7 советов по оптимизации безопасности Joomla! - страница 2 - Безопасность сайтов на Joomla

А у меня почему то после замены префикса, не производится запрос с скопорванным текстом базы, пишет #1007 - Can't create database; database exists. В чём может быть дело?

C чем-чем? Не понято ничего...

Значит что-то сервер не кушает - последовательно комментируйте каждую строчку и найдите ту, которая вешает сервер. У меня такое тоже было, кажется, вот это:

Код

RewriteCond %{QUERY_STRING} CONFIG_EXT([|%20|%5B).*= [NC,OR]

# Блокируем любой скрипт, который пытается установить CONFIG_EXT (баг в com_extcal2)
RewriteCond %{QUERY_STRING} CONFIG_EXT([|%20|%5B).*= [NC,OR]

для запрета(Железобетонного ) доступа к админке, создать файл .htaccess вставляем строчки

Order Deny,Allow
Deny from all
Allow from 000.000.00.0 где нули IP админа
Размещаем файл .htaccess в папку administrator

ну у большинства динамический IP же.. или подсеть?

Измените установленный по умолчанию префикс (jos_) к таблицам в базе данных
Большинство SQL инъекций, которые написаны для взлома сайтов на Joomla! пытаются получить данные из таблицы jos_users. Таким образом, они могут получить имя пользователя и пароль для супер администратора сайта. Изменение стандартного префикса оградит вас от (большинства / всех) SQL инъекций.

• "они могут получить имя пользователя и пароль для супер администратора сайта" т.к. пароль в открытом виде в БД не хранится, а в полученном из БД виде он бесполезен.
• если доступ к базе данных УЖЕ получен, нет смысла читать из нее имя и пароль (которого там нет) суперадмина, проще прописать свой логин и свох хэш пароля в запись суперадмину, а потом зайти под ними.
• смысла менять префикс таблиц вообще никакого нет, т.к. если уж есть доступ на чтение БД, то имена таблиц (вместе с вашими "хитрыми" префиксами) запрашиваются элементарно

Если уж на то пошло, то даже дефолтная установка mod_sequrity повысит защиту от взлома на несколько порядков.

Довольно странные утверждения:

• "они могут получить имя пользователя и пароль для супер администратора сайта" т.к. пароль в открытом виде в БД не хранится, а в полученном из БД виде он бесполезен.
• если доступ к базе данных УЖЕ получен, нет смысла читать из нее имя и пароль (которого там нет) суперадмина, проще прописать свой логин и свох хэш пароля в запись суперадмину, а потом зайти под ними.
• смысла менять префикс таблиц вообще никакого нет, т.к. если уж есть доступ на чтение БД, то имена таблиц (вместе с вашими "хитрыми" префиксами) запрашиваются элементарно

Если уж на то пошло, то даже дефолтная установка mod_sequrity повысит защиту от взлома на несколько порядков.

Измените установленный по умолчанию префикс (jos_) к таблицам в базе данных
Большинство SQL инъекций, которые написаны для взлома сайтов на Joomla! пытаются получить данные из таблицы jos_users. Таким образом, они могут получить имя пользователя и пароль для супер администратора сайта. Изменение стандартного префикса оградит вас от (большинства / всех) SQL инъекций.

Довольно странные выводы.
Ключевая слово в ваших пунктах Уже.Это как раз и делается чтобы не было слова Уже имеют доступ к БД.

да нет, он как раз таки прав. Если есть дыра, то узнать какой префикс у базы не составит труда.

Измените установленный по умолчанию префикс (jos_) к таблицам в базе данных
Большинство SQL инъекций, которые написаны для взлома сайтов на Joomla! пытаются получить данные из таблицы jos_users. Таким образом, они могут получить имя пользователя и пароль для супер администратора сайта. Изменение стандартного префикса оградит вас от (большинства / всех) SQL инъекций.

Ключевая слово в ваших пунктах Уже.Это как раз и делается чтобы не было слова Уже имеют доступ к БД.

Это как раз и делается чтобы не было слова Уже имеют доступ к БД.

а можно поподробнее как ее юзать?

Но надо заметить что совет просто лишний раз спасет от инъекции направленной именно на эту "мазоль" в Joomla. Вот и все.

Cоветую всем, у кого на хостинге есть возможность запускать cron задания, сделать ежедневное (или ежечасное, ежеминутное ) задание с такой командой:

Код

find -iname "*.php" -mtime -1

эта команда выполняет поиск всех измененных файлов php не старше суток. Там еще впишете email куда отсылать результат выполнения команды. Итого теперь я получаю каждые сутки в 00:00 часов письмо примерно с таким содержимым:

Код

./public_html/cache/mod_virtuemart_latestprod/025d6f4947577a8f5276770c476d1d5b.php
./public_html/cache/mod_virtuemart_latestprod/3c870a11d496a950bebe7ac79a883ae8.php
./public_html/cache/mod_virtuemart_latestprod/3ddd23200d69eda344ce50cb745ef866.php
./public_html/cache/_system/d8d1628b87eb4bf2b9abfa76b459c8be.php
./public_html/cache/com_xmap_1/421481315423d67853e9e6c74e22b401.php
./public_html/cache/com_xmap_1/b3a669824fdbc5e5944beb01b57d08f4.php
./public_html/cache/mod_mainmenu/0f63249c215072c5f92d18d4c2026ddb.php
./public_html/cache/mod_mainmenu/47b45fec88fdddc0161e96b25a2d5abd.php
./public_html/cache/mod_mainmenu/edcbf9c64c28224bc57cad4e84c3b70d.php
./public_html/cache/plg_janalyticsvirtuemart/e1f6a55616368b7c057159fc29fa5b7d.php
./public_html/cache/com_content/dc7406e2cd3d44b9b2b78654bcd16585.php
./public_html/cache/com_content/307dadb6773bf7226a647d4422c71b94.php
./public_html/cache/com_content/ab431292b24bc3d08c4c137c7b1ca5c7.php
./public_html/cache/com_content/1c9f1fdec97decebf12241f62178bac4.php
./public_html/cache/com_content/c98afe5a69eb165138156350d4ca16f2.php
./public_html/cache/com_content/1d92b728ceb5b9f8532ade7057f91afb.php
./public_html/cache/com_content/079b6cc93073679a41aa8975d33074b2.php
./public_html/cache/com_content/1e673569b68464d8609f418822e9eb05.php
./public_html/cache/com_content/ff4f08b69d855c6735ec4cbce6bbdb44.php

