- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
есть клиент.
исправно оплачивает поддержку сервера.
клиент не хочет платить своему программисту, потому как тот - Идеальный Друг И Отличный Товарищь.
программист грозиться поломать важный сайт через дырку в скрипте.
вопрос к аудитории: как защититься?
от себя: сайт в chroot, tmp в noexec, все компиляторы, в том числе python и perl - удалены, на основные критические бинарники поставлен атрибут +i. php-fastcgi. ограничение на память и процессорное время - стоят. папки и файлы сайта имеют верные права, не ставил от балды -R 777.
на критические файлы, которые не модифицируются в принципе - стоят root:wheel 640.
клиент - прав. и проггеру платить - не за что. работу на себя взял - работу не выполнил, провалил сроки, а теперь хочет денег за "работу" (ТЗ было составлено грамотно, техническими специалистами).
как еще защититься? может быть дадите какой либо свежий взгляд?
PS: само собой - есть все бакапы, регулярно все резервируется. сайт просто очень важен. и час простоя стоит $ не мало. Само собой - наняты другие два проггера, которые сейчас разбираются активно с движком,и ищут дырку, но что бы они "въехали" - нужно время.
В принципе, главное бэкапы :)
наняты другие два проггера
Если сайт реально приносит много $, то думаю, не будет проблемой нанять ещё одного "дежурного", который, в случае чего, оперативно оторвёт бубенцы предыдущему исполнителю :D
;8116008']оперативно оторвёт бубенцы предыдущему исполнителю :D
Точно :)
Начинать можно уже сейчас, чтобы желания взломать даже не возникало =)
ну дежурный проггер - неплохая затея кстати.
ну как сказать - много не много... он не является шопом, партнеркой итд.
это главный сайт крупной, известной по крайней мере всей европейской части России компании.
много потенциальных клиентов обращаются в том числе и через интернет. личные кабинеты там и все такое. поэтому простой - критичен.
ну дежурный проггер - неплохая затея кстати.
Или дежурная служба безопасности в офлайне, которая "вежливо" перебивает желание пакостить😂
;8116008']В принципе, главное бэкапы :)
+100500
Если есть возможность - почасовые и глубиной недели в две. Дырку искать не надо, лучше методами соц.инженерии спровоцировать шантажиста - пусть сам покажет (если она вообще есть). По логам текущий саппорт должен разобраться.
Делать каждую минуту скриптом анализ последних строк из лог файла access.log.
Находить там запросы с фрагментами.
select
union
admin
passwd
../../..
/etc/
mysql
и так далее.
Разумеется на вашем сайте не должно быть адресов страниц с этими фрагментами.
При обнаружении таких строк, IP хакера автоматически банить фаерволом.
Ваш админ должен ежедневно смотреть кого забанило и анализировать запросы с этих забаненных IP.
А нанятые прогеры не могут выполнить аудит безопасности? Если это не шоп / партнерка, то, подозреваю, что это простой сайт с не шибко сложным движком, которому аудит безопасности можно провести за несколько дней. Но с таким подходом к найму, что прошлый программер "кинул", лучше и новым двум особенно не доверять, а отдать независимой конторе, которая выполнит аудит.
Так вы в первом посте пишите что хотят сломать сайт, а меры приняты для изоляции системы от пользователя.
Если в скриптах оставлено - значи сломает и не заметите ничего.
С помощью mod_security закрываем потенциальные дыры
С помощью mod_dump - смотрим все запросы
Ну и базово настроить сервак чтоб при шелле от вебсервера ничего нельзя было делать
А нанятые прогеры не могут выполнить аудит безопасности?
По трудозатратам аудит кода на наличие дырок будет около 20%-50% от трудозатрат на переписывание движка заново.
То есть довольно дорого.
Вообще программистов надо тщательно проверять на вменяемость прежде чем брать на работу, а если уж взяли, то нужно их холить и лелить и пылинки с них сдувать.
Так как если программист уйдет, то проблем с сопровождением его проектов возникает довольно много.