Мой сайт взломали
Материал из DiPHOST.Ru wiki system
Schors (Обсуждение | вклад) |
Schors (Обсуждение | вклад) |
||
Строка 6: | Строка 6: | ||
== Как ломают == | == Как ломают == | ||
- | + | ||
- | + | # Загружают на сайт файл с расширением ''.php'' и исполняют его. | |
+ | # Заливают куда-то (находят кто разрешает залить) файл .php начинающийся с GIF89 | ||
и file_info() считает это картинкой. | и file_info() считает это картинкой. | ||
- | + | # Пунктами (1) и (2) грешат всякие javascript редакторы крайне часто. | |
- | + | # подбирают пароль к админке. | |
Что можно и _нужно_ сделать: | Что можно и _нужно_ сделать: |
Версия 10:50, 12 мая 2016
Взлом сайта на сегодняшний день является очень распространенной проблемой. Ломают и самописный сайты, и сайты на CMS с открытым исходным кодом, и коммерческие CMS.
Как ломают
- Загружают на сайт файл с расширением .php и исполняют его.
- Заливают куда-то (находят кто разрешает залить) файл .php начинающийся с GIF89
и file_info() считает это картинкой.
- Пунктами (1) и (2) грешат всякие javascript редакторы крайне часто.
- подбирают пароль к админке.
Что можно и _нужно_ сделать: 1. Найти все места, где точно не может быть .php (например /js/, /css/, /upload/, /images/) и запретить там исполняться .php. Сделать это аккуратно и точно всё проверить. Как запретить? А вот так: http://wiki.diphost.ru/PHPDisable 2. Использовать (там где это возможно и корректно) наши рецепты nginx: http://wiki.diphost.ru/Cookbook_nginx 3. В места, которые авторизуют пользователя на сайт вставить проверку перебора пароля. и давать прогрессирующую задержку на попытку логина. 4. Регулярно использовать: https://revisium.com/ai/ Мы всё внедрить хотим (кпили давно уже), но там с отчетами беда. Запугаем всех пользователей. И диск конечно он в общем случае убивает.