конецформыначалоформыЗдравствуйте. Плавно с темы взлома я решил перейти на тему защиты. Наверняка у каждого второго читателя есть свой собственный сайт, и так же, у каждого второго, сайт не самописный, а базируется на каком ни будь популярном движке. C форумами же дела обстоят намного хуже. Я сильно сомневаюсь в том что хотя бы 5% читателей могут, просто могут, написать свой форум, для своего сайта. Конечно же намного проще скачать phpBB, IPB или любой другой форумный движок. Единственное неудобство – каждый день надо следить за багтраками что бы быть в курсе самых последних уязвимостей используемого Вами продукта, и во время ставить патчи, предотвратив тем самым взлом ресурса. Но тут может получиться небольшая развилка. Возьмём к примеру форум Invision Power Board (далее IPB). Этот продукт платный, а как известно – у нас в стране правит пиратство. Чем то это и может быть хорошо но сразу после сообщения об уязвимости врятли можно достать патч не являясь легальным покупателем IPB.
Получается что у пользователя есть 2 выхода:
самому пропатчить форум.
Облазить интернет в поисках патча, либо совета по способу закрытия дыры.
Лучше всего, конечно же, первый вариант, так как он надёжнее, но тоже не всегда. Хорошо бы если уязвимость SQL-иньекция и Вы точно знаете какие именно и куда должны поступать данные. Для устранения дыры Вам просто нужно прогнать опасную переменную через функцию intval() или addslashes(). А если уязвимость связана с выполнением произвольного php-кода? Например через функцию preg_replace(). Далеко не каждый может просто понять что нужно фильтровать, к тому же после ручного исправления форум может начать работать не так как раньше, выплёвывая море ошибок. Вообщем картина удручающая. Даже если взять phpBB который полностью бесплатен. Кто Вам гарантирует то что Вы узнаете об уязвимости первее чем человек который зол на Вас? Представим следующую ситуацию: Вы ложитесь вечером спать, в 3 утра находят уязвимость, в 4 атакующий полностью разобрался с эксплойтом и задефейсил Ваш сайт. В 10 Вы встаёте, в 10.30 узнаёте о уязвимости, бежите за патчем, а форум уже взломан. Согласитесь — такая ситуация может быть с каждым и никто от этого не застрахован.
Ниже я попытаюсь обьяснить как же всётаки защитить свой ресурс от неизвестных атак, а объяснять я буду на примере форумов IPB и phpBB. В принципе описанные методы подходят не только к форумам, но и почти к любому веб-приложению, будь то лента новостей или CMS. Так же хочу обратить Ваше внимание на следующее: ниже описан пример безопасного расставления прав для файлов форума/сайта, но прежде чем поставить такие права у себя на ресурсе проверьте совпадают ли условия описанные мной с Вашими.
Правильная расстановка прав
Если Вы занимаетесь взломом то наверняка знаете что для дефейса сайта можно получить каким-либо образом выполнение команд(например вызвав функцию system() через уязвимость) и просто выполнить команду
echo hacked>index.php
Если же функция system() и ей подобные запрещены, то можно произвести запись в файл с помощью функций php. Получается что для защиты от этого нужно выставить права запрещающие запись в файл index.php, а вообще лучше сделать это со всеми файлами. Выставлять права нужно со следующим расчётом:
Запретить запись в любые файлы и директорию форума вообще всем.
Запретить чтение пользователям из Вашей группы (на хостингах чаще всего пользователей объединяют в одну группу).
Разрешить чтение всем другим пользователям. Звучит глупо но пользователя под которым работает веб-сервер чаще всего держат одного в отдельной группе. К тому же на хороших хостингах все пользователи делятся на 2 основные группы: администраторы и пользователи хостинга, а mysql, apache и другие программы стартуют от своего пользователя у которого своя группа.
Так как PHP действует с правами веб-сервера (соответственно от имени его пользователя) то для стабильной работы сайта он должен прочитать все php-файлы чтобы сайт нормально работал. Следовательно запретив чтение файла другим пользователям Вы блокируйте работу сайта. Исходя из этого есть администраторы, пользователи хостинга, и программы, имеющие своих пользователей и группы, которых боятся не стоит.
Получается что права для Вас, как для владельца файла должны быть 7 (исполнение, чтение, запись), для группы – 0 (запрещено всё), для остальных пользователей 4 (чтение) и выполнение (1). Исходя из этого, что бы установить такие права на папку форума нужно выйти в корень сайта и выполнить команду:
chmod -R 705 phpbb
Здесь phpbb – папка в которой находится форум, -R указывает что нужно данные права присвоить вообще всему что лежит в папке phpbb, 705 – все права владельцу, никаких прав пользователям из его группы и права на исполнение (скрипты же надо выполнять) и чтение остальным пользователям. Как видите – права на запись имеются только у Вас – владельцев файла. А так как php выполняет команды от имени веб-сервера (а он ни в коем случае не должен быть запущен от Вашего имени) то прав на запись у него нет, соответственно дефейс, с помощью уязвимости приводящей к выполнения php-кода, не возможен. Если же у Вас на хостинге пользователи распределены по другом то советую почитать подробнее об определении прав здесь:
и здесь: