1. Мы продолжаем публиковать интересные статьи на тему SocialEngine 4. Одна из статей посвящена правильному выбору сервера для вашей социальной сети, а другая содержит советы по увеличению производительности платформы. Также мы добавили большую статью о пользовательских уровнях. Ознакомиться со статьями вы можете в разделе Вопросы и Ответы SocialEngine 4.
  2. Вам кажется, что ваша версия SocialEngine 4, работает медленно?

    Голосуйте. Пишите свою версию системы, железо на чем работает и количество пользователей. Будем увеличивать производительность :-) Подробнее

  3. В связи с участившимися случаями попыток продажи пользователями форума различных "сборок" коммерческих социальных платформ, обычно основанных на SocialEngine 3, вводится новое правило для форума. Запрещается создание тем или размещение в уже созданных предложений о продаже или размещение ссылок на сайты, где происходит продажа "сборок". Пользователи, которые продолжат свою коммерческую деятельность в данном направлении, будут заблокированы. Подробнее.

Как обезопасить свой сайт! (примеры : How To?)

Discussion in 'Прочая Поддержка - Help Requests' started by dream, Dec 14, 2010.

  1. dream Thread starter User


    Offline
    Message Count:
    144
    Likes Received:
    32
    И так посколку отделного раздела по безопастности SE нет, решил написть етот топик ( жутко извеняюсь за орфографию-пишу через транслит....если модераторам не трудно поправьте пожалуйста :cool: )
    И так, рассмотрим буквално основы - АЗЫ Безопасности! :D :cool: (думаю про ЧМОД говорить ненадо :D )

    Такие доволно важние файли на вашем сервере как: .htaccess , .ftpaccess , .htpasswd должни быть (>VPS)

    1(.htaccess) Защита папок SE от внедрения файлов злоумышленниками. {повторюс ддля невнимателних}

    В SE существуют папки, права доступа CHMOD к которым 777 (drwxrwxrwx). Например папка /uploads_user/ Именно эта папка чаще всего подвергается внедрению программ злоумышленников, эксплоитов. Как правило, эксплоиты пишутся злоумышленниками на языке PHP и Perl. Теперь рассмотрим простое, но надежное средство защиты от внедрения подобных программ.
    Создадим файл .htaccess в папке /uploads_user/ со следующим содержимым:
    ___________________________________________________
    <Files ~ "\.(php|php3|php4|pl|cgi)$">
    deny from all
    </Files>

    ______________________________________________________
    В первой строке мы запретили доступ к файлам с расширением *.php, *.pl, *.cgi и т.д. Можно добавлять любые другие типы файлов.
    Строкой "deny from all" мы запретили доступ к файлам, с расширениями, которые указали выше.

    Всё. Теперь для проверки можно загрузить по FTP в папку /uploads_user/ любой файл с расширением *.php (или с тем, что указывали в .htaccess). При заходе по адресу: http://domainname/uploads_user/file_name.php (ссылку изменить на свои данные) сервер сообщит нам о запрете доступа к файлам такого типа. :rolleyes:
    Подобный защитный файл .htaccess универсален. Его можно с успехом применить в папках с правами доступа 777, таких как: /images/, /upload_pluginname/. :)
    ___________________________________________________________________________________

    ---------- Сообщение добавлено в 18:02 ---------- Предыдущее сообщение было в 17:20 ----------

    Защита Админки SE дополнительной авторизацией с помощью .htaccess и .htpasswd. :twisted:

    Создание файла с паролями .htpasswd.
    Файл с паролями создается утилитой htpasswd.exe. Если у вас на установлен сервер Apache, то данная утилита находится в директории с установленным Apache в подкаталоге bin. Используя интерфейс работы с Командной строкой, найдём файл htpasswd.exe в каталоге в веб-сервером Apache. Например, Apache установлен в папку \usr\local\apache, то в Командной строке нужно ввести путь к папке /bin/. Для этого перейдем на диск Z, а затем пишем команду: "cd /usr/local/apache/bin".

    Теперь нужно дать команду на создание файла с паролем. Вводим в командную строку следующее: "htpasswd -cm .htpasswd admin". В данном случае "admin" — логин администратора или пользователя, который будет запрашиваться. "-cm" — это ключи для утилиты. Ключ "с" — указывает, что необходимо создать новый файл с паролями. Если файл с таким именем уже существует, то он будет перезаписан. Ключ "m" — определяет шифрование по алгоритму MD5.

