Форум русской поддержки Joomla!® CMS
09.12.2016, 15:40:40 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1] 2  Все   Вниз
  Добавить закладку  |  Печать  
Автор

Защита Joomla 2.5 от взлома: думаю это помогает, но ч

 (Прочитано 29728 раз)
0 Пользователей и 1 Гость смотрят эту тему.
aswer
Осваиваюсь на форуме
***

Репутация: +4/-0
Offline Offline

Сообщений: 30



« : 13.04.2013, 13:40:34 »

Ломанули несколько сайтов на оджном аккаунте. Начал искать способы избежать подобных неприятностей в будущем.
Вот мой вариант (он не полный, так как в конце моего топика у меня есть вопросы)
1.   Обновить CMS до последней версии
2.   Обновить все расширения до актуальных версий
3.   Создать файл .htaccess
Показать текстовый блок
Отличается от стандартного. Добавлены строки 69-88
4.   Включить стандартный SEF, либо стороннее ЧПУ
5.   ---
6.   Удалить признаки Joomla:
В версии 2.5 идем по пути: ВАШ_САЙТ/libraries/ Joomla /document/html/renderer/ и в файле head.php находим 99 стр.:
$buffer .= $tab . '<meta name="generator" content="' . htmlspecialchars($generator). '" />' . $lnEnd;  комментируем или удаляем.
7.   Сменить префиксы в БД и файле configuration.php
8.   Удалить не нужные шаблоны, модули, компоненты и плагины (а также их папки и языковые файлы в админке и корне, ну и оставшиеся таблицы в БД, если остались)
9.   Заменить JCE (плагины, компоненты), удалить папки и файлы (admin/languages/Ru-ru – 5 файлов JCE +файлы шаблонов админики) и (languages – файлы JCE + файлы шаблонов)
10.   Создать файл .htaccess (папка-2), запрещающий выполнение скриптов и добавить его во все папки в корне сайта (защита от Бекдора).  Содержимое файла:
<Files ~ ".(php)$">
Deny from all
</Files>
11.   Вынести файл configuration.php за пределы www-директории (у некоторых она называется public_html). Для этого копируем его за ее пределы, возможно рядом с ней, переименовываем например его в "joomla.conf" (это к примеру), а в том, что должен быть в корне Joomla (он будет называться все также - configuration.php) пишем нечто вроде этого:
require( dirname( __FILE__ ). '/../joomla.conf' );
?>
12.   Установить компонент Admin Tools – сменить ID администратора, с его помощью или в ручную очистить содержимое папки tmp (в корне сайта). С его же помощью можно изменить префиксы таблиц и с помощью сервера закрыть прямой доступ к панели администратора.
13.   Создать сложный логин и пароль доступа (Super User) в панели доступа администратора.
14.   Если не на сайте используется модуль регистрации пользователей, то лучше удалить файлы, которые отвечают за восстановление пароля и его сброс. Можно удалить или всю папку com_user (которая находится по пути ВАШ_САЙТ/components) или отдельный файл, отвечающий за сброс - reset.php. Этот файл находится по пути ВАШ_САЙТ/components/com_user/models.
15.   Установить права на файлы и папки: на файлы, которые находятся в корневой директории 444, на папки в корневой директории ставят 755, на папки tmp и logs ставят 705, на папку своего шаблона поставьте 555, на папку image/stories можно поставить 755, на папку Cache 777.
16.   В настройках PHP вашего хостинга нужно запретить работать с удаленными файлами как с ссылками (allow_url_fopen = Off), содержимое файла которое пытались загрузить ни что иное как Shell при помощи которого взломщики получают доступ к вашему сайту через удаленный шелл, даже не загружая его на ваш сайт.
17.   Читал, что есть вариант запрета выполнения скриптов в корне сайта (но у меня не работает тогда админка). Добавить в файл .htaccess код:
<IfModule mod_php5.c>
php_flag engine 0
</IfModule>
18.   Еще есть вопросы по защите таких директорий как images, media и templates.

Что еще я упустил?

