Проект "Бастион" - комплексное решение по безопасности Joomla! - Безопасность сайтов на Joomla

Проект "Бастион" - комплексное решение по безопасности Joomla!
Draft "Bastion" is a comprehensive solution for security Joomla!

Предлагаю проект "Бастион"
Комплексное решение безопасности Joomla!

предлагаю в этой теме указывать модули, компоненты, хаки (и ссылки на них) которые увеличивают безопасность CMS Joomla!
в будщем возможно объединения этого всего в сборку на основе одной Joomla! LE.

Также приветствуются описание уязвимости компонентов Joomla! с указанием решения данных проблем.
Планируется создание общей базы по проблемным компонентам.

Модуль BackendIPBlocker 1.0 — обеспечивает возможность блокировки доступа в административную панель Joomla по IP.

Системный мамбот ipFilter 1.0 — обеспечивает возможность ограничения доступа пользователей к сайту по IP. Тем пользователям, которым настройками мамбота доступ запрещен выводится offline сообщение.

Joomla Diagnostics — позволяет быстро проверить контрольные суммы файлов оригинального дистрибутива Joomla 1.0.12 и тем самым выявить не полностью закаченные, поврежденные или измененные файлы.

На правах рекламы

Хак "безопасная авторизация для Joomla".

- защита от пассивных атак, т.е. простого прослушивания трафика между пользователем и сайтом с целью перехвата пароля;
- защита от активных атак, т.е. более открытых действий злоумышленника, направленных, к примеру, на захват текущей авторизованной сессии.

Про Security Images не забываем.

Правда мне, например, этот компонент многим не нравится — предпочитаю подключать CAPTCHA вручную (см. например, http://sanrsu.org.ru/administrator/ — пример подключения проекта kcaptcha).
(Если интересно — набросал заметку «CAPTCHA by own strength: Backend login form» — там описано что и где нужно пропатчить)

Посмотрел раздел Seсurity на extensions — кому не лень, добавьте сюда список проектов оттуда с краткими комментариями (у меня сейчас просто времени нет).

Pixy - не совсем для Joomla! но утилита для сканирования php скрипта на предмет возможных уязвимостей.

Joomla Diagnostics - если исходить из описания то на мой взгляд не универсальная вещь т.к. вообще наши условия не предусматривает, т.е. "оригинал" в чистом виде мало кто ставит
а вообще идея правильная вот только "сделать" ее по уму - отрабатанный локально пакет "просканировать" на предмет к.сумм а затем сравнить с залитым на сайт с выдачей протокола расхождений
вот эта была бы фишка

делаю подобное, но дял маленько других нуж
в виде сисбота + компонента

Joomla Diagnostics пишет о прямом доступе к файлам

Вопрос: нужно ли запрещать прямой доступ к файлам:
includes/Cache/Lite.php
includes/domit/xml_domit_rss_shared.php
includes/phpmailer/class.phpmailer.php

Joomla Diagnostics - если исходить из описания то на мой взгляд не универсальная вещь т.к. вообще наши условия не предусматривает, т.е. "оригинал" в чистом виде мало кто ставит
а вообще идея правильная вот только "сделать" ее по уму - отрабатанный локально пакет "просканировать" на предмет к.сумм а затем сравнить с залитым на сайт с выдачей протокола расхождений
вот эта была бы фишка

Сделал я ей  свой файл. На все файлы пишет File is corrupted or has been altered. Вообще если UNIX хостинг и предоставляется ssh и у стоит md5deep то этот Joomla Diagnostics не актуально

Модуль BackendIPBlocker 1.0 — обеспечивает возможность блокировки доступа в административную панель Joomla по IP.

Системный мамбот ipFilter 1.0 — обеспечивает возможность ограничения доступа пользователей к сайту по IP. Тем пользователям, которым настройками мамбота доступ запрещен выводится offline сообщение.

Joomla Diagnostics — позволяет быстро проверить контрольные суммы файлов оригинального дистрибутива Joomla 1.0.12 и тем самым выявить не полностью закаченные, поврежденные или измененные файлы.

smart, подскажи, у меня joostina 1.1.1. BackendIPBlocker 1.0 становится отлично, а вот ipFilter 1.0 отказывается работать. Даже если все ip закрыть, все равно пускает на сайт. Что можна сделать?

watcher, проверь, опубликованы ли системные мамботы и активированны ли они в глобальной конфигурации.

Правда мне, например, этот компонент многим не нравится — предпочитаю подключать CAPTCHA вручную (см. например, http://sanrsu.org.ru/administrator/ — пример подключения проекта kcaptcha).
(Если интересно — набросал заметку «CAPTCHA by own strength: Backend login form» — там описано что и где нужно пропатчить)

Блин, применила хак - теперь в админку не пускает.

Блин, применила хак - теперь в админку не пускает.

Странно. У всех работает. Может быть, что-то не так сделала?

Аналог Diagnostics, но гораздо продвинутей Jcheck.
После первого запуска создает базу хешей всех файлов.
После каждой проверки (можно настроить период через сколько часов проверять) если обнаружены какие либо изменения файлов то админу высылается на мыло отчет о измененых файлах.
Платный.
Могу поделиться нормуль версией.
Производитель http://www.ravenswoodit.co.uk/index.php?option=com_docman&task=cat_view&gid=84&Itemid=13

RequestFilter-Системный мамбот для проверки параметров GET и POST запросов. Просматривает массив $_REQUEST для проверки таких стандартных переменных, как option, task, no_html, itemid, id и т.п. на наличие ссылок. В случае успеха мамбот возвращает код ошибки 403 и останавливает сценарий. Блокирует любые попытки для параметров mosConfig_absolute_path и mosConfig_cachepath через GET и POST запросы.

Аналог Diagnostics, но гораздо продвинутей Jcheck.
После первого запуска создает базу хешей всех файлов.
После каждой проверки (можно настроить период через сколько часов проверять) если обнаружены какие либо изменения файлов то админу высылается на мыло отчет о измененых файлах.
Платный.
Могу поделиться нормуль версией.
Производитель http://www.ravenswoodit.co.uk/index.php?option=com_docman&task=cat_view&gid=84&Itemid=13

А чем он лучше или хуже JoomSuite Defender (http://joomsuite.com/index.php?option=com_resource&view=article&article=18&Itemid=16) ?

Про Security Images не забываем.

Правда мне, например, этот компонент многим не нравится — предпочитаю подключать CAPTCHA вручную (см. например, http://sanrsu.org.ru/administrator/ — пример подключения проекта kcaptcha).

А как не счёт RECAPTCHA http://recaptcha.net/ ?

Я изучал вопрос капч, неделю потратил Почти все капчи легко обходятся роботами, модульна заказ стоит от 200 USD в случае "ну очень" нестандартной картинки. А если усложнять картинку, шумы вводить в большом количестве, то сразу будет нечитаемо для человека.

Оставался единственный способ - или вепрос-ответ, или нестандартная капча, которую только человек сможет пройти.
(Вопрос-ответ - это вроде "Сколько сторон у квадрата", и поле = 4, пока роботы это не научились проходить)

А как нестандартная капча мне понравилась капча, которая ещё и пользу приносит: ReCAPTCHA, у них даже много кода для её имплементации написано под всё http://recaptcha.net/resources.html

Вот пример, как мейл защитить http://mailhide.recaptcha.net/

И мои примеры

это указывается как урл кнопки "послать сообщение"

URL
http://mailhide.recaptcha.net/d?k=015xsM2DVKDr9yV51c9UjUlg==&c=UpUquUDkqKwrIUBegO_ypl9eEylJrLZlARwIWLdvT-A= This URL reveals your email address after the user solves a reCAPTCHA.


это указывается просто куском кода

HTML Code
p<a href="http://mailhide.recaptcha.net/d?k=015xsM2DVKDr9yV51c9UjUlg==&amp;c=UpUquUDkqKwrIUBegO_ypl9eEylJrLZlARwIWLdvT-A=" onclick="window.open('http://mailhide.recaptcha.net/d?k=015xsM2DVKDr9yV51c9UjUlg==&amp;c=UpUquUDkqKwrIUBegO_ypl9eEylJrLZlARwIWLdvT-A=', '', 'toolbar=0,scrollbars=0,location=0,statusbar=0,menubar=0,resizable=0,width=500,height=300'); return false;" title="Reveal this e-mail address">...</a>@bw-photostore.com Paste this code on a site to display your email address like this: p...@bw-photostore.com. When clicking on "..." the user must solve a reCAPTCHA before they can see your email address.

Как думаете, возможно будет ботам это обойти ?
Понятно, что люди обойдут, но люди много не наклацают....

Вот посмотрите довольно не стандартную капчу:
http://www.kyivstar.net/sms/
наберите левый номер телефона и какой-нить текст и нажмите кнопку отправить

Вот посмотрите довольно не стандартную капчу:
http://www.kyivstar.net/sms/
наберите левый номер телефона и какой-нить текст и нажмите кнопку отправить

Такой подход описан вот тут http://captcha.opti-mail.net/ очень толковый автор, к сожалению на 3 имейла так и не ответил, всё пересылалось с разных адресов. Наверное за спам принял

Ещё по капчам есть хорошие мысли вот тут http://deniso.info/?p=23 и тут http://blog.sjinks.org.ua/

Удачи !

Аналог Diagnostics, но гораздо продвинутей Jcheck.
После первого запуска создает базу хешей всех файлов.
После каждой проверки (можно настроить период через сколько часов проверять) если обнаружены какие либо изменения файлов то админу высылается на мыло отчет о измененых файлах.
Платный.
Могу поделиться нормуль версией.
Производитель http://www.ravenswoodit.co.uk/index.php?option=com_docman&task=cat_view&gid=84&Itemid=13

У меня принцип - покупать все используемые компоненты. Можете поделиться версией ? Если будет хороша - куплю...
p.s. Обжёгся тут на RSForms - у них капча на моём сервисе не пашет. Саппорт не помог Что-то там не сложилось - FreeFonts для Mac OS X видимо им как-то не подходит...

UPDATE Не актуально уже, - купил.

Про Security Images не забываем.

Правда мне, например, этот компонент многим не нравится — предпочитаю подключать CAPTCHA вручную (см. например, http://sanrsu.org.ru/administrator/ — пример подключения проекта kcaptcha).
(Если интересно — набросал заметку «CAPTCHA by own strength: Backend login form» — там описано что и где нужно пропатчить)

Оно-то конечно так, только почти все капчи с малым шумом уже обходятся, как я понимаю (немножко тут http://www.securitylab.ru/contest/239642.php)

хех. я вернулся. ) в силу ряда причин достаточно долго отсутствовал на форуме (дела, рутина, работа), но... проекта бастион в полном разгаре. по причине угасания Joomla 1.*, делаю на основе Joostina. текущая версия - бета.

Модуль BackendIPBlocker 1.0 — обеспечивает возможность блокировки доступа в административную панель Joomla по IP.

Системный мамбот ipFilter 1.0 — обеспечивает возможность ограничения доступа пользователей к сайту по IP. Тем пользователям, которым настройками мамбота доступ запрещен выводится offline сообщение.

Joomla Diagnostics — позволяет быстро проверить контрольные суммы файлов оригинального дистрибутива Joomla 1.0.12 и тем самым выявить не полностью закаченные, поврежденные или измененные файлы.

Компонент GuardXT http://extensions.joomla.org/extensions/access-&-security/site-security/7013/details

Вот посмотрите довольно не стандартную капчу:
http://www.kyivstar.net/sms/
наберите левый номер телефона и какой-нить текст и нажмите кнопку отправить

Есть ещё интересное решение, правда о нём упоминали уже, привожу для справки

[вложение удалено Администратором]

Стандартные капчи как-то стали совсем бессмысленными - http://xrumer-palladium.blogspot.com/2009/03/types-recognized-images-hrumer.html

И это самый популярные продукт спаммеров. То есть остаётся пока reCAPTCHA.