ЦМС Бирикс: дырявая случайно или специально?

да, phpinfo надо обязательно отключать в php.ini

Секта так секта...

Админа к стенке, ТС на позорный столб. Саппорт Битрикса катается от смеха...

сам вопрос поставлен слишком предвзято, а ведь еще древние говорили что правильный вопрос = половина ответа

что касается "дырявости" - битрикс не более и не менее чем любой другой двиг

с полгода назад у одного из моих клиентов ломанули пачечку сайтов на однотипном двиге, когда полез выяснять - оказалось что у девочки-контентменеджера просто "увели" почту... тут хоть какие пароли ставь, имея доступ к почте злоумышленник все равно может попасть в админку

это простой пример, показывающий что необязательно в двиге дело

кстати, возможность изменения пхп-кода из админки = вселенское зло

шелка, если она там есть, может быть где угодно и замаскирована под что угодно, например под картинку... ядро, равно как и его версии ей фиолетовы

Проверяем.

Но это же ненормально, если:

1. Больной на голову разработчик путем вставки небольшой строки кода может получить доступ в начале в админку, потом - ко всему сайту, а потом и ко всему серверу!!!

2. Большой дырой безопасности Битриксе считаю, что получив доступ к одному файлу сайта, зпотом получает доступ как к самому сайту, так и ко всему серверу. И что тАк созданная ЦМС "Битрикс" является безопасной?

3. Вопросы перехода на более безопасные алгоритмы работы разработчиками отметаются. Я поднимал тему о Битрикс в связке php-fpm+nginx,. Стухла сразу.

4. В ЦМС "Битрикс" нет и не планируется механизмов контроля за созданием дыр в ней сторонними разработчиками. Соответственно - нет и не планируется механизмов восстановления ЦМС после взлома. Разве тАк созданная ЦМС "Битрикс" является безопасной? Т

Вот я и спросил: может самим разработчикам Битрикса нужна "такая безопасность": возможность держать на крючке сайты Клиентов? Логичный вопрос, согласитесь?!

P.S. Продажа ЦМС "Битрикс" серьезным проектам говорит только о том, что те, кто ее купили - в зоне серьезного риска. И им надо срочно продумывать сложные и дорогостоящие схемы резервирования данных и проверки их безопасности. Потому как в случае каких-то проблем с разработчиками Битрикса их сайты и серверы взломают из-за одной строчки кода.

---------- Добавлено 03.11.2012 в 13:15 ----------

Согласен! )))

---------- Добавлено 03.11.2012 в 13:17 ----------

Но на этом двиге Сайт Российской думы )

Вполне возможно что ломают и через какую-то новую дыру в этом движке, но все же ИМХО маловероятно. В каком то лохматом году когда securitylab.ru переходил на эту CMS сотрудники Positive Technologies провели комплексный аудит системы и закрыли ряд критических багов.

Бэкдоры можно заложить куда угодно лезть в ядро для этого необязательно (и даже глупо). К примеру можно запилить простейший скрипт авторизующий пользователя при обращении к нему.

Для начала советую вам сделать вот что:

1) Отключить все потенциальные команды в php.ini (например system())

2) Пройтись find'ом по директории где хранятся сайты на предмет поиска файлов с датой изменения по времени взлома

3) Каждой БД завести отдельного пользователя с правами только для этой БД

4) Если на сервер есть доступ по ssh то повесить его на другой порт

5) Посмотреть версии софта на сервере и поискать на предмет публичных критических багов

Также проблема может быть в том что по умолчанию для битрикса нужно на директрию сайта, bitrix/ и bitrix/modules выставить 777

По поводу Битрикс + Nginx + PHP-FPM +MySQL

5 минут поиска в гугле:

http://dev.1c-bitrix.ru/community/webdev/user/5427/blog/bitrix-nginx-phpfpm/

http://www.doless.ru/bystryj-vvod-v-stroj-debian-6.html

А вот тут как видите Apache также отсутствует:

http://www.1c-bitrix.ru/products/vmbitrix/#tab-VMBitrix-link

Игорь К, не вводите людей в заблуждение.

Получив доступ в админку, взломщик никаким образом не получит доступ к ftp/ssh. Так же как и в любой другой CMS.

Покажите, пожалуйста, CMS, где получив доступ к редактированию php файла на сервере, невозомжно сделать api-запрос с инсертом в таблицу с юзерами и тем самым зайти в админку?

Гугл помогает, ответ выше.

Опять же поискал ссылку за вас. http://www.1c-bitrix.ru/products/cms/security/#tls

Система позволяет сделать защищенный паролем снимок состояния всех файлов. И сразу же определить, в какие из них вносились изменения.

Какая CMS умеет так же?

Насколько я знаю, в Битриксе есть модуль управления файлами через админку. То есть доступ к админке дает возможность манипулировать файлами.

Да, есть. В вордпрессе есть редактор тем, который можно использовать для заливки полноценного редактора файлов на сервер.

Для других CMS уверен что или редактор есть, или можно через админку поставить плагин, который это реализует.

Конкретно Битрикса не могу что-то сказать.

Но можно вспомнить, что почти все компании имеют огромную прибыль на продаже запчастей к своей продукции. Это серьёзный рыночный сегмент приносящий огромные деньги.

Это глупость по незнанию или заведомая ложь? Там 755 если кто не знает.

А какая СУС без этого? Если кто-то по неумению отбил молотком себе яйца, то молоток не виноват 😂.

На самом деле создание однотипных сайтов на разных СУС не есть принак большого ума. Делал бы на бесплатном WP... это как раз для бюджетного админа.

Такое ощущение, шта эта антибитриксная секта 🤣.

Вот и помолчи... в сторонке.