Мониторинг неизменности файлов сайта

Ветку не читал, но напишу немного своего. Я свои сайты храню в svn. Именно, их движки, без контентной части (архивы, картинки и т.п.). А еще у меня есть скрипт, который позволяет залить изменения определенного сайта с компьютера на сервер:

sync_site <site> [real]

первым параметром указывается имя сайта (мои собственные, так сказать, алиасы), второй параметр необязательный. Если real не указать, то скрипт просто отобразит, какие файлы он хочет заменить на сервере. С real он их заменит. Так вот, в основу работы скрипта лежит rsync, который сравнивает локальную и удаленную копию на основе контента файлов. Таким же методом можно и контролировать целостность сайта. Движок - это относительно небольшой объем данных, а в статику (архивы, картинки и т.п.) ничего вредоносного не засунешь, не изменяя настройки веб-сервера. Такой вариант

Хотите честно? Это называется езда по ушам. Типа умными словами. За которыми реальной проблемы НЕТ.

Может вначале стоит внимательней изучить сервис? У людей (у меня в тч) там по нескольку сайтов.

Да, но для этого существуют велосипеды, упомянуты мной выше. Да и собсно не надо этого ни одному адекватному юзеру - пускать какие-то там сервисы сканить твои файлы.

Весьма спорный вопрос. Я бы отнёс это к недостаткам. Причины? Начиная от сказанного выше и заканчивая недоступность сервиса, а значит неинформированностью юзера.

KostaShah, нет, я не говорю что сделано плохо, никому не нужно... АБСОЛЮТНО НЕТ! Наверняка что-то в этом есть, но на таком старте говорить о платных услугах - провальная политика (не оценена ни конкуренция, ни ЦА)

Есть вариант :) Но опять же в силу собственных принципов безопасности я бы это себе не ставил, но поскольку система ТАК работает, то.. В общем скрипт запрашивает с сервера сервиса свой же MD5\копию себя\кусок кода\другой хитрый скрипт ;)\ест... Далее, думаю, понятно. ;)

SeVlad, Ещё раз спасибо.

Стыдно признаться, но не понятно. Мне кажется, что таким способом установленный у клиента скрипт может убедиться, что он общается с нужным сервером. Но у меня проблема обратная: серверу нужно убедиться, что он общается с неизменённым скриптом. Если не трудно, объясните пожалуйста.

Что касается платности, может я ошибаюсь, но мне представляется честнее сразу назначить цены, и держать их постоянными, чем привлечь клиентов бесплатностью, а потом обломать, как говорится. Разве не так?

По поводу опасений "пускать какие-то там сервисы сканить твои файлы", клиент получает один небольшой PHP-скрипт, который он может просмотреть (или попросить просмотреть кого-то понимающего), и убедиться, что в нём нет ничего подозрительного, и что скрипт будет делать именно то, для чего предназначен. Он не предназначен выполнять произвольные команды, получаемые от сервера. Он может только сгенерировать и выдать список файлов и их хешей. Собственно, чтобы не быть голословным, я прикрепил пример такого файла, там всего 47 строк. Имена файлов генерируются разными, для каждого клиента. Таким образом, злоумышленник не сможет обратиться к этому файлу, чтобы к примеру, зря нагрузить сервер, или получить список имеющихся у клиента файлов.

Да не вопрос :)

В1. Скрипт считает свой хеш и отправляет его на сервис (можно в купе с др данными + зашифровано + соль + случ. данные (МД5 др. файлов например). Алгоритм шифровки и тп, соответственно свой.)

В2. Сервис через скрипт забирает этот самый скрипт (те скрипт по сути является шеллелом\клиентом для сервиса) и уже у себя его проверяет.

Но это такие.. относительно примитивные проверки. В1 теоретически можно и подделать.

А я имел ввиду (как вариант) - скрипт по крону (частому, а не раз в сутки) скачивает сам себя (или др скрипт), чем а) сигнализирует системе о состоянии б) уменьшает вероятность его подмены.

В случае же с доп. скриптом вероятность подмены резко сокращается, если устраивать перекрёстную проверка (для этого не потребуется больших ресурсов). Или даже основную работу возложить на доп. скрипт со случайным именем и данными (каждый раз новое при скачивании). В общем суть больше в том - не дать получить злоумышленнику код и соответствующий ему хеш (в относительно короткий промежуток времени он поменяется)

И да, интересные мысли r3al в 11 посте изложил.

Мониторинг файлов - пустая затея.

прежде всего нужно задуматься о безопасности своего ПК, установив антивирус и фаервол, так как достаточно часто взламывают сайты после того, как трояном были украдены данные для входа на FTP.

Так же, если вы используете движки, нужно вовремя их обновлять и настраивать в соответствии безопасности ваших файлов.

Такой подход так же будет бесполезен если какую-либо бяку внедрят в базу данных.

Ну и да, мало кто пустит сторонний скрипт к себе на сайт.