в нем все видно, какие файлы менялись в последние 24 часа. По папке cache видно что все ок , в ней всегда чтото записывается. А если бы, к примеру, был какой либо путь другой, скажем содержащий components или administrator, то тут сразу ясно, что был совершен набег хацкеров . Команду можно настроить по своему усмотрению, следить за вообще всеми файлами, не только php. Use linux shell, Luke . Таким образом вы облегчаете жизнь сайту, не ставя отдельные компоненты для мониторинга файлов, отжирающие ресурс.

для запрета(Железобетонного ) доступа к админке, создать файл .htaccess вставляем строчки

Order Deny,Allow
Deny from all
Allow from 000.000.00.0 где нули IP админа
Размещаем файл .htaccess в папку administrator

Ни от чего он не спасает, поскольку подразумевается, что у хакера УЖЕ имеется логин и пароль к MySQL. А раз логин и пароль есть, то получить имена таблиц - один запрос.

А вот если логина и пароля нет, то хакер даже к стандартному "jos_" доступа не получит.

А "долбежка" запросами-обращениями по методу SQL-инъекций может быть успешной только в случае неграмотного написания кода без проверки праметров SQL-запроса, что к нашем случае (CMS Joomla!) в расчет не берется, иначе придется признать, что "CMS Joomla!" является небезопасным php-кодом для SQL-инъекций.

Могут возразить, что "Кроме самого движка есть еще куча всяких, не всегда корректно написанных расширений". Если принять в качестве довода это утверждение, то тогда ответьте на вопрос:

 - Реально ли, что хакер, знающий имя таблицы 'jos_users' и имена полей этой таблицы, не знает, в каком файле находятся логин, пароль, и тот же пресловутый префикс таблиц БД?

Cоветую всем, у кого на хостинге есть возможность запускать cron задания, сделать ежедневное (или ежечасное, ежеминутное ) задание с такой командой:

Код

find -iname "*.php" -mtime -1

эта команда выполняет поиск всех измененных файлов php не старше суток. Там еще впишете email куда отсылать результат выполнения команды.

Чтобы изменить префикс вот php файлик...

Код

<?php

/**
 * @author Bobbiz
 * @copyright 2010
 */
$mysqlhost = 'localhost';
$mysqluser = 'user';
$mysqlpass = 'pass';
$mysqldb = 'base_db';

$myprefix = "prfx_";

// Create database connection and select database
$db = @mysql_connect($mysqlhost, $mysqluser, $mysqlpass) OR die('Can not connect to DB-Server!');
$db_select = @mysql_select_db($mysqldb) OR die('Can not select DB!');

$query1 = "show tables;";
$result1 = @mysql_query($query1) or die("Cant get tables");
echo "Tables selected <br />\n";
while ($row = mysql_fetch_array($result1, MYSQL_NUM)) {
    $renamed = str_replace("jos_", $myprefix,"$row[0]");
    $q="ALTER TABLE $row[0] RENAME TO $renamed";
    $r = @mysql_query($q) or die("Cant rename table $row[0]");
}
echo "All Tables renamed <br />\n";
echo "New prefix is $myprefix <br />\n";

?>

Советую сначала выключить сайт чтобы небыло запросов, а потом изменить префикс в configuration.php

а вообще, спасибо за советы, ато ломают пароль администратору, зайти вроде у них не получается, но и у меня тоже, странных глюк (хак).

для замены перфикса jos_ можно использовать компонент easysql
http://extensions.joomla.org/extensions/hosting-a-servers/database-management/2867?qh=YToxOntpOjA7czo3OiJlYXN5c3FsIjt9
после чего советую компонент удалить.

Удалите номера версий / название расширений
Большинство уязвимостей проявляются только в конкретном выпуске конкретных расширений. Показывать номер версии расширения это действительно плохо. Вы можете сократить такие сообщения только до названия расширения, выполнив следующие действия:

• Скачайте нужные файлы расширений с вашего сервера.
• Откройте редактор кода.
• Откройте любой из файлов расширений, которые вы только что загрузили на ваш компьютере.
• И начните поиск необходимого вам словосочетания, где указана версия расширения. Если вы не знаете в каком конкретно файле искать, то можно воспользоваться поиском по всему каталогу расширений.
• Установите параметры поиска по словосочетанию «Версия мое расширения 2.14»(Это для примера) и нажмите "ОК".
• Когда найден искомый запрос, удалите номер версии.
• Загрузка измененный файл на сервер и убедиться, что были внесены изменения.

Не понятно. В расширении может быть очень много файлов, как формировать запрос?

Выберите все в редакторе и скопируйте. В PhpMyAdmin, перейдите на SQL, вставьте запросы (то, что вы скопировали в редакторе) и нажмите кнопку Пуск.