситуация.. sad(
в майн.тпл были прописаны левые(порно) ссылки но визуально не выводились, так что пока не получил предупреждение от гугла - даже не был в курсе..
откуда ноги - тоже к сожалению не определил..

Не в сети

#10 2011-03-10 02:04:35

oldvovk
Участник
Зарегистрирован: 2010-10-14
Сообщений: 137
Рейтинг :   
Сайт

Re: К вопросу безопасности

Вот тут нечто похожее делают с dle - http://forum.searchengines.ru/showthread.php?t=610134

Изменено oldvovk (2011-03-10 02:04:52)

Не в сети

#11 2011-03-12 10:24:13

vitaly
Администратор
Откуда Россия
Зарегистрирован: 2008-10-08
Сообщений: 2,823
Рейтинг :   118 

Re: К вопросу безопасности

oldvovk, проще всего такое сделать украв твой пароль к FTP.
Запретить доступ у файлам вне дерева каталогов сайта можно, но только средствами php.

Не в сети

#12 2011-03-23 23:31:41

oldvovk
Участник
Зарегистрирован: 2010-10-14
Сообщений: 137
Рейтинг :   
Сайт

Re: К вопросу безопасности

Хорошо бы, если так. Но почему имено эти два на ng и не тронули wp, joom. И только по 1 из 8 подключений. Большие сомнения с ftp, тут что то другое.

Хотя смотрю по форумам и wp с dle долбят по полной по той же схеме.

Изменено oldvovk (2011-03-23 23:32:34)

Не в сети

#13 2012-05-14 20:10:47

cmsTester
Участник
Откуда Город-На-Болоте
Зарегистрирован: 2011-10-09
Сообщений: 45
Рейтинг :   

Re: К вопросу безопасности

Здрасти! :)

К вопросу о безопасности...

Тут, знаете ли, вчера открыл для себя, что существуют так называемые sql-инъекции...
Прям перепугался весь от неожиданности )))

А по сему просто хочу спросить (чтобы спать спокойно), как у NG с защитой от этих "уколов"? :)

Не в сети

#14 2012-05-17 00:59:43

vitaly
Администратор
Откуда Россия
Зарегистрирован: 2008-10-08
Сообщений: 2,823
Рейтинг :   118 

Re: К вопросу безопасности

cmsTester, SQL-инъекция возможна только в случае, когда входные данные не проверяются и напрямую попадают в SQL запрос.
В NG для этого используется либо функция db_squote() (лежит в functions.inc.php), либо встроенная функция intval() (для цифровых значений).

Не в сети

#15 2012-05-17 01:36:55

cmsTester
Участник
Откуда Город-На-Болоте
Зарегистрирован: 2011-10-09
Сообщений: 45
Рейтинг :   

Re: К вопросу безопасности

Уважаемый Виталий!
Спасибо, что обратил внимание на мой вопрос! :) Но...

Из твоего поста мне не понятно, могу ли я спать спокойно, или же мне сейчас надо срочно бежать и что-то делать с функцией db_squote() и с функцией intval() :)))))

Дуб я в программировании, ты уж извини :)

А поэтому (потому, что дуб) задам вот такой вопрос: эти функции уже работают по умолчанию или мне нужно чего-то сделать, чтобы всё это заработало?

Просто меня с толку сбивает пояснение "(лежит в functions.inc.php)". Это зачем? Чтобы я туда сходил и убедился, что оно там есть, или с ним надо что-то делать? В системе столько разных плагинов, и все их надо активировать после установки, вот и тут я недопонял, надо ли чего поковырять или уже успокоиться и не отсвечивать... :)

Изменено cmsTester (2012-05-17 02:07:26)

Не в сети

#16 2012-05-17 08:20:47

ROZARD
Модератор
Откуда Россия, Астрахань
Зарегистрирован: 2008-10-13
Сообщений: 1,523
Рейтинг :   82 
Сайт

Re: К вопросу безопасности

cmsTester, Входные данные все проверяются через функцию db_squote()...

Не в сети

#17 2012-05-17 09:08:14

easmik
VIP забанил этого пользователя.
Зарегистрирован: 2011-02-01
Сообщений: 1,030
Рейтинг :   37 

Re: К вопросу безопасности

ROZARD, что то мне подсказывает что cmsTester и сейчас не поймет что ему делать, спать ему спокойно или нет? smile

Не в сети

#18 2012-05-17 11:42:17

cmsTester
Участник
Откуда Город-На-Болоте
Зарегистрирован: 2011-10-09
Сообщений: 45
Рейтинг :   

Re: К вопросу безопасности

Короче, как я понимаю, от sql-инъекций система защищена по умолчанию. Спасибо! Успокоили... smile

Тогда осталось разобраться с защитой против "воровства авторизационной cookie через обнаруженные XSS уязвимости".

Подскажите пожалуйста:

(1) После замены соответствующих файлов на файлы из Changeset [994] возникают следующие проблемы:

на 9.2 показывает белый экран, а на 9.3 ругается вот так:

NGCMS Runtime error: Call to undefined function loadPermissions()
[ 1]: Call to undefined function loadPermissions()

Stack trace
Line #    File name
308    /home/бла-бла-бла/public_html/engine/core.php

Как с этим бороться? Может подкрутить чего в файле core.php ?

(2) Если в настройках безопасности выбрано не использовать cookies для авторизации, то в этом случае Changeset [994] продолжает быть актуальным или уже нет?

Изменено cmsTester (2012-05-17 12:17:26)

Не в сети

#19 2012-05-17 19:01:47

vitaly
Администратор
Откуда Россия
Зарегистрирован: 2008-10-08
Сообщений: 2,823
Рейтинг :   118 

Re: К вопросу безопасности

cmsTester, зависит от того как ты смотришь на систему.
Если как пользователь, то ответ - да, защищена.
Если как разработчик плагинов, то ответ - нет, при разработке ты сам должен заботиться безопасностью и пользоваться указанными выше функциями.

Не в сети

#20 2012-05-17 23:28:51

cmsTester
Участник
Откуда Город-На-Болоте
Зарегистрирован: 2011-10-09
Сообщений: 45
Рейтинг :   

Re: К вопросу безопасности

Ага, понятно. Спасиба! Можно выдохнуть :)
Не до такой степени я допиливаю дефолтную версию системы, чтобы лесть в такие дебри, как разработка плагинов.

Однако, неужели не найдётся человека, который бы ответил на другие два вопроса в моём посте за номером #18 ?
Ау! Пролейте свет, господа! Вы же всё знаете! :)

Изменено cmsTester (2012-05-17 23:30:19)

Не в сети

#21 2012-05-18 00:01:39

hot
Участник
Откуда Россия
Зарегистрирован: 2008-10-26
Сообщений: 173

Re: К вопросу безопасности

Веб-сайт заблокирован!
G Data TotalCare 2012: отказано в доступе к этому веб-сайту.
Страница содержит зараженный код: HTML:Script-inf (Антивирусный движок B).

Что это?!smile

Не в сети

#22 2012-05-18 00:11:08

Ahatomik
Старожил
Откуда Киев
Зарегистрирован: 2012-07-02
Сообщений: 832
Сайт

Re: К вопросу безопасности

hot, Дай ссылку .
Антивирус "Avast" выключи и попробуй зайти ...

Изменено Ahatomik (2012-05-18 00:12:28)

Не в сети

#23 2012-05-18 00:16:53

vitaly
Администратор
Откуда Россия
Зарегистрирован: 2008-10-08
Сообщений: 2,823
Рейтинг :   118 

Re: К вопросу безопасности

cmsTester пишет:

Ага, понятно. Спасиба! Можно выдохнуть smile
Не до такой степени я допиливаю дефолтную версию системы, чтобы лесть в такие дебри, как разработка плагинов.

Однако, неужели не найдётся человека, который бы ответил на другие два вопроса в моём посте за номером #18 ?
Ау! Пролейте свет, господа! Вы же всё знаете! smile

Всё намного проще - тебе нужно было не заменять файлы, а применить патч (т.е. выполнить указанные замены).
В SVN уже лежит более новый код, для его использования нужно вообще весь двиг обновлять.

Не в сети

#24 2012-05-18 00:18:17

hot
Участник
Откуда Россия
Зарегистрирован: 2008-10-26
Сообщений: 173

Re: К вопросу безопасности

Ahatomik пишет:

Антивирус "Avast" выключи и попробуй зайти ...

Кто написал про Avast ?
Ссылка есть на главной...
elenika.com

Не в сети

#25 2012-05-18 00:21:26

hot
Участник
Откуда Россия
Зарегистрирован: 2008-10-26
Сообщений: 173

Re: К вопросу безопасности

vitaly пишет:
cmsTester пишет:

Ага, понятно. Спасиба! Можно выдохнуть smile
Не до такой степени я допиливаю дефолтную версию системы, чтобы лесть в такие дебри, как разработка плагинов.

Однако, неужели не найдётся человека, который бы ответил на другие два вопроса в моём посте за номером #18 ?
Ау! Пролейте свет, господа! Вы же всё знаете! smile

Всё намного проще - тебе нужно было не заменять файлы, а применить патч (т.е. выполнить указанные замены).
В SVN уже лежит более новый код, для его использования нужно вообще весь двиг обновлять.

Спасибо, Виталик, у тебя всё просто...:)
...у меня всё сложно...
P.S.
Двиг о-о-о-чень хорош...

Изменено hot (2012-05-18 00:24:53)

Не в сети

Подвал раздела

Работает на FluxBB