Рязанский хостинг, регистрация доменов, бесплатный хостинг
Рязанский хостинг. (мы поможем выбрать Вам лучший и дешевый хостинг для Ваших сайтов)
Скоро на .rznhost.com
Бесплатная регистрация в каталогах

Новые виды услуг

Приём Webmoney с сайта

Биллинг панель клиента

Вход в панель хостинга
Имя пользователя:
Пароль:
 
Проверить домен
Свободен ли адрес для сайта:
.
Разделы:
Наши новости и акции

Полезные статьи

Задать вопрос








Дешевый хостинг в Рязани

Защита сайта
Как защититься от взлома сайта и хотлинка.

Что же делать? Как защититься от хаксоров?



Если сервер принадлежит тебе - все очень просто: редактируй файл php.ini. А если
сервер не твой, можешь отписать эти рекомендации админу на мыло. Если же админ
ленивый, то меняй хостинг. <br>
А теперь о самих настройках PHP. Вначале отключим инициализацию глобальных переменных,
хотя без этого иногда тяжко: <br>
register_globals = Off <br>
Также не разрешать fopen открывать ссылки. Это самая реальная фишка, хотя опять
же, некоторые скрипты ее используют. Например, когда прут новости с новостных
сайтов: <br>
allow_url_fopen = Off <br>
Включаем сейф-моду. При ней хаксор не сможет получить доступ к файлам типа /etc/passwd
и им подобным: <br>
safe_mode = On <br>
Далее следует отключить некоторые функции, которые позволяют исполнение команд
на сервере и получение информации об объекте атаки. Например, функция phpinfo()
выдаст хаксору практически всю информацию о веб-сервере и установленных компонентах
для успешной атаки: <br>
disable_functions = system,cmd,passthru,phpinfo <br>
Если все-таки необходимо использовать функции для исполнения системных команд:
<br>
$cmd=escapeshellcmd($string); <br>
И еще. Если ты управляешь личным колокейшеном, то желательно настраивать PHP для
каждого конкретного vhost в апаче. Там можно указать ограничения и что-то вроде
chroot. Но об этих настройках (апач+пхп) читай на www.opennet.ru. Также для всех
скриптов можно сделать так, чтобы они выполнялись под UID ом пользователя, а не
под правами apache. Это так называемый suexec, но для реализации этой фишки нужно
патчить апач, а точнее закомментировать некоторые строки в сырцах и перекомпилить.
Конечно, нельзя забывать вовремя обновлять софт после каждого релиза. А ведь сейчас
очень много веб-серверов, которые до сих пор используют PHP версий 4.0.2-4.0.7,
подверженных уязвимости, для которой командой TESO (7350fun) был выпущен эксплоит.
О нем мы уже писал в статье Top10 exploits. <br>
А что же делать, если твой сервер все-таки похакали, и на главных страницах всех
сайтов появился обнаженный Билл Гейтс? Изучай access.log апача и ищи скрипт, через
который тебя похакали. Ищи в нем ошибку и патчь. Если тебя будут хакать часто,
то ты можешь стать kewl-программером на пхп, так как будешь сходу искать ошибки.
Ну или просто отключишь сервер на фиг, если не будет получаться ;).<br>

Дата публикации: 02/04/2015
Прочитано: 6907 раз
Дополнительно на данную тему:
Защита от hotlinking
Система защиты веб-портала. Часть 1
Система защиты веб-портала. Часть 2
Фильтрация данных в PHP
Методы проверки на правильность заполнения полей
Безопасное программирование на PHP
Советы по защите сайта
Как защитить сайт
Хранение файлов за пределами корневого каталога документов
Безопасность данных

Назад | Начало | Наверх
« Тарифные планы