    В ответ, должен появиться запрос на ввод пароля и его повтор. Если все правильно, то в завершении появится сообщение: "Adding password for user admin". В директории /bin/ появится файл .htpasswd, в котором будет находиться строка с именем пользователя и хеш-кодом его пароля. :cool:


    Файл с логином и паролем создан. Далее рассмотрим пример файла .htaccess для защиты Админки.

    Составление файла .htaccess.
    Имея в распоряжении готовый файл .htpasswd с информацией о пользователе, мы можем написать ограничения в файл .htaccess в корневой папке с SE. Рассмотрим пример по защите файла admin_login.php — Вход в Админку SE :
    ________________________________________________________
    <Files admin_login.php>
    AuthName "Доступ только для администратора."
    AuthType Basic
    AuthUserFile /home/user/domainname/html/.htpasswd
    require valid-user
    </Files>
    ______________________________________________________________
    В строку, начинающейся с "AuthUserFile" написать абсолютный путь до файла .htpasswd на сервере (относительный работать не будет).

    Всё. Теперь, при запросе к файлу http://domainname/admin/admin_login.php (ссылку изменить на свои данные) сервер будет запрашивать авторизацию пользователя, информация (логин и пароль) о котором хранится в файле .htpasswd. :cool: :idea1:

    ! На некоторых серверах требуется так же установить защиту на файл .htpasswd. На всякий случай в одной директории с файлом .htpasswd создаем файл .htaccess следующего содержания:
    ___________________________
    <Files .htpasswd>
    deny from all
    </Files>

    __________________________
  2. dream Thread starter User


    Offline
    Message Count:
    144
    Likes Received:
    32
    Готово!

    Теперь, даже при возможном наличии потенциальных уязвимостей ваш сайт защищен. Пусть эта защита несовершенна, но она проста и удобна в использовании, а так же отпугнёт целый ряд злоумышленников.(всяких новичков и нубов точно !=D)
    <кто не понял ето продолжение....всё не поместилос' :D>

    P.S Прошу людей в дополнение етой теми....мне кажется она доволно актуальна.....
    P.S.S Так же прошу помоши у таких людей как: galstuk,Prado,gooos,spartakus,Sewgen ...и других в дополнение етой темы и "делением" своим опытом

    -----Mr.Dream------------
  3. SuperCrash User


    Offline
    Message Count:
    115
    Likes Received:
    4
    У меня вот что написал при вводе http//-----/uploads_user/------.php

    Forbidden

    You do not have permission to access this document.



    Так должно быть?
  4. dream Thread starter User


    Offline
    Message Count:
    144
    Likes Received:
    32
    да....ет означаэт что .htaccess которий в уплоадс_усер запретил виполнение .пхп скриптов.....я наверное немного неправелно кое что написал...короче...если в папку uploads_user незагружаются (вы не загружаете или плагин какойто) файлы .пхп и тд .. тогда ету зашиту можно ставить ( у меня например туда толко фото усеров и видео кидаются .) .....

    ---------- Сообщение добавлено в 19:42 ---------- Предыдущее сообщение было в 19:38 ----------

    я мог не правелно понять вопрос.....если вы сделали ... ето


    а потом как описано ниже ...
    То да ...так должно быть... если есть есё вопроси спрашивайте...
  5. dream Thread starter User


    Offline
    Message Count:
    144
    Likes Received:
    32
    И так продолжаем.....следуюший пункт в нашей программе- ХотЛИНК:twisted:

    Защита от хотлинка (hotlinks) с помощью .htaccess

    Итак. Что такое хотлинк.
    Представьте себе ситуацию: хитрожопый владелец другого сайта не хочет платить лишние баксы своему хостеру и желает сэкономить деньги на бендвиче. Он в буквальном смысле привязывается к одному или нескольким мультимедийным файлам (видео, музыка, етц ) и помещает их на свою страницу. Грубо говоря, хитрожопый овнер использует ваш контент на своем сайте, загружая его со своего. По сути дела хотлинк является кражей интеллектуальной собственности (пафосно звучит), причем вы еще оплачиваете трафик другого сайта.

