Мой сайт взломали

Материал из DiPHOST.Ru wiki system

(Различия между версиями)
Перейти к: навигация, поиск
Строка 3: Строка 3:
<meta name="title" content="Мой сайт взломали"></meta>
<meta name="title" content="Мой сайт взломали"></meta>
-
Взлом сайта на сегодняшний день является очень распространенной проблемой. Ломают и самописный сайты, и сайты на CMS с открытым исходным кодом, и коммерческие CMS.  
+
Взлом сайта на сегодняшний день является очень распространенной проблемой. Ломают и самописные сайты, и сайты на CMS с открытым исходным кодом, и коммерческие CMS.  
== Как ломают ==
== Как ломают ==
-
# Загружают на сайт файл с расширением ''.php'' и исполняют его.
+
# Загружают на сайт свой файл с расширением ''.php'' (который уже в свою очередь содержит программу, позволяющую получить полный доступ к аккаунту на сервере) и исполняют его. Это самый распространенный способ взлома. Как загружают? Через неаккуратно написанные куски программ, не проверяющих возможность такой загрузки. В большинстве случаев вы даже не подозреваете, что такие места есть.
-
# Заливают куда-то (находят кто разрешает залить) файл .php начинающийся с GIF89
+
# Как и в предыдущем пункте загружают куда-то (находят кто разрешает залить) файл ''.php'' начинающийся с '''GIF89'''. Большинство программ  на PHP используют функцию file_info() для проверки типа содержимого файла, и она считает это картинкой за счет заголовка '''GIF89'''. Т.е. даже если проверка стоит и разрешены только картинки - сайт будет взломан. Обычно это функции заливки аватарок, смайликов и прочего. Причем, в большинстве случаев вы даже не подозреваете о наличии данного функционала.
-
и file_info() считает это картинкой.
+
# Подбирают пароль к админке. Компьютеры мощные, сеть быстрая, можно делать миллионы попыток много дней - это всё равно делают роботы.
-
# Пунктами (1) и (2) грешат всякие javascript редакторы крайне часто.
+
 
-
# подбирают пароль к админке.
+
== Что можно и _нужно_ сделать ==
-
Что можно и _нужно_ сделать:
 
1. Найти все места, где точно не может быть .php (например /js/, /css/, /upload/,
1. Найти все места, где точно не может быть .php (например /js/, /css/, /upload/,
/images/) и запретить там исполняться .php. Сделать это аккуратно и точно всё
/images/) и запретить там исполняться .php. Сделать это аккуратно и точно всё

Версия 10:57, 12 мая 2016

Взлом сайта на сегодняшний день является очень распространенной проблемой. Ломают и самописные сайты, и сайты на CMS с открытым исходным кодом, и коммерческие CMS.

Как ломают

  1. Загружают на сайт свой файл с расширением .php (который уже в свою очередь содержит программу, позволяющую получить полный доступ к аккаунту на сервере) и исполняют его. Это самый распространенный способ взлома. Как загружают? Через неаккуратно написанные куски программ, не проверяющих возможность такой загрузки. В большинстве случаев вы даже не подозреваете, что такие места есть.
  2. Как и в предыдущем пункте загружают куда-то (находят кто разрешает залить) файл .php начинающийся с GIF89. Большинство программ на PHP используют функцию file_info() для проверки типа содержимого файла, и она считает это картинкой за счет заголовка GIF89. Т.е. даже если проверка стоит и разрешены только картинки - сайт будет взломан. Обычно это функции заливки аватарок, смайликов и прочего. Причем, в большинстве случаев вы даже не подозреваете о наличии данного функционала.
  3. Подбирают пароль к админке. Компьютеры мощные, сеть быстрая, можно делать миллионы попыток много дней - это всё равно делают роботы.

Что можно и _нужно_ сделать

1. Найти все места, где точно не может быть .php (например /js/, /css/, /upload/, /images/) и запретить там исполняться .php. Сделать это аккуратно и точно всё проверить. Как запретить? А вот так: http://wiki.diphost.ru/PHPDisable 2. Использовать (там где это возможно и корректно) наши рецепты nginx: http://wiki.diphost.ru/Cookbook_nginx 3. В места, которые авторизуют пользователя на сайт вставить проверку перебора пароля. и давать прогрессирующую задержку на попытку логина. 4. Регулярно использовать: https://revisium.com/ai/ Мы всё внедрить хотим (кпили давно уже), но там с отчетами беда. Запугаем всех пользователей. И диск конечно он в общем случае убивает.

Источник — «https://wiki.diphost.ru/Hack»

Категория:

Личные инструменты
© 2006 — ООО «Дремучий лес»
Служба техподдержки: support@diphost.ru
Тексты этого сайта являются полностью оригинальными
или оригинальными компиляциями ООО «Дремучий Лес».
Распространяются по лицензии WTFPL
Отзывы о хостинге diphost.ru Отзывы на hostobzor.ru