Записан
Ingener
Завсегдатай
*****

Репутация: +10/-5
Offline Offline

Сообщений: 561


« Ответ #1 : 13.04.2013, 22:52:16 »

9.   Заменить JCE (плагины, компоненты), удалить папки и файлы (admin/languages/Ru-ru – 5 файлов JCE +файлы шаблонов админики) и (languages – файлы JCE + файлы шаблонов)

Объясни этот пункт, чем JCE не угодил? у меня на всех сайтах стоит. и есть ли альтернатива?
Записан
Rex_One
Завсегдатай
*****

Репутация: +35/-0
Offline Offline

Пол: Мужской
Сообщений: 468


« Ответ #2 : 13.04.2013, 22:54:28 »

Видимо имеется ввиду тотальное удаление JCE для удаления возможных дыр, которые могли остаться от предыдущих версий.
Типа того.
Записан
wishlight
Профи
********

Репутация: +201/-1
Offline Offline

Пол: Мужской
Сообщений: 3491


skype aqaus.com


« Ответ #3 : 13.04.2013, 22:56:13 »

Делайте на HTML . Безопасно.
Записан
ELLE
Support Team
*****

Репутация: +862/-0
Offline Offline

Пол: Женский
Сообщений: 4723



« Ответ #4 : 13.04.2013, 23:03:59 »

Цитировать
4.   Включить стандартный SEF, либо стороннее ЧПУ
- чем это поможет? запросы с параметрами будут работать как и прежде

Цитировать
6.   Удалить признаки Joomla:
во-первых хак. во-вторых никак не поможет и к теме не относится

Цитировать
14.   Если не на сайте используется модуль регистрации пользователей, то лучше удалить файлы, которые отвечают за восстановление пароля и его сброс.
а как юзерам пароль восстанавливать-то?
Записан
wishlight
Профи
********

Репутация: +201/-1
Offline Offline

Пол: Мужской
Сообщений: 3491


skype aqaus.com


« Ответ #5 : 13.04.2013, 23:08:39 »

В Joomla 2.5 вроде как запрещено восстановление пароля администратора на емайл. Или только у меня так?
Записан
Ingener
Завсегдатай
*****

Репутация: +10/-5
Offline Offline

Сообщений: 561


« Ответ #6 : 14.04.2013, 08:26:15 »

У нас в городе почти у всех провайдеров плавающий айпи, отключив нет и войдя снова, вас уже на сайт не пустят
Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2659


step by step


« Ответ #7 : 14.04.2013, 08:37:54 »

Цитировать
на папку Cache 777
И будет дыра. Ставлю 755 и все работает
Цитировать
на папку image/stories можно поставить 755
а как по другому, 777 ?
п.с.
Эт для виртуального хостинга.
« Последнее редактирование: 14.04.2013, 08:54:39 от draff » Записан
aswer
Осваиваюсь на форуме
***

Репутация: +4/-0
Offline Offline

Сообщений: 30



« Ответ #8 : 14.04.2013, 09:08:45 »

И еще по поводу директорий media, templates и media я имел ввиду, может помимо выставления прав вложить .htaccess с содержимым препятствующим выполнение сторонних скриптов?
Записан
zikkuratvk
Профи
********

Репутация: +258/-2
Online Online

Пол: Мужской
Сообщений: 3938


Разрабатываем для Joomla


« Ответ #9 : 14.04.2013, 09:12:45 »

скажу честно 90% советов приведенных в статье либо не поможет, либо принесет вред сайту. (особенно компоненты безопасности и запреты выполнения скриптов с выносом конфигов)
Остальные 10% на на столько избиты и элементарны, что о них даже говорить не стоит.
Записан
zikkuratvk
Профи
********

Репутация: +258/-2
Online Online

Пол: Мужской
Сообщений: 3938


Разрабатываем для Joomla


« Ответ #10 : 14.04.2013, 09:13:56 »

Большую часть взломов которые я видел это были через JCE, но лекарство от этого это обновление :-)
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3537


« Ответ #11 : 14.04.2013, 09:49:01 »

очередная паранойя  Grin
вы поставьте все что можно из имеющихся "псевдо зщит" которые есть на Joomla и спите спокойно, только все ставьте  Yes!

все намного проще, перезагрузите свой пк в голове, очистите от избыточных страхов и паранойи, все делается на уровне сервера плюс на сайте минимально через htaccess, остальное бред "сивой кобылы", все плагины защиты, с помощью их сайт не защитить на 100% только нагрузить сервер и поставить возможные дыры которые могут появиться в будущем
и что у всех за бредовые мысли и поиск облегчения
1 вы ставите якобы защиты и думаете спасти сайт этим
2 за ними надо следить обновлять и прочее
3 почему вы не поймете что приходит время для просто админов сайтов, что требуется следить за сайтом и уже вот вот такие люди появятся на зп практически у всех сайтов, они как админ сети становятся просто необходимы
4 если вы следите за этими защитами, то вопрос, а что нельзя было раньше и всегда следить и обновлять сразу все расширения
5 не ищите легких путей, все тропы исхожены до вас, и то что вы сейчас напихаете вам же потом будет мешать даже в простой чистке если будет зарожение

имхо
"совет бесплатный, хочешь слушай, хочешь нет"
не используйте из того что есть для Joomla расширений по защите, с помощью их вы ни чего не защитите, а те же их плюсы как многие пишут их нет они делают то что можно делать самим руками, тот же префикс бд сменить и ид суперпользователя можно и ручками без дополнительной дыры к бд, еще многие dumper на сайтах бросают, а им надо пользоваться только залил выгрузил удалил, а он у них на сайте воляется как должное, и много глупостей сами делают, и потом бред начинается, варьеза на ставят и голову потом себе и окружению захломляют

Записан
aswer
Осваиваюсь на форуме
***

Репутация: +4/-0
Offline Offline

Сообщений: 30



« Ответ #12 : 14.04.2013, 09:55:39 »

2flyingspook
Вопрос действительно актуальный, если ты действительно знаешь в этом толк дай конкретные советы с примерами.
Думаю, многие будут тебе очень и очень признательны. Судя по твоей репутации (+121), человек ты действительно знающий.
Записан
zikkuratvk
Профи
********

Репутация: +258/-2
Online Online

Пол: Мужской
Сообщений: 3938


Разрабатываем для Joomla


« Ответ #13 : 14.04.2013, 10:01:27 »

по моему дали вполне нормальный совет... не ставить всякую хрень.
Обновлять сайт вовремя.
И не оставлять явных дыр самому.
Записан
aswer
Осваиваюсь на форуме
***

Репутация: +4/-0
Offline Offline

Сообщений: 30



« Ответ #14 : 14.04.2013, 10:24:03 »

Совет то действительно правильный, но многие кто сейчас общаются в разделе "Безопасность" уже давно не ставят всякой хрени (в том числе вареза) на свои сайты и обновляются вовремя. Однако это не всегда видимо помогает, поэтому они и пытаются найти ответы на свои вопросы чтобы защитить свои сайты. Но просмотрев большую часть этого раздела я так и не смог найти не одной темы, где бы действительно были даны действенные советы, а большинство вот таких
Цитировать
по моему дали вполне нормальный совет... не ставить всякую хрень.
Обновлять сайт вовремя.
И не оставлять явных дыр самому.
Не в обиду, но пользы от таких топиков не много.
« Последнее редактирование: 14.04.2013, 10:29:51 от aswer » Записан
zikkuratvk
Профи
********

Репутация: +258/-2
Online Online

Пол: Мужской
Сообщений: 3938


Разрабатываем для Joomla


« Ответ #15 : 14.04.2013, 10:57:59 »

Не в обиду, но пользы от таких топиков не много.
Оставьте... 95% сайтов которые я видел взломанных.
Были с варезом.
ИЛИ
Не обновлялись компоненты и Joomla по пол года а то и год.

Вывод такой если вовремя обновляться и не ставить варез, то вы в шоколаде. Остальное больше даже от хостера зависит чем от вас.
Если хостер требует прав на папку 777 то чего сделаешь косяк :-) от такого хостера тикать надо, а не заниматься настройкой безопасности Joomla.
Записан
Go-destroy
Давно я тут
****

Репутация: +4/-1
Offline Offline

Пол: Мужской
Сообщений: 222



« Ответ #16 : 24.05.2013, 19:42:43 »

вместо этого
Цитировать
<Files ~ ".(php)$">
Deny from all
</Files>
можно просто в корень добавить

Цитировать
## Блокирование прямого доступа к ядру
RewriteCond %{REQUEST_FILENAME} -f
RewriteCond %{REQUEST_URI} \.php|\.ini|\.xml [NC]
RewriteCond %{REQUEST_URI} \/components\/ [OR]
RewriteCond %{REQUEST_URI} ^\/includes\/|^\/administrator\/includes\/ [OR]
RewriteCond %{REQUEST_URI} \/language\/ [OR]
RewriteCond %{REQUEST_URI} \/libraries\/ [OR]
RewriteCond %{REQUEST_URI} \/modules\/ [OR]
RewriteCond %{REQUEST_URI} \/plugins\/ [OR]
RewriteCond %{REQUEST_URI} \/templates\/ [OR]
RewriteRule ^(.*)$ index.php [R=404,L]
« Последнее редактирование: 24.05.2013, 21:11:38 от Go-destroy » Записан
Go-destroy
Давно я тут
****

Репутация: +4/-1
Offline Offline

Пол: Мужской
Сообщений: 222



« Ответ #17 : 24.05.2013, 19:44:02 »

еще думал вот так
Цитировать
Цитировать
## Блокирование прямого доступа к ядру
RewriteCond %{REQUEST_FILENAME} -f
RewriteCond %{REQUEST_URI} \.php|\.ini|\.xml [NC]
RewriteCond %{REQUEST_URI} \/components\/ [OR]
RewriteCond %{REQUEST_URI} ^\/includes\/|^\/administrator\/includes\/ [OR]
RewriteCond %{REQUEST_URI} \/language\/ [OR]
RewriteCond %{REQUEST_URI} \/libraries\/ [OR]
RewriteCond %{REQUEST_URI} \/modules\/ [OR]
RewriteCond %{REQUEST_URI} \/plugins\/ [OR]
RewriteCond %{REQUEST_URI} \/templates\/ [OR]
RewriteCond %{REQUEST_URI} \/images\/ [OR]
RewriteCond %{REQUEST_URI} \/tmp\/ [OR]
RewriteCond %{REQUEST_URI} \/cli\/
RewriteRule ^(.*)$ index.php [R=404,L]

ну я не знаю верно ли это? кто подскажет?
« Последнее редактирование: 24.05.2013, 21:11:52 от Go-destroy » Записан
rewuxiin
Завсегдатай
*****

Репутация: +38/-6
Offline Offline

Сообщений: 574


« Ответ #18 : 24.05.2013, 20:58:08 »

у меня два магазина стоит на сервере. сервер стоит за фаерволом керио, посему происходит логирование каждой ссылки.
по статистике, за 2 года, сайты банально брутят (подбираю логин и пароль) через админку, для этого ставим простой бесплатный,
http://extensions.joomla.org/extensions/access-a-security/site-security/login-protection/22982?qh=YToxOntpOjA7czo2OiJiZnN0b3AiO30%3D
от большинства "калек" считающих себя кулхацкерами отобьетесь, а вот если вас действительно с умом захотят сломать, вам врядли посможет что-то из стандартных способов

пытаются ещё забросать пакетами 110 порт дабы забить канал, но это уже другая история.
Записан
Go-destroy
Давно я тут
****

Репутация: +4/-1
Offline Offline

Пол: Мужской
Сообщений: 222



« Ответ #19 : 24.05.2013, 21:12:56 »

у меня два магазина стоит на сервере. сервер стоит за фаерволом керио, посему происходит логирование каждой ссылки.
по статистике, за 2 года, сайты банально брутят (подбираю логин и пароль) через админку, для этого ставим простой бесплатный,
http://extensions.joomla.org/extensions/access-a-security/site-security/login-protection/22982?qh=YToxOntpOjA7czo2OiJiZnN0b3AiO30%3D
от большинства "калек" считающих себя кулхацкерами отобьетесь, а вот если вас действительно с умом захотят сломать, вам врядли посможет что-то из стандартных способов

пытаются ещё забросать пакетами 110 порт дабы забить канал, но это уже другая история.
admiaxle обновленый получше будет)
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 727


Свободен для работы


« Ответ #20 : 19.06.2013, 14:17:41 »

И еще по поводу директорий media, templates и media я имел ввиду, может помимо выставления прав вложить .htaccess с содержимым препятствующим выполнение сторонних скриптов?
17.   Читал, что есть вариант запрета выполнения скриптов в корне сайта (но у меня не работает тогда админка). Добавить в файл .htaccess код:
<IfModule mod_php5.c>
php_flag engine 0
</IfModule>
вот этот вариант какраз и поможет! если этот файл положить в корень папки а не сайта!, как таковой файл с php сценарием можно будет залить, но он не будет выполняться, будет как обычный текстовый файл.
Записан
ChaosHead
Профи
********

Репутация: +382/-10
Online Online

Пол: Мужской
Сообщений: 4397



« Ответ #21 : 19.06.2013, 14:24:20 »

По моему мнению, добрая часть взломов сайтов происходит через заражение компьютера владельца сайта трояном и кражу пароля от ftp.

А потом владелец сайта ищет в своих сайтах кривые компоненты и придумывает защиты.

