вторник, 11 сентября 2012 г.

SOS мой блог исчез, кто взломал мой блог???


   Да! И такое тоже бывает. Пришла Вам в голову хорошая идея и Вы ее решили запостить для своих читателей. Заходите приободренный осознанием, что Вам мол есть чем поделиться с читателем, да или просто пользователем Вашего сайта, а тут такое.
А получается, что все банально просто. Используете CMS WordPress, а там как всем известно вход в админ панель по умолчанию /wp-admin/ ну а дальше, дело времени. Представляете: решили Вы рано вечером, да или поздно утром проведать своего питомца т. е. блог (сайт), а там такая...


 И вот сидит за компом очередной "бедный" - юноша бледный, постигающий азы java script, нашел очередной исходник, да подключил словарик по жирней и решил по экспериментировать.

 Ну или желторотый школьник закачал себе брута и в о концовке слил админку. Ну, а что было дальше, даже страшно представить, имея такой шелл. Конечно идя в ногу с техническим прогрессом очень трудно отказаться от CMS, и продолжать изобретать велосипеды, но доступ в панель администратора на моих сайтах осуществляется не ссылкой /Admin/ или /administrator/ и я думаю Вы уже догадываетесь почему.

Регулярно просматривая логи сервера, могу уверенно заявить, что юные пользователи (ну по неопытности) хотят зайти именно в эти папки. И поэтому ю(ных)зверей я отправляю сразу в бан!

Я даже рассмотрел под микроскопом) и описал пример возможной XSS атаки, с использованием XSS уязвимости во Flash роликах на своем сайте: http://master-it.biz/xss-attack-javascript-actionscript.html.

Ну и ладно. Идем дальше.

Для входа в админ панель, я использую две степени защиты: первая реализована средствами PHP, вторая с использованием .htaccess (средствами самого веб-сервера).
Про то, как можно ограничить доступ к панели администратора средствами PHP ну или другого языка программирования я писать не буду, слишком большой объем информации который требует знания ОOП и выходит за рамки этой статьи.

 А вот про то, как можно сделать аутентификацию средствами Web-сервера - с удовольствием поделюсь. И так, если все сценарии администратора лежат к примеру в папке /wadn/ то создаем в этом каталоге файл .htaccess и вписываем туда:
AuthType basic
AuthName 'Sorry man...'
AuthUserFile "/home/bestcatalog.hut4.ru/WWW/asswd/.htpasswd"
Require valid-user 
Ну а теперь, как там говориться все по полкам:
AuthType  -параметр отвечает за тип аутентификации. В данном случая она базовая, а это значит, что при обращении к каталогу появиться окно для ввода логина и пароля.
AuthName  -текст в заголовке окна.
AuthUserFile  -файл в котором находиться база логинов и паролей.
Require valid-user  -означает, что файлы в текущем каталоге смогут открыть только те пользователи, которые прошли аутентификацию.

Остается только создать каталог /asswd/ и поместить в него файл .htpasswd с базой логин:паролей для доступа к админке, такого формата:
login:password
И в завершении всех выше приведенных манипуляций создаем в каталоге с базой /asswd/ еще один файл .htaccess и добавляем в него строки:
Options -Indexes
deny from all
Эта инструкция говорит веб-серверу, что содержимое каталога не должно вообще показываться, и доступ в каталог соответственно запрещен всем. О том, как сделать backup блога на платформе WordPress читайте здесь.

Таким образом можно закрыть еще одну дверь на тупи злоумышленника. А, как мне кажется  само-писный движок это хоть и не гарантия безопасности (имея должный уровень можно взломать и его:) но маленькая шажулечка в ее сторону. Ну коли уж мой бложек (без обложек) находится на blogger.com то опишу стандартный алгоритм для начала
А все очень просто  заходим http://draft.blogger.com, выбираем настройки - старый интерфейс - и еще раз настройки импорт блога выгружаем страницу в формате .xml Далее, что-то при желании можно вытащить из этого файла. Но функционал, как Вы уже догадываетесь очень ограниченный. К сожалению у Вас не сохранятся фото и комментарии. А если Вы блоггер, то комментарии очень важны их нельзя просто потерять. И поэтому нам на помощь идет утилита Blogger Backup. Очень простая и удабная в использовании.
    Взлом веб-сервера это во обще тема отдельная, и вся ответственность должна ложиться на хостера, если конечно это указано в договоре. Можно попробовать застраховаться от форс-мажора:) Так же,  как и взлом аккаунта может произойти, как по Вашей вине, так и вине хостера.
    По этому при работе по ftp, на случай если Вам кто-то подкинет трояна, который используя все те же функции (win api) и сольет пароли (под звездочками), намного безопаснее использовать Linux и gFTP. Ну и естественно у меня дома три компьютера на которых стоят шесть ОС. Три под Линукс, и три под Виндовс. В каждой ОС запушен Апач и имеется папка с рабочим бэкапом. Вы представляете шесть копий приблизительно последних дат и еще две копии на работе.
Звучит конечно малость параноидаль-но, как известно профилактика залог здоровья, в смысле безопасности!
Ну а если, все же произошло, нечто такое, из ряда вон, и у Вас, как на зло еще и умер локальный и единственный хард с бэкапом то:
Как говорил мой наставник по Дзен и прочей Японско-китайской философии "Если в достижении твоей цели встретилась трудность (пусть даже и не вообразимая;) это не, что иное, как верный знак. Добрый-верный знак того, что ты на правельном пути. Не с-сы и продолжай идти. И тебе воздастся!" Но это уже совсем другая история...

Учитесь грамотно постить.
  На голову не забывай расти.
По меньше делай гадости.

И доживешь до старости!

SEMsocial - сообщество людей, которые работают в Интернете! Присоединяйтесь и получайте подарки!

22 комментария:

  1. "как известно профилактика залог здоровья", действительно лучше перестраховаться, чем...). Статья принята, поделешки сделала.

    ОтветитьУдалить
  2. Да если б знать, где упадешь... Сколько блогов сгинуло. А бэкапы не паранойя, так надо, только многие о них вспоминают поздновато.

    ОтветитьУдалить
  3. Молодца, так держать!!!
    Наша скромная компания тебя поддерживает, смотри не сдуйся.
    Но и не забывай о своей основной работе, отпуск уже подходит к концу((
    Да и кто-то:) малость закосячил в тех таблицах, что ты делал, так, что ждем...

    ОтветитьУдалить
  4. Вот какие заморочки с нашими блогами! С ума сойти какую профилактику нужно делать! Бум учиться!Удачки вам!

    ОтветитьУдалить
  5. Ой, я Вам не туда комментарий написала. Удалите, пожалуйста, из Вашего каталога, а то смеяться будут - перешла с аватара.
    Подход более, чем серьезный. Профессионала видно. Наверное, жюри будет учитывать профессионализм. желаю Вам победы!

    ОтветитьУдалить
  6. С удовольствием опубликую Ваш блог в своем каталоге. Считаю, что он будет не менее интересен конечному пользователю!

    ОтветитьУдалить
  7. Интересная статья. У меня такой вопрос. Все сайты подвергаются к взлому? Хоть даже если они не имеют какую-нибудь ценность? А как защитить joomla? Тоже таким образом как вы описали выше.

    ОтветитьУдалить
  8. Ну для начала да. К сожалению идеального кода не бывает:( Скачав движок той-же joomla можно поковыряться в коде и найти уязвимость, и поверьте мне она точно найдется. Поэтому лучше во обще не палить, что вы используете joomla, то есть удалить хотя бы эту надпись с шаблона!

    ОтветитьУдалить
  9. Понятно, спасибо за совет. Постораюсь удалить все заметки о joomla в шаблоне.

    ОтветитьУдалить
  10. В кук-ку.ру увидел ваш анонс и заинтересовался темой.
    На joomla очень много багов, поэтому если у вас серьезный проект, желательно не использовать joomla, так как джумлу взломать очень легко. Лучше заказать самописный движок или пользоваться битриксом.

    ОтветитьУдалить
  11. Лучше семь раз перестраховаться, чем один раз без блога остаться. :-) Спасибо за ценные советы, если бы не конкурс, то некоторых нюансов так и не узнал бы. Еще очень важно правильными паролями защищаться и их изменять периодически. А с такой капчей, как здесь вообще не страшен серый волк, даже комментарий оставить стоит большого труда. ))) Удачи в конкурсе!

    ОтветитьУдалить
  12. И плюс еще модерация! Круто! Если немного доступ упростить, то интересных комментариев будет в блоге больше. ))) А может еще обязательную регистрацию добавить для входа в блог? )))

    ОтветитьУдалить
  13. Мне и самому капча не очень нравится. Ваше замечание принял к сведению, поэтому снес ее к чертям собачим:)
    Так, что комментируйте на здоровье!

    ОтветитьУдалить
    Ответы
    1. Вот это верное решение! Отключите капчу и люди к Вам потянутся)

      Удалить
  14. Как много всего, даже страшно немного становится:-) Добавила вашу статью в закладки, когда будет время почитаю, а то без блога жизнь совсем не та...

    ОтветитьУдалить
  15. Здравствуйте! Решила пройтись по конкурсантам Бухгалтера, прямо в омут с головой. :)
    Разрешите немного Вам поспамить? Хочу пригласить Вас принять
    участие в фотоконкурсе "Замечательный сосед", который проходит сейчас на моем блоге.
    Условия очень простые, призы - заманчивые, номинаций - много, комания - теплая.
    Буду рада видеть Вас в числе участников. :)

    ОтветитьУдалить
  16. Ваша статья заняла призовое место и выиграла 15 $ вышлите кошелек!! =)

    ОтветитьУдалить
  17. Те же манипуляции по защите возможны на wordpress?

    ОтветитьУдалить
  18. Спасибо за полезную статью. Очень информативная статья.

    ОтветитьУдалить
  19. а у меня новый конкурс, порадуете своей работай нас?!

    ОтветитьУдалить