Я немного не понимаю на счёт стороннего скрипта. Разве WordPress, Jumla, DLE - это не сторонние скрипты? Разве каждый сайт состоит только из скриптов и файлов написанных собственноручно владельцем этого сайта? Почему маленький скриптик в 47 строк предствляется более опасным, чем многотонные скрипты CMS-ов, их плагинов, и всего остального?

Вы мясо\молоко\етс предпочитаете покупать в спец. местах или где-то в подворотне с земли у залётных продавцов?

Аналогия понятна?

Так вот с движками всё ещё более безопасно. Движки - это а)системы давно созданные большим коллективом разработчиков. б) проверенные тысячами специалистов в)есть более-менее конкретные ответственные за работу\проблемы\етс.

Резюме - это вопрос доверия.

Ой, вот только не надо про адекватных пользователей!

Я продаю хостинг 7 лет и уже такого насмотрелся…

Вы кого адекватным пользователем называете? Школьника Васю, который только переехал с народа? Или хозяина маленькой фирмочки, который “ занедорого” заказал фрилансеру сайт (тому же самому Васе?) – и получил что-то слепленное на JOOMLA?

Вот этот сервис – 100% для них.

Art-Host, к чему столько умных слов?

Это вы кому будете рассказывать про «безопасность ПК и настройки фаервола» - зубному врачу, нотариусу, КМС по боксу, владельцу тренажерного зала, которому тоже захотелось свой сайт в нете завести? (Так у КМС одно представление о безопасности – хук слева и всех делов. :))

Или это владелец СПА/Пансионата/Ювелирной мастерской будет обновлять движки? Да он и слов не знает таких – там в лучшем случае девочка сидит и, чтобы выложить статью на сайт знает, что нужно вот эти 3 кнопочки нажать… А реально, один раз написанный на бумажке текст, внес на сайт фрилансер-Вася и вот так оно годами и живет.

Ребята, вы о чем тут все?

Какой китайский/турецкий/арабский хакер (прочтет описание маленького никому неизвестного русского сервиса) и пойдет искать «А где же там этот файлик лежит?» Это что сервис от Майкрософта, чтобы о нем все знали и при взломе на него ориентировались? Я убежден, что из 100% взломов дай Б-г чтобы 1% что-то начал мутить с проверяющим файлом.

Представьте, хакер уже внутри, - получил доступ к ФТП, он уже сайт взломал. Ему осталось только выложить что-то-там за ради чего он сайт ломал. Он не будет смотреть, а что тут еще(?) для защиты сделано – он уже победил.

(Не буду говорить, что половина сайтов ломается в автомате, сканируя известные уязвимости (движков), вообще без участия человека…)

И вот этот самый сервис идеально подходит для всех тех владельцев сайтов, которые не в ухо, не в гриву… Но зато получив сведенья о том, что 3 файла изменились, а еще 5 добавились у них на хостинге, сразу будут знать, где что искать и что нужно удалять. Ну, или, уже упомянутый мною Вася-фрилансер, это сделает за них. И стоить это будет на 100500 зеленых, а 3 копейки т.к. точно известно ГДЕ и ЧТО нужно чинить (или тупо выложить по новой из архива и удивляться почему опять взломали).

От того, что «защиту» могут обойти это еще не значит, что ее не стоит пользоваться. Машины ломаются, попадают в аварию, самолеты – падают, у таблеток есть побочные эффекты – желающие могут продолжить список самостоятельно ;), но люди не перестают этим всем пользоваться?

Вот так и тут. Джумла 1,5 (фи) намного предпочтительней вместе с этой приблудой, чем голая.

Я уж не говорю, что сервис на год по цене 4-х банок пива – это считай бесплатно.

P.S. Ну если так хочется обезопасить себя (пользователя?), то сделайте еще один файлик, который будет проверять целостность первого. На сайте об этом ничего не пишите. А в письме с инструкциями пользователю, объясните, что первый файл проверяет второй. И если второй файл (который высчитывает хеш) цел, то его данным можно верить и быть уверенным, что бяку вам не залили.

P.S.2. Пошел региться и тестить.

Вот тут как раз надо.

1. Надо учить юзеров пользоваться тем, чем они пользуются. Будь то Порш последней модели, стиральная машинка или сайт.

2. ЦА этого сервиса как раз не КМС по боксу, а относительно грамотные юзеры.

В остальном на 150% согласен.

И даже уверен, что и продавать можно. Не только в инете есть масса примеров успешных продаж бесплатного\видимости\етс.

Только лучше продавать грамотно, не гонясь за быстрым обогащением (этот путь как раз провальный). Давая юзеру бесплатно необходимый минимум, а вот за доп. плюшки уже можно и нужно брать и денежку.

Спасибо, будем знать на каком хостинге не стоит размещаться.

АПД.

Ога.. а если 250? И кто будет понимать - это после обновление плагов\стандартных действий пользователей\етс или это результат хака? КМС отличит и поймёт о чем там отчёт пришел? :)