- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Зачем быть уникальным в мире, где все можно скопировать
Почему так важна уникальность текста и как она влияет на SEO
Ingate Organic
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
наймите профессионала для аудита кода.
А пропустит он пару ошибок, через которую когда-нибудь сломают... И потом, он может специально оставить закладку/пропустить баг, чтобы потом его продать или сам поюзать. Типа заказывайте снова меня, еще денег хочу.
Аудит тоже входит в исправление ошибок, но надо проработать слой "а если снова".
rkhunter и fail2ban лишними не будут первая сканирует все типовые следы взломов и ищет руткиты и прочую нечесть, а так же следит за изменением системных файлов по умолчанию, но может следить и за чем угодно при доп. настройке. Вторая утилитка банит брутерфорсеров по SSH и любым другим сервисам, шаблоны есть почти для всего...
Далее ставите какой нибудь тестер и сканер уязвимостей, например начните с nikto
rkhunter и fail2ban лишними не будут первая сканирует все типовые следы взломов и ищет руткиты и прочую нечесть, а так же следит за изменением системных файлов по умолчанию, но может следить и за чем угодно при доп. настройке. Вторая утилитка банит брутерфорсеров по SSH и любым другим сервисам, шаблоны есть почти для всего...
Стоят.Но малоприменимы -- rkhunter поможет мало, систему не заражают. А если систему сломают, всё переставлять.
Для контроля самих сайтов ставим уже svn, им проще отслеживать изменения и реверт проще и быстрее.
fail2ban поможет тоже мало - ссш на юзерах закрыт, а ловить им попытки перебора паролей/багов и прочего в апаче - явно непрофильно. Тогда mod_security.
Вот это полезно для поиска дыр, тогда и метасплоит можно упомянуть, но тоже чуть не то. Хотя им тоже прогоним сейчас.
Вот и пытайся тут помочь... :-) Посмотрите что за прошлый совет с репутацией сделали? :-)
В вашем случае тогда действительно только два основных пути тогда.
1. Как Вы уже сами нашли контроль версий. Это 99% гарантия успеха, то есть в случае подсадки шела не придется все переустанавливать, а лечиться за минуты.
2. Поиск аномалий. Пишите скрипты для анализа основных логов на контроль изменения обращений. Каждые сутки с разбросом в 20%, если что то в логах выходит за 20% в любую сторону, сигнализируем и почасовые но тут уже 50%... Судя по подходу траф. у Вас достойный и защита на относительно достойном уровне, по этому боты Вас не сломают, а сломает (если вдруг) только грамотный спец, который тут же эту дыру заюзает, т.к. знает, что не живут они долго... Потому цифорка 2. тут работает со стопроцентной вероятностью...
Вот и пытайся тут помочь... :-) Посмотрите что за прошлый совет с репутацией сделали? :-)
Простите, не понял.. кому что сделали. Если слили - это не я, честно.
1. Как Вы уже сами нашли контроль версий. Это 99% гарантия успеха, то есть в случае подсадки шела не придется все переустанавливать, а лечится за минуты.
Контроль это только откатить изменения, но для активного сайта не панацея - добавлять всякие документы, контент юзера и подобное - не очень хорошая идея, это лучше в простые бэкапы. Поэтому и не отследить изменение/очистку содержимого/добавление зараженного документа с бэкдором. А если добавлять всё - надо смотреть на другие системы контроля, которые спокойно пережуют как сайт в 10 гиг, так и с 50к+ файлами, а также умеют сохранять и восстанавливать атрибуты файлов, даты модификаций, и делать частичный откат (понадобилось откатить на 3 ревизии назад, сохранив новые файлы на месте). В этом плане свн очень неудобен.
Ну и опять же вопрос не столько в лечении (бэкапы никто не отменял), сколько в обнаружении КАК это было сделано. Какой юзер, какие скрипты участвовали, какие были запросы и обращения, в идеале - уязвимые строки и какие дыры, но это уже фантастика.
Увы, защита слаба. 600+ сайтов на 6 версиях одного самописного дико дырявого движка + сотня на другом самописном движке.
Хотя похоже сломал спец, а потом накатал бота - заражения были через баги движков, от имени самих владельцев, но массово.
Всякие mod_security и naxci подключаю, но нет пока вектора защиты.
посмотреть и найти :)
все что требуется
А пропустит он пару ошибок, через которую когда-нибудь сломают... И потом, он может специально оставить закладку/пропустить баг, чтобы потом его продать или сам поюзать. Типа заказывайте снова меня, еще денег хочу.
Аудит тоже входит в исправление ошибок, но надо проработать слой "а если снова".
Если это не очень крутой проект, то аудита специалиста среднего уровня будет достаточно.
Мало кто задаётся задачей сломать именно ваш сайт любыми способами, если это не очень крупный проект или заказ. А если это заказ, то вы бы и сами об этом не узнали.
90% эксплуатируемых векторов атак используемых при взломе сайтов с цельую поиметь ваш трафик, тиц или просто залить дорвей - типовые.
Пишу сайты на PHP себе сам.
Размер исходного кода серьезного сайта колеблется от 10 до 20 тысяч строк.
Что бы провести аудит безопасности нужно полностью просмотреть весь код и понять как он работает.
На это может уйти 1-2 месяца. При этом гарантий того что все дыры обнаружены никто не даст.
Месяц работы квалифицированного программиста стоит не дешево.
Кто ни будь знает порядок цен аудита безопасности кода сайта?
Пишу сайты на PHP себе сам.
Кто ни будь знает порядок цен аудита безопасности кода сайта?
http://internalsecurity.ru/services/
80к
Тоже ищу аналоги, для сравнения. И понятно, что можно найти на веблансе дешевле в 10-20 раз, но без гарантий..
немного хочу с другой стороны предложить задуматься. вот сайт взломают, начнут что-то там менять в файлах, чтоб траф увести или ссылки внедрить или еще что.
если этот момент вовремя обнаружить, то можно предотвратить негативные последствия.
а для мониторинга целостности файлов (и еще много чего) предлагаю пользоваться сервисом в подписи.