    Как защитится от таких хитрожопости? Допустим ваш сайт www.vasi.net

    Пропишите нижеследующие строки в файле .htaccess на своем сервере. Таким способом защитимся от хотлинка и средиректим хотлинкующих нас куда-нибудь подальшее файлом idi.html

    Код:
    RewriteCond %{HTTP_REFERER} !^$
    RewriteCond %{HTTP_REFERER} !^http://vasi.net.*$ [NC]
    RewriteCond %{HTTP_REFERER} !^http://www.vasi.net.*$ [NC]
    RewriteCond %{HTTP_REFERER} !^http://vasi.net:80.*$ [NC]
    RewriteCond %{HTTP_REFERER} !^http://www.vasi.net:80.*$ [NC]
    RewriteCond %{HTTP_REFERER} !^http://IP1 САЙТА.*$ [NC]
    RewriteCond %{HTTP_REFERER} !^http://IP2 САйта*$ [NC]
    RewriteRule .*[Jj][Pp][Gg]$|.*[Gg][Ii][Ff]$ http://www.vasi.net/idi.html


    на сайт можно попасть тремя способами: набрав vasi.net, набрав www.vasi.net и набрав, если так удобней , в браузере http://ipadress

    В файлике idi.html можно написать что угодно - повесить консоли, дайлер, ну и просто по-человечески послать хотлинкующих на**й. :mad: :twisted:

    Чтобы предотвратить хотлинк со всех сторонних доменов, и показать им только одну картинку (такая необходимость может возникнуть) напишите в .htaccess следующее:


    RewriteEngine On
    RewriteCond %{HTTP_REFERER} !^http://(www\.)?vasi.net\.com/ [NC]
    RewriteCond %{HTTP_REFERER} !^$
    RewriteRule \.(jpe?g|gif|bmp|png)$ images/nohotlink.jpg [L]

    Файл nohotlink.jpg, лежащий в папке images/ и будет там самая единственная картинка, которую мы покажем.

    Чтобы защитится от хотлинка только от некоторых определенных доменов пропишите в .htaccess следующее:


    RewriteEngine On
    RewriteCond %{HTTP_REFERER} ^http://(www\.)?badsite\.net/ [NC,OR]
    RewriteCond %{HTTP_REFERER} ^http://(www\.)?badsite\.com/ [NC]
    RewriteRule \.(jpe?g|gif|bmp|png)$ - [F]


    Будет возникать ошибочка 403 forbidden. Советую кстати заранее позаботится об обработке ошибок. Пишем в .htaccess следующее


    ErrorDocument 404 http://www.vasi.net/idi.html
    ErrorDocument 403 http://www.vasi.net/idi.html
    ErrorDocument 500 http://www.vasi.net/idi.html


    Это перенаправит все запросы к вашим картинкам на “consolehell.html”, за исключением тех, которые пришли с *yourdomain.com. Чтобы проверить эту установкувы можете пойти на Hotlinking.com и ввести урл картинки, которая теперь у вас под .htaccess. Если картинки не увидите, значит все в порядке.
    А вот так можно перенаправить все запросы к картинкам на http://www.vasi.net/idi.html, за исключение только тех, которые идут с вашего собственного домена vasi.net


    RewriteEngine on
    RewriteCond %{HTTP_REFERER} !^http(s)?://([a-z0-9-]+.)*yourdomain.com:)80)?(/.*)? [NC]
    RewriteRule .*[Jj][Pp][Gg]$|.*[Gg][Ii][Ff]$ http://www.vasi.net/idi.html [L,R]

    Вобщем соблюдайте вышеперечисленные предписания. Помните, не предотвратив хотлинк, можно очень серьезно переплатить своему хостеру :mad:
    ________________________________________
    Mr.dream/;)
  6. sewgen User


    Offline
    Message Count:
    259
    Likes Received:
    40
    My version of SE:
    3.20
    Ну вот такая штука у меня и стоит )))
    Проверить работает ли хотлинк-защита монна - ТУТ
  7. dream Thread starter User


    Offline
    Message Count:
    144
    Likes Received:
    32
    _____ПРОДОЛЖАЕМ :______ВРАГ____САЙТА_--_ЗНАКОМТЕСь______iFrame (iРамка :D)

    Запрет просмотра сайта в iframe.....
    Тут всё очень просто... или исползовать HTML5&SandBox или же в header.php (вроде не ошибся) :rolleyes: ;) вставить:
    -------------------------------------------------------------------------------
    PHP:
    <SCRIPT LANGUAGE="JavaScript">   
      <!--   
      {   
      if (
    self.parent.frames.length != 0)   
      
    self.parent.location="http://www.va6_sajt_tut_vmesto_etogo.ru" 
      
