- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Как снизить ДРР до 4,38% и повысить продажи с помощью VK Рекламы
Для интернет-магазина инженерных систем
Мария Лосева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
есть клиент.
исправно оплачивает поддержку сервера.
клиент не хочет платить своему программисту, потому как тот - Идеальный Друг И Отличный Товарищь.
программист грозиться поломать важный сайт через дырку в скрипте.
вопрос к аудитории: как защититься?
от себя: сайт в chroot, tmp в noexec, все компиляторы, в том числе python и perl - удалены, на основные критические бинарники поставлен атрибут +i. php-fastcgi. ограничение на память и процессорное время - стоят. папки и файлы сайта имеют верные права, не ставил от балды -R 777.
на критические файлы, которые не модифицируются в принципе - стоят root:wheel 640.
клиент - прав. и проггеру платить - не за что. работу на себя взял - работу не выполнил, провалил сроки, а теперь хочет денег за "работу" (ТЗ было составлено грамотно, техническими специалистами).
как еще защититься? может быть дадите какой либо свежий взгляд?
PS: само собой - есть все бакапы, регулярно все резервируется. сайт просто очень важен. и час простоя стоит $ не мало. Само собой - наняты другие два проггера, которые сейчас разбираются активно с движком,и ищут дырку, но что бы они "въехали" - нужно время.
В принципе, главное бэкапы :)
наняты другие два проггера
Если сайт реально приносит много $, то думаю, не будет проблемой нанять ещё одного "дежурного", который, в случае чего, оперативно оторвёт бубенцы предыдущему исполнителю :D
;8116008']оперативно оторвёт бубенцы предыдущему исполнителю :D
Точно :)
Начинать можно уже сейчас, чтобы желания взломать даже не возникало =)
ну дежурный проггер - неплохая затея кстати.
ну как сказать - много не много... он не является шопом, партнеркой итд.
это главный сайт крупной, известной по крайней мере всей европейской части России компании.
много потенциальных клиентов обращаются в том числе и через интернет. личные кабинеты там и все такое. поэтому простой - критичен.
ну дежурный проггер - неплохая затея кстати.
Или дежурная служба безопасности в офлайне, которая "вежливо" перебивает желание пакостить😂
;8116008']В принципе, главное бэкапы :)
+100500
Если есть возможность - почасовые и глубиной недели в две. Дырку искать не надо, лучше методами соц.инженерии спровоцировать шантажиста - пусть сам покажет (если она вообще есть). По логам текущий саппорт должен разобраться.
Делать каждую минуту скриптом анализ последних строк из лог файла access.log.
Находить там запросы с фрагментами.
select
union
admin
passwd
../../..
/etc/
mysql
и так далее.
Разумеется на вашем сайте не должно быть адресов страниц с этими фрагментами.
При обнаружении таких строк, IP хакера автоматически банить фаерволом.
Ваш админ должен ежедневно смотреть кого забанило и анализировать запросы с этих забаненных IP.
А нанятые прогеры не могут выполнить аудит безопасности? Если это не шоп / партнерка, то, подозреваю, что это простой сайт с не шибко сложным движком, которому аудит безопасности можно провести за несколько дней. Но с таким подходом к найму, что прошлый программер "кинул", лучше и новым двум особенно не доверять, а отдать независимой конторе, которая выполнит аудит.
Так вы в первом посте пишите что хотят сломать сайт, а меры приняты для изоляции системы от пользователя.
Если в скриптах оставлено - значи сломает и не заметите ничего.
С помощью mod_security закрываем потенциальные дыры
С помощью mod_dump - смотрим все запросы
Ну и базово настроить сервак чтоб при шелле от вебсервера ничего нельзя было делать
А нанятые прогеры не могут выполнить аудит безопасности?
По трудозатратам аудит кода на наличие дырок будет около 20%-50% от трудозатрат на переписывание движка заново.
То есть довольно дорого.
Вообще программистов надо тщательно проверять на вменяемость прежде чем брать на работу, а если уж взяли, то нужно их холить и лелить и пылинки с них сдувать.
Так как если программист уйдет, то проблем с сопровождением его проектов возникает довольно много.