Защита от Web Shell

AeC · 18.08.2011, 18:12

Поломали мне тут хостинг, залили шелл в папку одного из сайтов, из-за чего зараза полезла дальше по другим сайтам хостинга и мне его временно заблокировали.

В целях исправления ситуации и недопущения ее в будущем - перезалил все сайты заново (ибо бэкапы делаю регулярно) и залил в корень хостинга файл .ftpaccess с запретом доступа по фтп для всех.

Вопрос - этого хватит для того, чтобы взлом не повторился? Или нужно что-то серьезнее?

Уж очень мне не хочется искать дырки в движках и обновляться на всех сайтах на последние версии CMS, и при этом еще править дизайн и часть функционала, чтобы сайты корректно работали (этих сайтов просто оченно дофига) с учетом обновлений.

Зы. Пароли в электронном виде нигде не храню, антивирус стоит и регулярно обновляется, то есть шелл залили на 90% как я думаю, через дырку в CMS или плагинах. FTP практически не пользуюсь, и файл этот по необходимости всегда можно удалить на время работы.

poiuty · 18.08.2011, 18:48

юзать open_basedir для каждого сайта
запретить disable_functions = popen,exec,system,passthru,proc_open,shell_exec

mr. DR · 18.08.2011, 18:52

Цитата:

Сообщение от AeC

то есть шелл залили на 90% как я думаю, через дырку в CMS или плагинах

что дал в таком случае бекап ? ничего
завтра опять сломают

AeC · 18.08.2011, 18:55

Цитата:

Сообщение от mr. DR

что дал в таком случае бекап ? ничего
завтра опять сломают

я так понял, что полный запрет на фтп-доступ поможет

poiuty, спасибо, поизучаю

mr. DR · 18.08.2011, 18:57

Цитата:

Сообщение от AeC

я так понял, что полный запрет на фтп-доступ поможет

как ??? они же не по ФТП зашли и зальют мимо ФТП

надо порт 80 закрыть
и все будет сухо

Jooz · 18.08.2011, 20:41

Цитата:

Сообщение от mr. DR

надо порт 80 закрыть

Ну еще до кучи 21 и 22. В прочем можно поступить проще - выдернуть сервер из сети ))
AeC, залили через дыру в движке, пока дыру не уберите - будут лить, хоть тресни. Ну максимум что можно сделать это провести аудит rw-прав. Да и в целом, как я понял, вам нужен не просто аудит, а нормальный спец, который посмотрит под кем работает php, апачь и т.п. Ноги могут расти и от сюда.

poiuty · 18.08.2011, 20:51

Цитата:

Сообщение от AeC

я так понял, что полный запрет на фтп-доступ поможет

poiuty, спасибо, поизучаю

если впс - юзайте sftp, фтп - закройте

AeC · 18.08.2011, 21:32

Почитал по теме, понял что ничего не сделаю самостоятельно, сижу теперь движки обновляю потихоньку )

ФТП закрыл.
Короче, все дефолтные указания хостера по защите выполняю. Не впс, обычный витруальный хостинг.

Если и после этого будет взлом - уже буду думать дальше.

poiuty · 18.08.2011, 21:52

Не мучилась бы с обычным хостом - взяли бы впс.
если надо настроить - пишите, nginx apache fcgi mysql кэширование почта фтп защита от ддоса и т.д.

18.08.2011, 18:12	#1
AeC Эксперт Регистрация: 11.07.2007 Адрес: Live in music Сообщений: 1,342 Вес репутации: 269	Защита от Web Shell Поломали мне тут хостинг, залили шелл в папку одного из сайтов, из-за чего зараза полезла дальше по другим сайтам хостинга и мне его временно заблокировали. В целях исправления ситуации и недопущения ее в будущем - перезалил все сайты заново (ибо бэкапы делаю регулярно) и залил в корень хостинга файл .ftpaccess с запретом доступа по фтп для всех. Вопрос - этого хватит для того, чтобы взлом не повторился? Или нужно что-то серьезнее? Уж очень мне не хочется искать дырки в движках и обновляться на всех сайтах на последние версии CMS, и при этом еще править дизайн и часть функционала, чтобы сайты корректно работали (этих сайтов просто оченно дофига) с учетом обновлений. Зы. Пароли в электронном виде нигде не храню, антивирус стоит и регулярно обновляется, то есть шелл залили на 90% как я думаю, через дырку в CMS или плагинах. FTP практически не пользуюсь, и файл этот по необходимости всегда можно удалить на время работы. __________________ Услуги корректора 30 руб. за 1000 символов. http://forum.sape.ru/showthread.php?t=97674 https://searchengines.guru/showthread.php?t=970948 (за отзыв скидка или бесплатный заказ)

18.08.2011, 21:32	#8
AeC Эксперт Регистрация: 11.07.2007 Адрес: Live in music Сообщений: 1,342 Вес репутации: 269	Почитал по теме, понял что ничего не сделаю самостоятельно, сижу теперь движки обновляю потихоньку ) ФТП закрыл. Короче, все дефолтные указания хостера по защите выполняю. Не впс, обычный витруальный хостинг. Если и после этого будет взлом - уже буду думать дальше. __________________ Услуги корректора 30 руб. за 1000 символов. http://forum.sape.ru/showthread.php?t=97674 https://searchengines.guru/showthread.php?t=970948 (за отзыв скидка или бесплатный заказ)

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Защита КОНТЕНТА	lbm	Общие вопросы оптимизации	83	21.07.2011 17:49
Защита фотографий	FSP89	Общие вопросы оптимизации	60	09.07.2011 00:52
Защита от АГС	vasir	Вопросы от новичков	12	11.10.2010 22:08
Через уязвимость в движке залили Shell (wso2) и удалили сапу	Sochi	Курилка	2	05.05.2010 00:34
100% защита от удаления	Последний Герой	Пожелания пользователей системы	10	09.09.2009 04:10

18.08.2011, 18:48	#2
poiuty Специалист Регистрация: 28.07.2009 Сообщений: 240 Вес репутации: 188	юзать open_basedir для каждого сайта запретить disable_functions = popen,exec,system,passthru,proc_open,shell_exec

18.08.2011, 21:52	#9
poiuty Специалист Регистрация: 28.07.2009 Сообщений: 240 Вес репутации: 188	Не мучилась бы с обычным хостом - взяли бы впс. если надо настроить - пишите, nginx apache fcgi mysql кэширование почта фтп защита от ддоса и т.д.