 |
|  |
Защита сайта Как защититься от взлома сайта и хотлинка. |
|
Что же делать? Как защититься от хаксоров?
Если сервер принадлежит тебе - все очень просто: редактируй файл php.ini. А если сервер не твой, можешь отписать эти рекомендации админу на мыло. Если же админ ленивый, то меняй хостинг. <br> А теперь о самих настройках PHP. Вначале отключим инициализацию глобальных переменных, хотя без этого иногда тяжко: <br> register_globals = Off <br> Также не разрешать fopen открывать ссылки. Это самая реальная фишка, хотя опять же, некоторые скрипты ее используют. Например, когда прут новости с новостных сайтов: <br> allow_url_fopen = Off <br> Включаем сейф-моду. При ней хаксор не сможет получить доступ к файлам типа /etc/passwd и им подобным: <br> safe_mode = On <br> Далее следует отключить некоторые функции, которые позволяют исполнение команд на сервере и получение информации об объекте атаки. Например, функция phpinfo() выдаст хаксору практически всю информацию о веб-сервере и установленных компонентах для успешной атаки: <br> disable_functions = system,cmd,passthru,phpinfo <br> Если все-таки необходимо использовать функции для исполнения системных команд: <br> $cmd=escapeshellcmd($string); <br> И еще. Если ты управляешь личным колокейшеном, то желательно настраивать PHP для каждого конкретного vhost в апаче. Там можно указать ограничения и что-то вроде chroot. Но об этих настройках (апач+пхп) читай на www.opennet.ru. Также для всех скриптов можно сделать так, чтобы они выполнялись под UID ом пользователя, а не под правами apache. Это так называемый suexec, но для реализации этой фишки нужно патчить апач, а точнее закомментировать некоторые строки в сырцах и перекомпилить. Конечно, нельзя забывать вовремя обновлять софт после каждого релиза. А ведь сейчас очень много веб-серверов, которые до сих пор используют PHP версий 4.0.2-4.0.7, подверженных уязвимости, для которой командой TESO (7350fun) был выпущен эксплоит. О нем мы уже писал в статье Top10 exploits. <br> А что же делать, если твой сервер все-таки похакали, и на главных страницах всех сайтов появился обнаженный Билл Гейтс? Изучай access.log апача и ищи скрипт, через который тебя похакали. Ищи в нем ошибку и патчь. Если тебя будут хакать часто, то ты можешь стать kewl-программером на пхп, так как будешь сходу искать ошибки. Ну или просто отключишь сервер на фиг, если не будет получаться ;).<br> Дата публикации: 02/04/2015 Прочитано: 9167 раз Дополнительно на данную тему:
Защита от hotlinking
Система защиты веб-портала. Часть 1
Система защиты веб-портала. Часть 2
Фильтрация данных в PHP
Методы проверки на правильность заполнения полей
Безопасное программирование на PHP
Советы по защите сайта
Как защитить сайт
Хранение файлов за пределами корневого каталога документов
Безопасность данных
|
|
|