Форум Сайтостроение Администрирование серверов

вопрос... скорее к проггерам-админам.

12
Pavel.Odintsov
На сайте с 13.05.2009
Offline
169
Pavel.Odintsov
#11

Ну кто спорит, ага. Но случае PHP, программистов все еще хуже (phpmyadmin, wordpress и проч.), писал "аудит безопасности" сквозь слезы :)

Pavel.Odintsov добавил 04.12.2010 в 13:35

Вообще, из административно-программистских мер могу посоветовать сходу:

1) Ежедневный / ежечасный бэкап или репликация на удаленную машину. Так как возможно, что уничтожат / испортят базу.

2) Частые бэкапы файлов сайта

3) Перевод системы авторизации с паролей в чистом (если, конечно, в 21м веке такое еще живет) виде на хеши (обязательно с salt), чтобы красть / подбирать к ним пароля было бессмысленнно + ужесточение политики использумых пользователями паролей.

Ну и в целом, лучше такой проект выселить на VPS в гордое одиночество, ибо от чрута.... толку чуть менее чем нету совсем, если fastcgi процессы / апач работают вне чрута.

Решение по обнаружению DDoS атак для хостинг компаний, дата центров и операторов связи: FastNetMon (https://fastnetmon.com)
pupseg
На сайте с 14.05.2010
Offline
347
pupseg
#12
Pavel.Odintsov:
А нанятые прогеры не могут выполнить аудит безопасности? Если это не шоп / партнерка, то, подозреваю, что это простой сайт с не шибко сложным движком, которому аудит безопасности можно провести за несколько дней. Но с таким подходом к найму, что прошлый программер "кинул", лучше и новым двум особенно не доверять, а отдать независимой конторе, которая выполнит аудит.

шефу я уже это предложил. он выбирал проггеров.

думает пока что.

с админской точки зреня я как админ вроде навертел что мог, анализ логов тоже поставил.

pupseg добавил 04.12.2010 в 15:28

про впс - тоже хорошая идея... уже думаю над этим. сайту хватит 2000мгц и 4гб рам и 20гб места.

прялка хостовая - мощная.

Качественная помощь в обслуживании серверов. (/ru/forum/661100) Бесплатных консультаций не даю, не помогаю, не обучаю. Минималка от 100$. Как пропатчить KDE-просьба не спрашивать. Есть форумы (http://linux.org.ru) и полезные сайты (http://www.opennet.ru/).
Boris A Dolgov
На сайте с 04.07.2007
Offline
215
Boris A Dolgov
#13

Ваши меры спасут от заливания какого-нибудь шелла, но не спасут от sql-injection с DROP DATABASE ...

С уважением, Борис Долгов. Администрирование, дешевые лицензии ISPsystem, Parallels, cPanel, DirectAdmin, скины, SSL - ISPlicense.ru (http://www.isplicense.ru/?from=4926)
Pavel.Odintsov
На сайте с 13.05.2009
Offline
169
Pavel.Odintsov
#14

От инъекции спасут пряморукие программеры :)

Andreyka
На сайте с 19.02.2005
Offline
822
Andreyka
#15
Pavel.Odintsov:
От инъекции спасут пряморукие программеры :)

пряморукие программеры - это миф

Не стоит плодить сущности без необходимости
pupseg
На сайте с 14.05.2010
Offline
347
pupseg
#16
Boris A Dolgov:
Ваши меры спасут от заливания какого-нибудь шелла, но не спасут от sql-injection с DROP DATABASE ...

я это понимаю. вот сидят размышляют два проггера.

я вообще подумал - что нах паниковать.

просто грамотно собирать логи и айпи адреса.

потом собрав все это, если произойдет беда - просто заявление в милицию, да и все.

Переходим с Яндекса на Не платил налоги к Почему продают и покупают
[umka]
На сайте с 25.05.2008
Offline
456
[umka]
#17
pupseg:
я это понимаю. вот сидят размышляют два проггера.
я вообще подумал - что нах паниковать.
просто грамотно собирать логи и айпи адреса.
потом собрав все это, если произойдет беда - просто заявление в милицию, да и все.

ага... и наша доблестная милиция с радостью кинется писать письма владельцам уругвайского прокси :D

Лог в помощь!
pupseg
На сайте с 14.05.2010
Offline
347
pupseg
#18
'[umka:
;8121109']ага... и наша доблестная милиция с радостью кинется писать письма владельцам уругвайского прокси :D

ну это тоже верно.

на данный момент - со стороны "виновника" было только "грозное письмо" шефу. что мол так и так, не заплатите - я все обвалю.

вот принимаем меры.

rtyug
На сайте с 13.05.2009
Offline
263
rtyug
#19

pupseg, вопрос... скорее к телепатам

от куда тут знают то, что там сделал тот программист?

"дырка" - может быть разная...

например, можно скрыть часть исходников или все (разными способами), и там поставить API которое будет принимать что угодно...

почему программист имет доступ на Ваш оригинальный сервер? надо было поставить тестовый сервер?!

почему бы не откатить бэкап (бэкап исходников) до того как ваш программист имел доступ на сервер? и проблемы не будет!!

ЗЫ: кстати, mod_security может скрыть множество дыр

ЗЫЫ: вообще, можно посмотреть внимательно код, и проанализировать возможность SQL-инъекции... если там ORM стоит, SQL-инъекции не будет...

Спалил тему: Pokerstars вывод WMZ, etc на VISA 0% или SWIFT + Конверт USD/GBP,etc (net profit $0,5 млрд) (https://minfin.com.ua/blogs/94589307/115366/) Monobank - 50₴ на счет при рег. тут (https://clck.ru/DLX4r) | Номер SIP АТС Москва 7(495) - 0Ꝑ, 8(800) - 800Ꝑ/0Ꝑ (http://goo.gl/XOrCSn)
12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий