Попытка удалённого включения файла, RS Firewall - Общие вопросы по расширениям Joomla

Установлен RS Firewall и включена опция блокировки удаленного включения файлов.

Бывает, что несколько раз в день приходит сообщение:
Страница: сайт/?target_ref=https%3A%2F%2Fyandex.ru%2F&yclid=5442724558343256777
Referer: https://yandex.ru/
Описание: Попытка удалённого включения файла.
Отладочная информация: URI: target_ref=https://yandex.ru/&yclid=5442724558343256777
Совпадение: =https://yandex.ru/&yclid=5442724558343256777

Не пойму, откуда появляются такие переходы, если с Директа ссылка выглядит как сайт/yclid=5442724558343256777 и она не попадает под блокировку (проверял).

Как бы лучше написать на форум или техподдержку компонента

а еще лучше удалить его и не писать никуда

а еще лучше удалить его и не писать никуда

в точку

а еще лучше удалить его и не писать никуда

Почему удалить? Чем плох?

всем. иллюзией безопасности в первую очередь. тем, что вы думаете, что он от чего то защищает. ненужной нагрузкой. та всем.

Аха еще и за деньги))

всем. иллюзией безопасности в первую очередь. тем, что вы думаете, что он от чего то защищает. ненужной нагрузкой. та всем.

Ну так и про любой антивирус можно сказать. Платный или free

Ну так и про любой антивирус можно сказать. Платный или free

Это некорректное сравнение. Антивирус анализирует файлы и потоки информации путем поиска в них известных вирусных сигнатур. Аналогично может работать WAF, анализируя запросы клиента к серверу. Однако ни один антивирус не способен распознавать новые типы угроз до того, как они будут обнаружены самими разработчиками и внесены в базы сигнатур, если только поведение исполняемого кода не будет квалифицировано вредоносным так называемым поведенческим анализом работы приложения.

Вы должны понимать, что волшебной таблетки от всех болезней никогда не существовало и не будет существовать. Как лично я понимаю, как разработчик одной из таких систем, на страже сайта должна стоять как минимум нейронная сеть, способная понимать PHP-код и логику его работы, и определять вредонос не по сигнатурам, как делает это, например, всем известный Айболит, а именно по анализу логики его работы.

Все остальное - это пародия на защиту. Вы можете установить сколь угодно много крутых антивирусов, фаерволов, мегаВафов и т.п., а взломают вас простым перебором уязвимостей движка.

Аха и еще base64  как полезный так и вредный

Ну так и про любой антивирус можно сказать. Платный или free

нет, так нельзя сказать про любой антивирус. антивирус - полезен, а rs firewall - не только бесполезен, так еще и вреден.не используйте варез, обновляйте все своевременно, а эти все расширения "для защиты" выкиньте и никогда не устанавливайте.

Ну что-то типа target_ref=https://yandex.ru добавь в исключения. После этого ссылку в броузер и если не блокируется, то значит правило заработало. У меня такие исключения стоят http://joxi.ru/YmEylXlf0WBjPm

Если понимаешь в регулярках, то можно более качественно настроить. Тот же разработчик предлагает общее правило типа utm_source=(.*&?)

Ну что-то типа target_ref=https://yandex.ru добавь в исключения. После этого ссылку в броузер и если не блокируется, то значит правило заработало. У меня такие исключения стоят http://joxi.ru/YmEylXlf0WBjPm

Если понимаешь в регулярках, то можно более качественно настроить. Тот же разработчик предлагает общее правило типа utm_source=(.*&?)

СПС, то, что надо!

Я бы не сказал, что расширение безполезное и плохое!

Я бы не сказал, что расширение безполезное и плохое!

@kiev Во первых не стоит некропостить.
А во вторых обоснуйте.

Там много полезных функций. Одна из главных - это журнал хакерских вломов и атак. Можно банить по IP и так далее.

https://www.amen.in.ua/mark/chapter-12.html

Там много полезных функций. Одна из главных - это журнал хакерских вломов и атак. Можно банить по IP и так далее.

банить можно и без такой нагрузки
а атаки отследить в логах

Да можно, но там и скан сайта есть, типа интивирус, есть возможность защиты юсера от изменений и много другого.

если бы оно реально работало как заявлено, а так по факту только жрет ресурсы
если есть цель вас взломать, то вас взломают, а так своевременное обновление и чистота компонентов все решают

Да, да!

Да можно, но там и скан сайта есть, типа интивирус, есть возможность защиты юсера от изменений и много другого.

И чем это вам поможет? Пример: не обновили Joomla. Используя известную уязвимость я разместил шелл в папке cache, которая вашим фаерволом не проверяется. Чем вам помогут все те воспетые вами функции?

Я не мастер про, я не разбераюсь.

Я не мастер про, я не разбераюсь.

Это один из вариантов фразы: - Не читал, но осуждаю.. (с) 

Я некого не осуждаю, наоборот хочу сказать, что расширение достойное.

Я некого не осуждаю, наоборот хочу сказать, что расширение достойное.

вам же говорят обоснуйте
и приводят доводы против
где ваши за

Там много полезных функций. Одна из главных - это журнал хакерских вломов и атак. Можно банить по IP и так далее.

Это все делается серверно, любая панель для хостинга такое умеет делать в интерфейсе.
И это будет проходить до инициализации cms, то бишь нагрузки от "хакерских" атак не будет.

Проблема RS Firewall не в том что он делает, а в том когда и где он это делает.

Так, что его удалить?

Какая нагрузка?

Так, что его удалить?

Какая нагрузка?

@kiev Ну смотрите вот так выглядеть "путь" до вывода если стоит RS Firewall (попробую наглядно)
- Сервер
- Joomla
- RS Firewall
- Вывод

1. Настоящие атаки идут именно сервер, до Joomla доходят разве что боты.
2. Даже если вы меня заблокируете в RS Firewall я все равно смогу уронить вам сайт просто продолжая отправлять запросы и Joomla будет каждый раз инициализироваться (включая самые тяжелые ACL запросы)
3. Чтобы вас взломать доходить до Joomla хакеру нет смысла, достаточно ломануть сервак.
4. Сам RSFirewall создает нагрузку и увеличивает время до начала отрисовки страницы, чтобы можно использовать чтобы любой мог уронить вас сайт.
5. Чтобы отбиться от ботов которые пропустит серверная защита достаточно просто иметь актуальные не варезные версии расширений.

Так что бесполезным RS Firewall называют не за то какие функции он выполняет, а за то когда он это делает. принимать какие меры когда CMS уже заработала нет смысла и это только увеличивает нагрузку и уменьшает скорость сайта

Ясно, ну ок. Может и удалю.

Еще ReReplacer за вывод и на скорость влияет.