Поэтому совет: поставить на компьютер проверенный регулярно обновляемый антивирус и соблюдать меры безопасности, например не хранить сохраненные пароли от ftp. И он куда более актуален, чем например "Сменить префиксы в БД", которые Joomla 2.5 и так при установке рандомно генерирует.
« Последнее редактирование: 19.06.2013, 14:29:38 от ChaosHead » Записан
Mihanja80
Практически профи
*******

Репутация: +167/-4
Offline Offline

Пол: Мужской
Сообщений: 1981


Всю жизнь учусь...


« Ответ #22 : 19.06.2013, 14:30:36 »

Большая часть да, но меня через редактор видимо ломанули, так как ftp сервер я у себя совсем отключил а вот вовремя не обновлялся...
Записан
AlexSmirnov
Практически профи
*******

Репутация: +272/-16
Offline Offline

Пол: Мужской
Сообщений: 1935


Ищите и найдете


« Ответ #23 : 19.06.2013, 14:48:07 »

Автору темы +1.

Многие из его пунктов упоминаются на документации по безопасности на официальном веб сайте по ссылке http://docs.joomla.org/Security_Checklist
Записан
oshpz
Осваиваюсь на форуме
***

Репутация: +5/-0
Offline Offline

Пол: Мужской
Сообщений: 165



« Ответ #24 : 20.06.2013, 13:59:29 »

Цитировать
Делайте на HTML . Безопасно.

К сожалению это больше не так. Сейчас существуют техники взлома через уязвимости называемые DOM XSS. Любое использование на странице JavaScript ставит под угрозу безопасность вашего сайта.

Можно посоветовать не ставить бездумно всевозможные расширения, и главное не использовать код на своем сайте найденный на просторах Интернета Azn
Записан
likrion
Завсегдатай
*****

Репутация: +127/-2
Offline Offline

Пол: Мужской
Сообщений: 752



« Ответ #25 : 21.06.2013, 04:01:44 »

самый верный способ отсекать попытки взлома на уровне сервера (403), с первого запроса вас не взломают, надо не дать сделать последующие, - IP в ban и все, при первом же прямом обращении к ядру или xss или к админке.. не подставляйте 'Вторую щеку' после первого удара.
Записан
aspidy
Живу я здесь
******

Репутация: +55/-1
Offline Offline

Пол: Мужской
Сообщений: 1072


Миграция joomla 1.0-1.5-2.5


« Ответ #26 : 21.06.2013, 08:01:22 »

самый верный способ отсекать попытки взлома на уровне сервера (403), с первого запроса вас не взломают, надо не дать сделать последующие, - IP в ban и все, при первом же прямом обращении к ядру или xss или к админке.. не подставляйте 'Вторую щеку' после первого удара.
Ядро как раз таки и не ломают, ломают сторонние расширения, магазин, JavaScript и файлы хостера. И самое распространенное - это взлом компьютера админа. Сапа и варез - это совсем открытые ворота.
Записан
likrion
Завсегдатай
*****

Репутация: +127/-2
Offline Offline

Пол: Мужской
Сообщений: 752



« Ответ #27 : 21.06.2013, 08:45:45 »

говоря ядро, я подразумевал прямое обращение к файлам сайта вне фронта,

вот один из примеров отловленных в логах
  •        
  • Отключено   bitrix/admin/    
  • Отключено   bitrix/admin/index.php?lang=en    
  • Отключено   blocks/       
  • Отключено   connectors/lang.js.php       
  • Отключено   engine/engine.php    
  • Отключено   fpw.php       
  • Отключено   gallery/       
  • Отключено   images/img.php       
  • Отключено   images/sh.php       
  • Отключено   images/wso.php       
  • Отключено   includes/backup.php       
  • Отключено   includes/wso.php       
  • Отключено   jquery/jquery.php

как я считаю, логичным будет заблокировать IP fllhtc сразу после первого подобного запроса, дабы исключить все дальнейшие попытки найти дырку или как видно из логов, найти shell WSO2.  Вариант конечно не 100%, но для того чтобы найти уязвимость на сайте, взломщик потратит не одну сотню прокси....
Записан
Ingener
Завсегдатай
*****

Репутация: +10/-5
Offline Offline

Сообщений: 561


« Ответ #28 : 21.06.2013, 09:54:52 »

а как заблокировать сразу? и к тому же они с разных IP лезут
Записан
Ingener
Завсегдатай
*****

Репутация: +10/-5
Offline Offline

Сообщений: 561


« Ответ #29 : 21.06.2013, 09:55:12 »

мочить говнюков в сортире
Записан
Страниц: [1] 2  Все   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet