Основной курс по Joomla
0 Пользователей и 1 Гость просматривают эту тему.
  • 43 Ответов
  • 1137 Просмотров
*

Lemady

  • Осваиваюсь на форуме
  • ***
  • 76
  • 3
Доброго времени суток!

Как известно, некоторые скрипты пытаются "пролезть" на сайты, размещенные на том же аккаунте. Мне часто приходится поднимать такие сайты из бекапа, запускать зараженные вредоносами сайты на OpenServer.

Я понимаю, что возможно нужно писать не сюда, но может быть ответ на этот вопрос будет интересен многим. А вопрос такой: как изолировать папки сайтов друг от друга, что бы выполнение вредоноса было невозможно вне корневой директории родительской папки (папки сайта)?
*

Lemady

  • Осваиваюсь на форуме
  • ***
  • 76
  • 3
Почему смысла нет? Я беспокоюсь о том, что в соседние папки может быть что то внедрено. Часто нахожу левые папки там, где их не должно быть. Такое бывает, когда сохраняется файл по неправильному пути.
*

AlekVolsk

  • Профи
  • ********
  • 6301
  • 336
у меня для таких вещей спецом отдельная копия опенсервера поднята
*

Lemady

  • Осваиваюсь на форуме
  • ***
  • 76
  • 3
у меня для таких вещей спецом отдельная копия опенсервера поднята
Нет, ну можно и виртуальную машину отдельно поднять для каждого  сайта. Только вот удобство работы сильно падает.
*

AlekVolsk

  • Профи
  • ********
  • 6301
  • 336
что мешает тупо отдельно папку на харде держать? много места не съедает, спец.настроек не требует, а от скриптов, которые могут полезть по папкам за пределы опенсервера уже никакие настройки не спасут - весь комп прошерстят сразу и внезапно
мораль: почаще бекапируйте всё!
*

SmokerMan

  • Профи
  • ********
  • 5329
  • 689
смысла в этом особо нет по одной простой причине - сами по себе эти скрипты как правило ничего не делают, а делают по какой-то команде
на локалку естественно никто стучаться не будет
ну и просто перед тем как запустить какой-то сайт на локалке надо пройтись хотя бы по файлам айболитом и посмотреть что он найдет, а дальше уже по ситуации
и если стоит антивирь какой-нибудь он тоже должен блокировать это
*

Lemady

  • Осваиваюсь на форуме
  • ***
  • 76
  • 3
Авира стоит, не блокирует. Команда извне...так запуск и по расписанию может быть, и при наступлении какой то даты, и просто при заходе очередного пользователя... Я не поняла, AlekVolsk написал - весь комп прошерстят...неужели до сих пор не изобрели никакого механизма изоляции? Вы серьезно?

Вот еще такой вопрос: а если я в каждой папке с сайтом в .htaccess добавлю что то вроде
php_value open_basedir "/"
Это поможет? Или можно не трогая файлы сайтов в корене, например Е:\OpenServer\domains создать свой htaccess?
*

Lemady

  • Осваиваюсь на форуме
  • ***
  • 76
  • 3
А нельзя сделать разные аккаунты, как, например, на VPS?
*

dmitry_stas

  • Профи
  • ********
  • 9683
  • 933
вы сами отвечали
Нет, ну можно и виртуальную машину отдельно поднять для каждого  сайта. Только вот удобство работы сильно падает.
чтобы реально отделить мух от котлет - то только так

только можно (и нужно, потому что работать на OpenServer это вообще ад какой то) не для каждого сайта, а 1 раз настроить сервер линуксовый на виртуальной машине, и с ним работать
« Последнее редактирование: 05.11.2016, 12:30:14 от dmitry_stas »
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

Taatshi

  • Support Team
  • *****
  • 4792
  • 452
Re: Изолирование папок сайтов на OpenServer
« Ответ #10 : 05.11.2016, 12:31:13 »
Тоже подумывала на эту тему. И выработала себе принцип безпасности.

1) Перезаливаю движок поверх с перезаписью
2) Инспектирую папку libraries на наличие сторонних файлов.

И только потом запускаю сам сайт и начинаю лечение. Ибо остальные виды вирусов вряд ли заработают так, что весь сервер угробят.
ВЕРСТКА, САЙТЫ ПОД КЛЮЧ, УДАЛЕНИЕ ВИРУСОВ, МИГРАЦИЯ НА JOOMLA 3  /  ОТЗЫВЫ 
Минимальная ставка за платные услуги 1000 рэ Связь: telegram - Taatshi, почта - Taatshi на яндексе.
*

voland

  • Профи
  • ********
  • 9383
  • 420
  • Эта строка съедает место на вашем мониторе
Re: Изолирование папок сайтов на OpenServer
« Ответ #11 : 05.11.2016, 12:46:40 »
1) недоступность извне.
Достаточно на роутере не пробрасывать порты и/или запретить в апаче запросы извне
2) запускать сервер от юзера с ограниченными правами
*

dmitry_stas

  • Профи
  • ********
  • 9683
  • 933
Re: Изолирование папок сайтов на OpenServer
« Ответ #12 : 05.11.2016, 13:06:30 »
1) Перезаливаю движок поверх с перезаписью
2) Инспектирую папку libraries на наличие сторонних файлов.

а если заражен шаблон, компонент, плагин, etc?

И только потом запускаю сам сайт и начинаю лечение. Ибо остальные виды вирусов вряд ли заработают так, что весь сервер угробят.

т.е. команда

Код
shell_exec('format c: /q /autotest');

думаешь не причинит вреда? :) я конечно утрирую, но направление думаю понятно. сделай что то типа

Код
echo shell_exec ('dir');

убедись, что команды консоли прекрасно выполняются, сделай выводы :)
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

winstrool

  • Завсегдатай
  • *****
  • 758
  • 39
  • Свободен для работы
Re: Изолирование папок сайтов на OpenServer
« Ответ #13 : 05.11.2016, 13:19:52 »
думаешь не причинит вреда? :) я конечно утрирую, но направление думаю понятно. сделай что то типа

Код
echo shell_exec ('dir');

убедись, что команды консоли прекрасно выполняются, сделай выводы :)

Вот хорошенький вариант))
Цитировать
echo `ls -la`;
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям
*

Taatshi

  • Support Team
  • *****
  • 4792
  • 452
Re: Изолирование папок сайтов на OpenServer
« Ответ #14 : 05.11.2016, 14:53:44 »
dmitry_stas, это все понятно. Но у меня вообще ни разу не было случая чтоб перескакивали вирусы) Это я для собственного спокойствия)

Имхо, автозапуски выполняют рекламные или какие-то еще, конечные функции. Распространяется вирус ботами. На локалку им не попасть.
ВЕРСТКА, САЙТЫ ПОД КЛЮЧ, УДАЛЕНИЕ ВИРУСОВ, МИГРАЦИЯ НА JOOMLA 3  /  ОТЗЫВЫ 
Минимальная ставка за платные услуги 1000 рэ Связь: telegram - Taatshi, почта - Taatshi на яндексе.
*

AlekVolsk

  • Профи
  • ********
  • 6301
  • 336
Re: Изолирование папок сайтов на OpenServer
« Ответ #15 : 05.11.2016, 14:55:04 »
короче, кроме как виртуалки ничего не поможет, да и то: виртуалка должна быть изолированной, без пробросов портов к основной сети
*

dmitry_stas

  • Профи
  • ********
  • 9683
  • 933
Re: Изолирование папок сайтов на OpenServer
« Ответ #16 : 05.11.2016, 15:04:55 »
Но у меня вообще ни разу не было случая чтоб перескакивали вирусы
та это тоже понятно :) вирус специально для OpenServer - попаданий мало, не хотят может заморачиваться. но как сказал «Тот-Кого-Нельзя-Называть», у меня 100 посещений с конверсией 60% :) короче, может быть этого и не будет никогда, но даже 1 раз - может быть очень больно...
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

Taatshi

  • Support Team
  • *****
  • 4792
  • 452
Re: Изолирование папок сайтов на OpenServer
« Ответ #17 : 05.11.2016, 15:27:24 »
Тот-Кого-Нельзя-Называть....  :laugh:

Патсталом)
ВЕРСТКА, САЙТЫ ПОД КЛЮЧ, УДАЛЕНИЕ ВИРУСОВ, МИГРАЦИЯ НА JOOMLA 3  /  ОТЗЫВЫ 
Минимальная ставка за платные услуги 1000 рэ Связь: telegram - Taatshi, почта - Taatshi на яндексе.
*

SeBun

  • Практически профи
  • *******
  • 3086
  • 187
  • @SeBun48
Re: Изолирование папок сайтов на OpenServer
« Ответ #18 : 05.11.2016, 20:41:44 »
А нельзя сделать разные аккаунты, как, например, на VPS?
Можно.

Вариантов решения вашего вопроса много. Можно даже поизвращаться, создав под каждый сайт свою папку с опенсервером, и в настройках php.ini каждого из них прописать open_basedir и отключение небезопасных функций, или действительно поднять виртуалку. Лично я, право, не понимаю, почему до сих пор в опенсервере, который позиционируется как профессиональный инструмент, не реализована защита данных, какое то облачное разделение сайтов...как, например, технология LVE (Lightweight Virtual Environment) в CloudLinux. Вот эта операционка позволяет разделять ресурсы в рамках одного аккаунта. Так же в ней есть инструмент CageFS, который для каждого юзера создает свою файловую систему, что удобно и безопасно. Правда из личной практики частенько в ней ошибки вываливаются, особенно 500-я.

Вообщем что хочу сказать... Имхо конечно, но я соглашусь с dmitry_stas - все таки опенсервер для серьезных дел это как Notepad++ против  PhpStorm ))) Работать можно, но...но...но... Да и скорость у него не высокая, серьезные сайты еле ползают на нем.

Решение - в идеале отдельный комп с Linux на борту, либо поставить Linux второй системой, либо - виртуалка. Лично я не смог полностью перейти на Linux, т.к. нет в ней тех приложений, которые мне нужны, нет простоты, как в Windows. Не знаю, как будет в виртуалке, не пробовал, но в среде Linux сайты работают намного шустрее. Можно замутить, к примеру, Debian с панелью Vesta, она бесплатная. И, особо не заморачиваясь с настройками, работать по правилу: один аккаунт - один сайт.

Если у кого будут другие предложения, рад буду послушать, т.к. не уверен, что предлагаю действительно лаконичное решение.
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Администрирование | Разработка
Ник занят
*

dmitry_stas

  • Профи
  • ********
  • 9683
  • 933
Re: Изолирование папок сайтов на OpenServer
« Ответ #19 : 05.11.2016, 20:52:57 »
Не знаю, как будет в виртуалке, не пробовал, но в среде Linux сайты работают намного шустрее.
с учетом того, что на сайт нагрузки не будет никакой по сути, заметной разницы между виртуалкой и реальным сервером по скорости тоже не будет. даже если и есть, по сравнению с OpenServer все равно как самолет :)
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

voland

  • Профи
  • ********
  • 9383
  • 420
  • Эта строка съедает место на вашем мониторе
Re: Изолирование папок сайтов на OpenServer
« Ответ #20 : 05.11.2016, 21:29:52 »
Кстати, а почему тут еще не было слова vagrant?
*

AlexeyGal

  • Давно я тут
  • ****
  • 328
  • 23
Re: Изолирование папок сайтов на OpenServer
« Ответ #21 : 05.11.2016, 22:13:14 »
Кстати, а почему тут еще не было слова vagrant?

как я понял vargant это выполняет файл конфига, создает виртуальную машину по определенному конфигу.

Разве не проще настроить виртуалку с нужными инструментами для анализа/ремонта и сделать snapshot- состояние виртуальной машины.
SnapShot для это и придуман - чтобы в любой момент создавать изолированные машины настроенные и сразу готовые к работе.
« Последнее редактирование: 05.11.2016, 22:21:44 от AlexeyGal »
*

voland

  • Профи
  • ********
  • 9383
  • 420
  • Эта строка съедает место на вашем мониторе
Re: Изолирование папок сайтов на OpenServer
« Ответ #22 : 05.11.2016, 22:25:26 »
как я понял vargant это выполняет файл конфига, создает виртуальную машину по определенному конфигу.

Разве не проще настроить виртуалку с нужными инструментами для анализа/ремонта и сделать snapshot- состояние виртуальной машины.
SnapShot для это и придуман - чтобы в любой момент создавать изолированные машины настроенные и сразу готовые к работе.
Не, не проще )
*

Филипп Сорокин

  • Практически профи
  • *******
  • 1781
  • 135
Re: Изолирование папок сайтов на OpenServer
« Ответ #23 : 06.11.2016, 02:43:13 »
Цитировать
Нет, ну можно и виртуальную машину отдельно поднять для каждого  сайта
Вот это порно!

Цитировать
как изолировать папки сайтов друг от друга
На Nginx я делаю так:

Код
fastcgi_param PHP_ADMIN_VALUE "open_basedir=${document_root}";

На Apache так:

Код
php_admin_value open_basedir X:/local-server/www/joomla3

Цитировать
Мне часто приходится поднимать такие сайты из бекапа, запускать зараженные вредоносами сайты на OpenServer

ОМГ! Лучше бы блинчики испекли.
Ставь лайк, если согласен, и делай репост!

  => мои публикации
    => мои работы
      => спектр моих услуг
*

Филипп Сорокин

  • Практически профи
  • *******
  • 1781
  • 135
Re: Изолирование папок сайтов на OpenServer
« Ответ #24 : 06.11.2016, 02:47:38 »
Цитировать
все таки опенсервер для серьезных дел это как Notepad++ против  PhpStorm
Не-не-не! Notepad++ рулит. Я даже на Ubuntu себе его запилил, так как линуксовских аналогов вообще нет. Минимализм, обширный функционал, куча плагинов, подсветка синтаксиса любая, какая захочешь. Главное -- клавиатура и писать, и чтоб ничто не отвлекало. Notepad++ шикарно выполняет эту задачу.
Ставь лайк, если согласен, и делай репост!

  => мои публикации
    => мои работы
      => спектр моих услуг
*

Taatshi

  • Support Team
  • *****
  • 4792
  • 452
Re: Изолирование папок сайтов на OpenServer
« Ответ #25 : 06.11.2016, 10:30:30 »
Дык...и PhpStorm ни в одном из перечисленных пунктов не уступает. И еще 2/3 кода сам за тебя пишет. В Notepad++ тоже есть автоподстановка, но все же она какая-то... нелепая. А синхронизация с сервером у Шторма просто бомба.
ВЕРСТКА, САЙТЫ ПОД КЛЮЧ, УДАЛЕНИЕ ВИРУСОВ, МИГРАЦИЯ НА JOOMLA 3  /  ОТЗЫВЫ 
Минимальная ставка за платные услуги 1000 рэ Связь: telegram - Taatshi, почта - Taatshi на яндексе.
*

Lemady

  • Осваиваюсь на форуме
  • ***
  • 76
  • 3
Re: Изолирование папок сайтов на OpenServer
« Ответ #26 : 06.11.2016, 15:20:29 »
ОМГ! Лучше бы блинчики испекли.

Филип, я вам щас минус в репу испеку! ))
Я ж только учусь... Тоесть вы все таки советуете open_basedir ?
*

Филипп Сорокин

  • Практически профи
  • *******
  • 1781
  • 135
Re: Изолирование папок сайтов на OpenServer
« Ответ #27 : 06.11.2016, 15:43:08 »
Цитировать
Тоесть вы все таки советуете open_basedir?

open_basedir в параметрах сервера Nginx или Apache, не в .htaccess, а в контексте директории, задаётся директивой PHP_ADMIN_VALUE (не изменяемая во время исполнения). Затем необходимо запретить 2 функции в php.ini

Код
disable_functions = exec,shell_exec
Ставь лайк, если согласен, и делай репост!

  => мои публикации
    => мои работы
      => спектр моих услуг
*

Филипп Сорокин

  • Практически профи
  • *******
  • 1781
  • 135
Re: Изолирование папок сайтов на OpenServer
« Ответ #28 : 06.11.2016, 15:47:30 »
Дык...и PhpStorm ни в одном из перечисленных пунктов не уступает. И еще 2/3 кода сам за тебя пишет. В Notepad++ тоже есть автоподстановка, но все же она какая-то... нелепая. А синхронизация с сервером у Шторма просто бомба.

Иногда я забываю какие параметры нужно пихать в нативные функции, Notepad++ подсказывает. Тот уровень подстановки меня устраивает. Я не спорю, что Шторм или Сублайм более наворочены, просто Notepad для минималистов типа меня. В остальных редакторах я не могу работать, у меня просто глаза разбегаются от всех этих плюшек.
Ставь лайк, если согласен, и делай репост!

  => мои публикации
    => мои работы
      => спектр моих услуг
*

dmitry_stas

  • Профи
  • ********
  • 9683
  • 933
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций