7 советов по оптимизации безопасности Joomla! - страница 3 - Безопасность сайтов на Joomla

При замене префикса jos_ получил проблему:

когда вставляю запрос и жму ОК, появляется следующее сообщение:

Fatal error: Allowed memory size of 25165824 bytes exhausted (tried to allocate 5201654 bytes) in C:\AppServ\www\phpMyAdmin\libraries\common.lib.php on line 282

для выполнение операции не хватает выделенной памяти

для выполнение операции не хватает выделенной памяти

Ага. Про память спасибо.
А вот с плагином неувязочка. У меня теперь сайт не запускается. Я ж префикс поменял и базы убил. Как я плагин-то поставлю?

ну так с бекапа старые базы восстановите
потом поставь плаги
и попробуй поменять префикс

вопрос такой:
jos_ сменил давно на другйо префикс.
однако при входе любого юзера с фронтэнда  скрипт пытается искать таблицу users c jos  префиксом. где это подправить? при этом все раюотает все остальноисправно тащится их таблиц с новым префиксом.
в админку захожу. при вышеописанной попытке виже +1 юзера как бы вршедшего на сайт. если сессии в базе почистить или кукис браузера - то сайт опять открывается.
ошибка такая  500 - No valid database connection:Table 'dv_vael.jos_users' doesn't exist SQL=select gid, usertype from jos_users where id = 81

последние действия - установил в подпапку Drupal. Вышеописанный тоже стои н в корне. Тестирую их... Может бфьб я включил отключил какие-то плагины в PHP? Drupal просил. Но я игрался с плагинами и не решил все же
помогите пожалуйста. d configuration.php  ест-но прописан верный префикс.

Joomla 1.5
есть такой    плагин  NOIX   - распределение прав редактирования и доступа. в нем автор - при.....ок жестко прописал "JOS_"  в helper.php. именно к нему обращается система когда заводит пользователя на сайт.
ест-но если у вас другой префикс к базам - вы получаете 500 ошибку - нет такиой jos_user таблицы.
я просто заменил там порядка пяти позиций с jos    на свой префикс.
плагин 2009 аж года. И ни закроет, ни поддержки нет... это по крайней мере не исправлено.

не уверен, что единственное и правильное решение. т.к на другом сайте "jos_"   в этом же файле, префиксы НЕ jos  и все равно все работает... загадка....

Некоторые разработчики жестко прописывают префикс jos_ (вместо #__), что не есть правильно, ибо префикс может быть любой

выбивает ошибку, при запросе SQL:

SQL-запрос:

-- phpMyAdmin SQL Dump
-- version 2.6.2
-- http://www.phpmyadmin.net
--
-- Хост: (я тут убрал_
-- Время создания: Окт 12 2011 г., 10:04
-- Версия сервера: 5.1.51
-- Версия PHP: 5.2.10
--
-- БД: `information_schema`
--
CREATE DATABASE  `information_schema` DEFAULT CHARACTER SET utf8 COLLATE utf8_general_ci

из за чего это??

это исправил, новая беда, запрос выполнен, а результата нет...
как так может быть??
правде пришлось обрезать низ... там Events как то плохо себя чувствовали...
что я не так делаю?

А можно сделать проще:
Пользуюсь Бекапером Akeeba, делаю резервную копию сайта, захожу в Phpmyadmin удаляю базу данных,при инсталяции сайта из резервной копии во вкладке advanced options на 2 шаге, меняю префикс таблиц joc_ на любую свою кракозябру и все. База данных с вашим префиксом

так это намного проще!
попробую, спасибо)

Вот насчёт прав 666 на файлы конфигурации я что-то вообще не понял.
То есть для configuration.php вы предлагаете дать ВСЕМ права на запись в этот файл чего угодно?
Или я чего-то не понимаю?

товарисчи, проконсультируйте пожалуйста, если нетрудно. обновился с 1.5.15 до 1.5.22. все прошло нормально. папки с архива обновления кидал по FTP. теперь в админке Joomla стоит версия 1.5.22. НО если б не ложка дегтя... не заменились некоторые конфигурационные файлы в шаблоне ja_purity который используется на сайте. с другой стороны может и неплохо что они не заменились?  Permission denied... зашел по FTP на сайт. права на php файлы в папке с шаблоном 755. но при попытке изменить права на 777 или 707 ничего не получается. на самой папке шаблона - поставил 777 (чтоб иметь возможность записывать). как изменить права и перезаписать файлы php?  в чем проблема? спасибо

права на папки может менять только владелец файла,
если вы шаблон ставили через админку, то владелец файлов апаче, вот через него и нужно менять
а проще, просто через админку переустановить шаблон.
другой вариант, есть специальный компонент explorer (или как-то так) специальный  проводник для Joomla, с его помощью можно изменять файлы через апачи.
я уже не однократно об этом писал

Ребят, почитал тему, интересные варианты, хочу знать, кто-то пробовал эти приемы для Joomla 1.0? Весь ли код и все ли скрипты (о которых тут идет речь) так же работают в 1.0 как в 1.5 и выше?

Ребят, почитал тему, интересные варианты, хочу знать, кто-то пробовал эти приемы для Joomla 1.0? Весь ли код и все ли скрипты (о которых тут идет речь) так же работают в 1.0 как в 1.5 и выше?

Кроме работы с префиксом таблиц из админки - будет работать, ибо общие вопросы

Кроме работы с префиксом таблиц из админки - будет работать, ибо общие вопросы

А чего вдруг такое примитивное действие не будет "понято" первой Joomla? Изза "jos_" в компонентах вместо "#_"?
В особенности имел ввиду возможность корректной работы предложенного кода для .хтаксесс:

Order Deny,Allow
Deny from all
Allow from 000.000.00.0 где нули IP админа

и

########## Начинаем запись правил чтобы заблокировать основные эксплойты
#
# Блокируем любой скрипт пытающийся получить значение mosConfig через URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [OR]
# Блокируем любой скрипт пытающийся отправить любое дерьмо чере base64_encode по URL
RewriteCond %{QUERY_STRING} base64_encode.*(.*) [OR]
# Блокируем любой скрипт который содержит тег < script> в URL
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
# Блокируем любой скрипт, который пытается установить глобальную переменную PHP через URL
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
# Блокируем любой скрипт пытающийся изменить _REQUEST переменную через URL
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2}) [OR]
# Блокируем любой скрипт, который пытается установить CONFIG_EXT (баг в com_extcal2)
RewriteCond %{QUERY_STRING} CONFIG_EXT([|%20|%5B).*= [NC,OR]
# Блокируем любой скрипт, который пытается установить sbp or sb_authorname чере URL (баг simpleboard)
RewriteCond %{QUERY_STRING} sbp(=|%20|%3D) [OR]
RewriteCond %{QUERY_STRING} sb_authorname(=|%20|%3D)
# Отправляем все заблокированный запросы на главную с ошибкой 403 Forbidden!
RewriteRule ^(.*)$ index.php [F,L]
#
########## Заканчиваем запись правил чтобы заблокировать основные эксплойты

А чего вдруг такое примитивное действие не будет "понято" первой Joomla?

Может я уже и не помню, но раньше вроде в админке не было опции смены префикса, потому и обратил внимание

Cоветую всем, у кого на хостинге есть возможность запускать cron задания, сделать ежедневное (или ежечасное, ежеминутное ) задание с такой командой:

Код

find -iname "*.php" -mtime -1

эта команда выполняет поиск всех измененных файлов php не старше суток. Там еще впишете email куда отсылать результат выполнения команды. Итого теперь я получаю каждые сутки в 00:00 часов письмо примерно с таким содержимым:

Код

./public_html/cache/mod_virtuemart_latestprod/025d6f4947577a8f5276770c476d1d5b.php
./public_html/cache/mod_virtuemart_latestprod/3c870a11d496a950bebe7ac79a883ae8.php
./public_html/cache/mod_virtuemart_latestprod/3ddd23200d69eda344ce50cb745ef866.php
./public_html/cache/_system/d8d1628b87eb4bf2b9abfa76b459c8be.php
./public_html/cache/com_xmap_1/421481315423d67853e9e6c74e22b401.php
./public_html/cache/com_xmap_1/b3a669824fdbc5e5944beb01b57d08f4.php
./public_html/cache/mod_mainmenu/0f63249c215072c5f92d18d4c2026ddb.php
./public_html/cache/mod_mainmenu/47b45fec88fdddc0161e96b25a2d5abd.php
./public_html/cache/mod_mainmenu/edcbf9c64c28224bc57cad4e84c3b70d.php
./public_html/cache/plg_janalyticsvirtuemart/e1f6a55616368b7c057159fc29fa5b7d.php
./public_html/cache/com_content/dc7406e2cd3d44b9b2b78654bcd16585.php
./public_html/cache/com_content/307dadb6773bf7226a647d4422c71b94.php
./public_html/cache/com_content/ab431292b24bc3d08c4c137c7b1ca5c7.php
./public_html/cache/com_content/1c9f1fdec97decebf12241f62178bac4.php
./public_html/cache/com_content/c98afe5a69eb165138156350d4ca16f2.php
./public_html/cache/com_content/1d92b728ceb5b9f8532ade7057f91afb.php
./public_html/cache/com_content/079b6cc93073679a41aa8975d33074b2.php
./public_html/cache/com_content/1e673569b68464d8609f418822e9eb05.php
./public_html/cache/com_content/ff4f08b69d855c6735ec4cbce6bbdb44.php

в нем все видно, какие файлы менялись в последние 24 часа. По папке cache видно что все ок , в ней всегда чтото записывается. А если бы, к примеру, был какой либо путь другой, скажем содержащий components или administrator, то тут сразу ясно, что был совершен набег хацкеров . Команду можно настроить по своему усмотрению, следить за вообще всеми файлами, не только php. Use linux shell, Luke . Таким образом вы облегчаете жизнь сайту, не ставя отдельные компоненты для мониторинга файлов, отжирающие ресурс.

Пропробовал влепить этот код в крон на хостинге - ничего не происходит, хотя частота обновления 1 час (для проверки ставил). Кто знает, как корректно его инициировать?

Хотел бы уточнить один вопросик - Поскольку 7 советов от 10.01.2010 (уже 2 года), то они еще актуальны для Joomla 1.5 или же есть апдейт по рекомендациям? Заранее благодарен!

Пропробовал влепить этот код в крон на хостинге - ничего не происходит, хотя частота обновления 1 час (для проверки ставил). Кто знает, как корректно его инициировать?

Был на виртуальном хостинге (на разных) - через ISP на одном самостоятельно подключил, на другом - мозг сломал - ничего не получалось. Суппорт все сделал. Счас сижу на VDS - только через поддержку вопрос решил. Т.ч. мой совет - в саппорт!

Куда этот красивый код нужно вставить? 

ну например файл smena_prefixa.php в корне сайта, прописать свои логины пасы для мускуля, запустить раз http://yoursite.com/smena_prefixa.php, и можно удалить

поставь admintools

из-за этой строчки выдает 500ую ошибку при попытке зайти на любую страницу
ЗЫ. Не заметил, что в этом файле уже были по умолчанию такие строчки:
объясните, в чем разница?

На mysql5 префиксы менять бесполезно. Взломщик может узнать названия таблиц из INFORMATION_SCHEMA.

На mysql5 префиксы менять бесполезно. Взломщик может узнать названия таблиц из INFORMATION_SCHEMA.

Я не пробил не одним запросом  Может подскажите?

Что за тема? Эта? Она закреплена, а не заблокирована. Чтобы ее лучше видно было.

Ребята, помогите, данный код похож на приятную панацею

find -iname "*.php" -mtime -1

Его нужно дополнить. У кого-нибудь есть идеи, как написать скрипт:
1. ищет все файлы созданные за последние сутки
2. Перенаправляет результат поиска в конец файла (како-то лог)
3. Стоит ограничение на размер файла (на там 1 Mb)
4. Отправляет файл на мыло.

Нужно просо немного знать Linux, владеть командой find, уметь перенаправлять вывод.
Помогите создать сей скрипт. А его уже будет хронометр запускать по расписанию.

Держи
Немного отредактируешь и поставишь запуск на cron и получится чудо описанное тобою
А вообще тебе надо сам движок настроить что бы он не отвечал на запросы типа
site/index.php?file=[xixi]
site/index.htm?page= ../../../../../../etc/passwd
 

Как настроить движок?

и еще, если в .htaccess присутствует строка:
# Блокируем любой скрипт, который пытается установить CONFIG_EXT (баг в com_extcal2)
RewriteCond %{QUERY_STRING} CONFIG_EXT([|%20|%5B).*= [NC,OR]

Joomla и форум на phpBB3.10 - перестает работать, ошибка 500.

Подскажите, есть ли различия в этих двойных строчках?:

# Блокируем любой скрипт пытающийся отправить любое дерьмо чере base64_encode по URL
RewriteCond %{QUERY_STRING} base64_encode.*(.*) [OR]
RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]

# Блокируем любой скрипт который содержит тег < script> в URL
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]

# Блокируем любой скрипт, который пытается установить глобальную переменную PHP через URL
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]

# Блокируем любой скрипт пытающийся изменить _REQUEST переменную через URL
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})

# Блокируем любой скрипт, который пытается установить sbp or sb_authorname чере URL (баг simpleboard)
RewriteCond %{QUERY_STRING} sbp(=|%20|%3D) [OR]
RewriteCond %{QUERY_STRING} sb_authorname(=|%20|%3D)

# Отправляем все заблокированный запросы на главную с ошибкой 403 Forbidden!
RewriteRule ^(.*)$ index.php [F,L]
RewriteRule .* index.php [F]