Базовые основы безопасности вашей информационной системы

К великому удивлению, за последнюю неделю ко мне обратилось два человека с просьбой «починить последствия хакеров на сайте». Последствия нужно сказать не самые приятные. Это и различные шелл-скрипты, и какие-то хитромудренные попытки построить свои «фермы на клиентских машинах», у одного клиента была попытка вымогательства. А другого даже исключил Яндекс Директ их показа ссылаясь на то, что на сайте имеется вирусный код.

Вычищая весь этот бред, проклиная когда-то ленивых программистов и установщиков надумалось написать основные принципы безопасности. Вас они мало от чего спасут, но если будете соблюдать этот минимум, уже больше шансов на то, что ваши системы не будут взломаны.

Суть взлома.

Нужно понимать, что большая (а порой мне кажется что вся) часть взломов происходит без какого-то смысла. Т.е. взламывают не конкретно вас что бы вам насолить, а просто ищут сайты с уязвимостями по определённым признакам.

1. Пароли.  

В это сложно поверить, но огромное количество взломов основаны на подборе пароля по словарю. Когда у клиента пароль скажем admin@ к пользователю admin…..  Причём такие пароли бывают и от системы управления сайтами, и от FTP и от ssh да парой даже и от более серьёзных вещей. Люди! Очнитесь.

Совет: Придумывайте пароли посложнее. Как минимум такие, что бы не подходили под словарь. Вот пример http://burnis.org/pass/index.php

 2. Тотал командер

Будете смеяться но да, Тотал Его командер один из виновников взломов сайтов на хостинге. Глубоко не вдавался в подробности, но видимо как-то пароли от ФТП подключений в нем хранятся не очень безопасно, и у многих клиентов оказывался на поверке именно этот Тотал Командер с сохранёнными паролями, откуда все различные вирусы (уж не знаю где они их цепляют) выколупывают пароли, а потом заливают всякую бяку на сервера.

Совет: Если на своём компьютере вы не слишком заморачиваетесь секьюрностью постарайтесь избегать использования нелицензионных Тотал Командеров с кряками и хаками.  Используйте тот же Far.

3. Здравый смысл в использовании систем управления сайтами

Здесь огромное количество вещей на самом деле, поэтому постараюсь перечислить основные принципы здравого смысла при собирании веб-сайта

Советы при создании и обслуживании сайтов (это советы для обычных людей со здравым смыслом):

 

  • выключайте или удаляйте модули, которые вам не нужны в сайте. Вполне вероятно, что рано или поздно как раз в этом модуле окажется уязвимость и через него вам наделают зла. А вы их не используете, поэтому сразу и не поймете.
  • выключайте лишнее, то что вам не нужно. К примеру на последнем сайте что мне попался под руку был предустановленный друпал, и была открыта возможность регистрироваться пользователям при том что сайт статический (зачем?) мне пришлось удалить из базы этого сайта 324 000 (триста двадцать четыре спам-пользователя»
  • внимательно используйте формы и все места, где клиент может вводить текст, писать свои е-майлы и другие формы. Это все потенциальные уязвимости
  • обновляйте модули сайта и сам «движок сайта» до новых актуальных версий хотя бы раз в полгода. Более того скажу, часто что бы «вылечить вирус» кроме как удалить лишние файлы достаточно обновить движок сайта до актуальной версии
  • следите за правами на папки и файлы. Очень часто, к примеру на файлах в системе стоят права 777 (можно все), но идёт страховка скажем различными хтаксесами и вот я замечал, что бывают ситуации когда этих самых страховочных хтаксесов нет. 
  • Хорошие пароли сделали от сайта? Молодцы! Теперь сделайте хорошие пароли от БД к этому сайту и от самого хостинга к этому сайту -)

 

На этом пока свой мини-рассказ остановлю, так как устал писать. Да и не понятно есть ли в этом смысл. Люди все равно делаю всегда все по своему. Советы выше пройдены собственным многолетним опытом и опытом клиентов которые обращались помочь и так далее. Основные и самые уязвимости конечно кроются в людях, но об этом в другой раз если наберусь сил.

upd. Где прокси купить ?http://burnis.org/proxy

Submitted byOleg (не проверено)on июля 1, 2014 - 13:36

Мдя... Статья слабовата
А если атака через ftp или подбор паролей через ssh, а если хакер заломал один сайт - как сделать, чтобы до других не добрался в принципе?
А зачем генерировать пароли, когда авторизация по ключам в разы надежней?

Вот статьи получше
http://web-server.pro/blog/bezopasnost-servera-dlya-hostinga/
http://web-server.pro/blog/ispmanager-defaults/

Статья для обычных пользователей шаред-хостингом с обычными сайтами. Для того что бы учесть самые первые шаги.

Остальное что вы пытаетесь затронуть уже относится к специалистам несколько по выше и совсем других задачах. Ну и у вас затрагивается в статьях безопасность сервера. Если софт, который к вам зальют будет дырявым или не настроенным то и безопасность превратится в "безопасность" -))

Добавить комментарий

Содержимое данного поля является приватным и не предназначено для показа.

Filtered HTML

  • Допустимые HTML-теги: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type='1 A I'> <li> <dl> <dt> <dd> <h2 id='jump-*'> <h3 id> <h4 id> <h5 id> <h6 id>
  • Строки и абзацы переносятся автоматически.
  • Адреса веб-страниц и email-адреса преобразовываются в ссылки автоматически.