| |
|
|
| | Создал один из своих сайтов (интернет-магазин цифровых товаров) и, видимо, этим перешёл кому-то дорогу.
Вот уже месяца 3-4 назад сделал к сайту ещё и форум. С самого начала на форуме начал спамить один и тот же человек (в темах пишет какие-то символы непонятные), я естественно все эти темы удаляю... затем он залил на форум через уязвимость эксплоит и после этого мой форум ушёл в иной мир, но и это я исправил и закрыл дыру. Но он до сих пор продолжает спамить...
Сейчас всё гораздо серьёзнее... он залез в папки, на которые стояли права 777 (иначе нельзя) и просто удалил всё их содержимое... всё-всё, в итоге весь мой сайт также покинул наш мир, остался только дизайн, вся база и всё остальное удалилось.
Вопрос, как защитить папки с правами доступа 777 от таких вот ситуаций? Возможно есть какие-то способы, кроме .htaccess ("Deny from all") - этот файл был, но он не спас. | |
| |
|
|
| |
|
|
| |
для: europarks
(16.06.2006 в 13:05)
| | | а куда смотрит ваш хостер? у нас была подобная ситуация. хакера нашли, попугали (он
не нанес материального ущерба). была подключена служба безопасности хостера. к тому
же и у нас и у хостера есть backup'ы, так что восстановление данных не занимало много
времени. | |
| |
|
|
| |
|
|
| |
для: europarks
(16.06.2006 в 13:05)
| | | 1. не делать дырок в коде позволяющих заливать и исполнять на сайте что попало
2. хранить пароль от ФТП в сухом прохладном месте. Избегать прямых солнечных лучей.
думаю, имеет смысл обратить внимание на 1 пункт. | |
| |
|
|
| |
|
|
| |
для: europarks
(16.06.2006 в 13:05)
| | | Файловые права доступа не причём, записать или удалить информацию на сайте через браузер можно только в том случае, если разрешены методы PUT или DELETE, но они всегда отключены, если только их не включают в конфигурационном файле Apache. Скорее всего злоумышленик оставил закладки на сайте и зашёл в последствии через них. После того, как он получает возможность загружать на сайт произвольные файлы - права доступа его не остановит - он просто их изменит. | |
| |
|
|
| |
|
|
| |
для: cheops
(16.06.2006 в 15:26)
| | | А если поставить на папки пароль? | |
| |
|
|
| |
|
|
| |
для: europarks
(16.06.2006 в 16:36)
| | | так он ставится с помощью .htaccess
так что - те же яйца | |
| |
|
|
| |
|
|
| |
для: europarks
(16.06.2006 в 16:36)
| | | Если злоумышленик протащит на хост PHPShell - ему уже ничего не нужно будет, кроме одной странице PHPShell - всё остальное будет ему подконтрольно. Лучше поищите на хостинге нет ли здоровых подозрительных PHP-файлов 50-100 Кб. Кроме того, лучше разрабатывать уникальный код - вероятность его взлома гораздо ниже. | |
| |
|
|
| |
|
|
| |
для: cheops
(17.06.2006 в 00:58)
| | | А если все файлы закодировать Zend Guard? | |
| |
|
|
| |
|
|
| |
для: safe_mod
(17.06.2006 в 09:35)
| | | От удаления или замены на свои это их всё-равно не спасёт... | |
| |
|
|