    }   
      
    // -->   
      
    </SCRIPT>
    -------------------------------------------------------------------------
    Mr.Dream

    ---------- Сообщение добавлено в 21:59 ---------- Предыдущее сообщение было в 21:55 ----------

    sewgen, может у вас есть с чем вы можете поделиться.....было бы приятно ;)
  8. SummerResident User


    Offline
    Message Count:
    241
    Likes Received:
    4
    Хм... Спасибо автору темы. Ща поправим ))
  9. sewgen User


    Offline
    Message Count:
    259
    Likes Received:
    40
    My version of SE:
    3.20
    Запрет клика правой клавиши мышки на контенте. :)

    Вставить в header_gobal.tpl
    PHP:


    {literal}
    <
    script language=JavaScript>

    var 
    message="Web Site Protected by Copyrighting !";

    function 
    clickIE4(){
    if (
    event.button==2){
    alert(message);
    return 
    false;
    }
    }

    function 
    clickNS4(e){
    if (
    document.layers||document.getElementById&&!document.all){
    if (
    e.which==2||e.which==3){
    alert(message);
    return 
    false;
    }
    }
    }

    if (
    document.layers){
    document.captureEvents(Event.MOUSEDOWN);
    document.onmousedown=clickNS4;
    }
    else if (
    document.all&&!document.getElementById){
    document.onmousedown=clickIE4;
    }

    document.oncontextmenu=new Function("alert(message);return false")

    </script>
    {/literal}
    dream likes this.
  10. dream Thread starter User


    Offline
    Message Count:
    144
    Likes Received:
    32
    .ftpaccess:D (дурацкое слово *access* почти всегда не правелньно его пишу :oops:)

    Тут опять всё доволно просто ....создаэм файл .ftpaccess
    I pihaem tuda
    ----------------------
    <Limit ALL>
    Allow ваш_IP
    DenyAll
    </Limit>

    ----------------------
    (кто не понял.....таким образом тепер фтп работает толко с вашего IP.....немного подгадим всяким гадам):D:D
    ----------------------------

    -----------------------------------------------------------
    Mr.Dream:idea1:

    .......[SPOILER="RECOMENDATION!"]Вот некоторые простейшие рекомендации, соблюдая которые можно снизить вероятность взлома вашего сайта:
    Не храните пароли в FTP-клиентах
    Даже если пароль зашифрован, то украсть файл содержащий пароль и подставить его в программку, которой он был создан, не составит труда.
    Есть ли FTP клиенты, которые дают доступ к такому файлу только по ключу (например, мастер-пароль), бесплатные и кросплатформенные, я не знаю.
    Если кто-нибудь обнаружит, дайте знать.
    Используйте специальный менеджер паролей
    Выше рекомендовалось не хранить пароли, но не путайтесь. В данном контексте имеется ввиду не FTP-клиент, а специальная программа, функционал которой позволяет сохранять пароли в зашифрованном файле, упорядочивать и организовывать их на своё усмотрение. Данный файл Вы можете открыть только при условии, что помните к нему ключ. Ключом является пароль, которой задаётся отдельно. Согласитесь, легче запомнить один стойкий пароль, чем хранить десятки в разных местах или держать их в голове.
    Примером такой кроссплатформенной и бесплатной программы является keepass.
    Используйте SFTP-соединение
    Обладатели 201 и 301 тарифных планов имеют возможность соединяться по данному протоколу, т. к. тарифные планы включают в себя возможность соединения по SSH(англ. Secure Shell — безопасная оболочка). Прелесть SFTP(англ. SSH File Transfer Protocol защищенный протокол передачи данных) заключается в первой букве аббревиатуры 'SFTP', S - Secure, защищенное соединение. Опуская технические тонкости, происходит следующее: соединяясь по SFTP, вы передаёте всю информацию на сервер, как и до этого по FTP, но в зашифрованном виде. И если некий злоумышленник вдруг перехватит передаваемый вами пароль для авторизации на сервере, то прочитать его не сможет, т. к. он зашифрован.[/SPOILER]


    ---------- Сообщение добавлено в 22:21 ---------- Предыдущее сообщение было в 22:10 ----------

    мелоч а приятно =d

Share This Page

All rights reserved SocEngine.ru ©