Kako zastititi sajt od zlonamernih upada?

Moderators: cicans, TheHacker

Locked
alex82
Joomla! Intern
Joomla! Intern
Posts: 90
Joined: Fri Aug 29, 2008 4:08 pm
Location: Beograd

Kako zastititi sajt od zlonamernih upada?

Post by alex82 » Tue Jan 27, 2009 12:40 am

Pozdrav BSD, hteo sam da te pitam sto se tice same zastite sajta... uradio sam sajt u joomli 1.5.8 verziji i hteo bih da ga zastitim od mogucih upada hakera, mogucnosti da neko provali admin sifru i username pa da preuzme kontrolu nad sajtom i zanima me da li postoji neka procedura kako bih to izveo u smislu prikrivanja foldera, fajlova ili sta vec, preimenovanja itd. znaci sta sve mogu da primenim kao vid zastite sajta da me ne bi neko zeznuo ili da se ne bi neko ko me recimo radim sajt drznuo pa pokusao da preuzme kontrolu nad njim potpunu i da me izbaci iz "price". Izvini ako sam bio malo opsirniji ali nisam znao kako drugacije da ti opisem ono sto me zanima.

U svakom slucaju hvala ti na predstojecim savetima :-)
pozdrav
sale

User avatar
BSD
Joomla! Ace
Joomla! Ace
Posts: 1948
Joined: Thu Aug 18, 2005 8:32 am
Location: Belgrade, Serbia
Contact:

Re: Kako zastititi sajt od zlonamernih upada?

Post by BSD » Tue Jan 27, 2009 12:44 pm

Za pocetak bi mogao da azuriras svoj sajt na Joomla! 1.5.9. :D
Marko Milenović
Member of the Serbian Joomla! Translation Team
http://www.joomla-serbia.com/

alex82
Joomla! Intern
Joomla! Intern
Posts: 90
Joined: Fri Aug 29, 2008 4:08 pm
Location: Beograd

Re: Kako zastititi sajt od zlonamernih upada?

Post by alex82 » Wed Jan 28, 2009 12:51 pm

ok, ali cu imati problem sa nekim komponentama onda kao sto su recimo eweather 1.1.0 koja mi i sad "koci" na 1.5.8., kako to da resim? I jos jedno pitanje usput, napravio sam pocetnu stranicu i na njoj imam neki text koji je delom linkovan. Linkove sam napravio tako sto sam napravio posebne article stranice i onda prekopirao njihovu adresu iz browser-a u onaj deo za dodavanje liknova odredjenom textu. E sad problem je u tome sto mi je do skora prikazivao kompletnu adresu tipa:"index.php?option=com_content&view=article&id=9&Itemid=9" a danas kad predjem misem preko linkovanog texta dobija prikaz ovog tipa:"index.php/home/9"

U cemu je fora?
sale

MostTimeOnline
Joomla! Intern
Joomla! Intern
Posts: 56
Joined: Wed Feb 04, 2009 6:24 pm

Re: Kako zastititi sajt od zlonamernih upada?

Post by MostTimeOnline » Thu Feb 12, 2009 11:57 pm

Savet svima oko bezbednosti joomla sajta:
folder/dir:
http://www.sajt.com/administrator/

zastitite preko .htaccess username/password serverske zastite direktorijuma.

Ovim cete izbeci neki od cuvenih upada (ako se ponovo pojave xploiti) kao sto je bio onaj na 1.5.3 verziji ako me pamcenje dobro sluzi... znaci 'aker ce provaliti tj. resetovati admin password ali dzaba mu to kada nece moci da se uloguje jer je /administrator dir zasticen dodatnom user/pass kombinacijom samog web servera ;)

Naravno potrebno je i da user login komponenta ne bude prisutna u modulima na sajtu... inace ce moci i preko sajta da se uloguje i da napravi haos...

User avatar
Leftfield
Joomla! Virtuoso
Joomla! Virtuoso
Posts: 4432
Joined: Fri Dec 08, 2006 3:33 am
Contact:

Re: Kako zastititi sajt od zlonamernih upada?

Post by Leftfield » Fri Feb 13, 2009 1:07 am

MostTimeOnline wrote:Ovim cete izbeci neki od cuvenih upada (ako se ponovo pojave xploiti) kao sto je bio onaj na 1.5.3 verziji ako me pamcenje dobro sluzi...
Ma jok. Ni blizu. To što opisuješ je možda i najmanja i najnevažnija stvar kod zaštite džumle. Tako se obicno ne difejsuje sajt osim nekih brute force metoda i opet se sa dobrim kapča kodom jendnostavno riješi.

Ekspoiti se koriste preko urla i to obično može na bilo kom linku sajta. Uopšte ne mora da ide na link za administratora. U zadnje je moderno preko rss-a al o tom nećemo.

Pisali smo ali evo ponovo jako kratko:
redovan apdejt i džumle i servera (OS, apache, mysql, php...)!
podešavanje gore navedenog od strane administratora servera (ovo je čak najvažnije)
uraditi valjan htaccess (ko ima apache)
srediti dozvole
zaštititi fajl configuration.php
paziti se koje ekstenzije i skripte instaliraš
Kraj.
Real Estate Budva https://realestatebudva.com

MostTimeOnline
Joomla! Intern
Joomla! Intern
Posts: 56
Joined: Wed Feb 04, 2009 6:24 pm

Re: Kako zastititi sajt od zlonamernih upada?

Post by MostTimeOnline » Fri Feb 13, 2009 2:11 am

Slazem se ali zasto zanemariti ovo i dozvoliti da vam neko bulji u admin panel bez potrebe? A onaj cuveni exploit na J 1.5.3. je bio upravo takav da se resetuje adminov password i onda se lepo lamer uloguje na sajt.com/administrator , pri cemu zna da je default login admin a password je sam odabrao tokom pokretanja exploita :)

Onaj ko je imao admin panle zasticen htaccess-om osigurao se da njegov sajt ne bude probusen kada je svaka budala mogla da 'akuje... cini mi se da to ovo bese: http://securityreason.com/securityalert/4157

P.S. Redovan update Joomle ok, ali kako LAMP... kada je to u rukama hosting kompanija :) Evo na servage hostingu tek sada prelaze na PHP 5...

P.P.S. zaštititi fajl configuration.php -- sa ovim se slazem i dobro si me podsetio ;)

alex82
Joomla! Intern
Joomla! Intern
Posts: 90
Joined: Fri Aug 29, 2008 4:08 pm
Location: Beograd

Re: Kako zastititi sajt od zlonamernih upada?

Post by alex82 » Fri Feb 13, 2009 9:28 pm

kako se stiti taj configuration.php file? jel se misli na chmod-ovanje file-a na 644?
sale

aleksblack
Joomla! Enthusiast
Joomla! Enthusiast
Posts: 144
Joined: Wed Feb 13, 2008 3:19 pm

Re: Kako zastititi sajt od zlonamernih upada?

Post by aleksblack » Fri Feb 13, 2009 11:50 pm

Misli se na njegovo izmestanje van Root direktorijuma (public_html).
Sadrzaj fajla configuration.php se iskopira u neki drugi file (recimo secured.file) i taj fajl se postavlja nivo iznad root direktorijuma (znaci paralelno sa public_html).
Zatim se sadrzaj configuration.php (koji se i dalje nalazi u Root-u) brise i upisuje se sledeci code:

Code: Select all

<?php
require( dirname( __FILE__ ) . '/../secured.file' );
?>
Dodatno, ja oba fajla CHMODujem na 444.
Jedini '' problemcic '' je u tome sto neces moci da vrsis podesavanje parametara configuration.php iz administratorskog dela sajta, ali ovo se i tako radi kad su sva podesavanja vec izvrsena, a i veoma se brzo stvari vracaju na pocetnu poziciju...

p.s. Ovako to ja radim, ako negde gresim - slobodno mi recite!

User avatar
gnesh
I've been banned!
Posts: 210
Joined: Sat Jan 19, 2008 9:18 pm

Re: Kako zastititi sajt od zlonamernih upada?

Post by gnesh » Tue May 19, 2009 10:58 am

jel ok ovo sto ovaj covek kaze?
:-[

MostTimeOnline
Joomla! Intern
Joomla! Intern
Posts: 56
Joined: Wed Feb 04, 2009 6:24 pm

Re: Kako zastititi sajt od zlonamernih upada?

Post by MostTimeOnline » Tue May 19, 2009 12:55 pm

Nema pisanog pravila, ali sve sto se uradi da je ne-default je po meni OK.... od nekih rupa je nemoguce zastiti se ali moguce je smanjiti stetu.

User avatar
Leftfield
Joomla! Virtuoso
Joomla! Virtuoso
Posts: 4432
Joined: Fri Dec 08, 2006 3:33 am
Contact:

Re: Kako zastititi sajt od zlonamernih upada?

Post by Leftfield » Tue May 19, 2009 1:14 pm

Kako mislis nema pisanih pravila? Ne razumijem.
Real Estate Budva https://realestatebudva.com

senadb
Joomla! Apprentice
Joomla! Apprentice
Posts: 15
Joined: Wed Jun 03, 2009 10:23 pm

Re: Kako zastititi sajt od zlonamernih upada?

Post by senadb » Sat Jun 06, 2009 10:04 pm

kako izvrsiti update joomle ? ja imam verziju 1.5.10 cini mi se i po vasim pricama i nije neki problem provalit mi i sve sje.at??

User avatar
Leftfield
Joomla! Virtuoso
Joomla! Virtuoso
Posts: 4432
Joined: Fri Dec 08, 2006 3:33 am
Contact:

Re: Kako zastititi sajt od zlonamernih upada?

Post by Leftfield » Sat Jun 06, 2009 10:40 pm

senadb wrote:i po vasim pricama i nije neki problem provalit mi i sve sje.at??
Eh ti ko ovi nasi politicari. Dvije slike na zid pomute. Nisi dobro procitao kao sto nisi dobro ni potrazio:

http://help.joomlaserbia.com/doku.php/a ... x_i_1.0.xx
Real Estate Budva https://realestatebudva.com

saleco
Joomla! Apprentice
Joomla! Apprentice
Posts: 44
Joined: Wed Jun 04, 2008 6:14 pm

Re: Kako zastititi sajt od zlonamernih upada?

Post by saleco » Wed Aug 26, 2009 9:43 am

A jel može da pomogne mijenjanje prefiksa tabela u Jomlinoj bazi podataka iz "jos_" u nešto drugo. Ovo sam negdje pročitao da može da poveća bezbjednost Joomla sajta.

User avatar
dmd
Joomla! Guru
Joomla! Guru
Posts: 510
Joined: Tue Aug 14, 2007 10:56 am

Re: Kako zastititi sajt od zlonamernih upada?

Post by dmd » Wed Aug 26, 2009 9:58 am

Menjanje jos prefiksa može da dovede do greške prilikom instalacija komponenti i modula koji rade sa bazom a zadata im je putanja jos.

User avatar
Leftfield
Joomla! Virtuoso
Joomla! Virtuoso
Posts: 4432
Joined: Fri Dec 08, 2006 3:33 am
Contact:

Re: Kako zastititi sajt od zlonamernih upada?

Post by Leftfield » Wed Aug 26, 2009 11:25 am

Dmd je potpuno u pravu, ali ako mislimo na bezbjednost to podize nivo bezbjednosti.
Real Estate Budva https://realestatebudva.com

User avatar
dmd
Joomla! Guru
Joomla! Guru
Posts: 510
Joined: Tue Aug 14, 2007 10:56 am

Re: Kako zastititi sajt od zlonamernih upada?

Post by dmd » Wed Aug 26, 2009 11:02 pm

Ostaje da se ručno promeni deo koda modula ili komponente prefiksom kako smo ga nazvali,
ali svaka nadogradnja istih vraća rad na početak.

aleksblack
Joomla! Enthusiast
Joomla! Enthusiast
Posts: 144
Joined: Wed Feb 13, 2008 3:19 pm

Re: Kako zastititi sajt od zlonamernih upada?

Post by aleksblack » Thu Aug 27, 2009 12:20 am

Nikad ovo nisam pokusavao, pa se nisam ni susretao sa tim problemom, ali me interesuje - zar problem sa prefiksom ne bi bilo nesto sto bi bilo svojstveno "mladjim" komponentama i modulima? Logicno mi je da C/M koji su na sceni duzi period i imaju dosta korisnika (ili su pak komercijalni) vec imaju na neki nacin razradjen sistem po kojem bi prepoznavale prefiks, a ne da po defaultu rade sa prefiksom jos_. Ako ta mogucnost na Joomla! uopste i postoji (nisam developer pa ne znam te stvari, ali vidim da u configuration.php postoji promenljiva $dbprefix pa mislim da bi takav scenario bio moguc :D )

User avatar
Leftfield
Joomla! Virtuoso
Joomla! Virtuoso
Posts: 4432
Joined: Fri Dec 08, 2006 3:33 am
Contact:

Re: Kako zastititi sajt od zlonamernih upada?

Post by Leftfield » Thu Aug 27, 2009 12:43 am

Tačno. Kod nekih (većine) ozbiljnijih ekstenzija nema konfikata. Problem rijetko može izbiti kad se prave brzi apdejti kao i neodgovorni 3rd party programeri koji ne razmišljaju o tome.

Meni se desilo prije neki dan da moram prepravljati jednu bazu jer je instalacija ekstenzije otišla u "jos" :S. Ubio sam se dok se nisam sjetio da sam ranije promjenio prefix :D.
Real Estate Budva https://realestatebudva.com

aleksblack
Joomla! Enthusiast
Joomla! Enthusiast
Posts: 144
Joined: Wed Feb 13, 2008 3:19 pm

Re: Kako zastititi sajt od zlonamernih upada?

Post by aleksblack » Thu Aug 27, 2009 1:03 am

E jos da neko objasni konkretno - kako menjanje tog prefixa deluje na povecanje bezbednosti?

User avatar
mpele
Joomla! Enthusiast
Joomla! Enthusiast
Posts: 171
Joined: Thu Sep 20, 2007 6:55 am

Re: Kako zastititi sajt od zlonamernih upada?

Post by mpele » Thu Aug 27, 2009 11:50 am

На пример, сви знамо да у твојој бази постоји табела jos_users и да она има запис: id = 62, username=admin, password=xzy ... и да би команда

Code: Select all

UPDATE `jos_users` SET `password` = 'ura' WHERE `jos_users`.`id` =62
широм отворила врата. То је оно што је по "дифолту" за Џумулу и на слепо (ако нађеш начин да извршиш ову команду) одрадићеш посао у преко 90% случајева.
Једино што можеш као администратор је да мало закомпликујеш ствари па да се напасник мора помучити да сазна како се табела зове.

Наравоученије: подразумеване вредности су одлична ствар која олакшава коришћење свих апликација, али у себи носе и предвидљивост корисника.

User avatar
VM Srbija
Joomla! Guru
Joomla! Guru
Posts: 721
Joined: Fri Mar 27, 2009 6:18 pm

Re: Kako zastititi sajt od zlonamernih upada?

Post by VM Srbija » Thu Oct 01, 2009 12:57 pm

A kako se zastiti od upada preko FTP-a? Evo meni je neko upao na sajtove i ubacio index.html stranicu sa njegovim pozdravom, ali joomlu nije uspeo da hackuje, cak i bez dodatne zastite.
It is all in my mind!!!

User avatar
BSD
Joomla! Ace
Joomla! Ace
Posts: 1948
Joined: Thu Aug 18, 2005 8:32 am
Location: Belgrade, Serbia
Contact:

Re: Kako zastititi sajt od zlonamernih upada?

Post by BSD » Thu Oct 01, 2009 4:46 pm

1. Reci provajderu da ukljuci TLS na FTP kako bi slao lozinku kriptovano a ne plaintext.
2. Proveri da nemas viruse na racunaru posto se problem sa izmenom index-a desava u slucaju izvesnih virusa - slusaju za FTP konekcije a onda u svaki fajl ubacuju svoj kod koji obicno stavlja frejm koji ide na neke ruske sajtove.
Marko Milenović
Member of the Serbian Joomla! Translation Team
http://www.joomla-serbia.com/


Locked

Return to “Bezbednost”