- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
VK приобрела 70% в структуре компании-разработчика red_mad_robot
Которая участвовала в создании RuStore
Оксана Мамчуева
Зачем быть уникальным в мире, где все можно скопировать
Почему так важна уникальность текста и как она влияет на SEO
Ingate Organic
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Наугад набрал http://italy.ua/phpinfo.php и увидел настройки сервака. Вполне возможно для конкретной версии софта есть эксплоиты.
да, phpinfo надо обязательно отключать в php.ini
А Бирикс - это не CMS. Бирикс - это секта.
Секта так секта...
Наугад набрал http://italy.ua/phpinfo.php и увидел настройки сервака. Вполне возможно для конкретной версии софта есть эксплоиты.
Также в корне лежит файл http://italy.ua/test.php. В нем ничего интересного, но сам факт намекает, что стоит взглянуть на квалификацию разработчиков и только потом обвинять битрикс в дырявости.
Админа к стенке, ТС на позорный столб. Саппорт Битрикса катается от смеха...
сам вопрос поставлен слишком предвзято, а ведь еще древние говорили что правильный вопрос = половина ответа
что касается "дырявости" - битрикс не более и не менее чем любой другой двиг
с полгода назад у одного из моих клиентов ломанули пачечку сайтов на однотипном двиге, когда полез выяснять - оказалось что у девочки-контентменеджера просто "увели" почту... тут хоть какие пароли ставь, имея доступ к почте злоумышленник все равно может попасть в админку
это простой пример, показывающий что необязательно в двиге дело
кстати, возможность изменения пхп-кода из админки = вселенское зло
шелка, если она там есть, может быть где угодно и замаскирована под что угодно, например под картинку... ядро, равно как и его версии ей фиолетовы
Игорь К, как бы не доказанно, что Битрикс виноват. Проверяйте сервер, логи и т.д.
Проверяем.
Но это же ненормально, если:
1. Больной на голову разработчик путем вставки небольшой строки кода может получить доступ в начале в админку, потом - ко всему сайту, а потом и ко всему серверу!!!
2. Большой дырой безопасности Битриксе считаю, что получив доступ к одному файлу сайта, зпотом получает доступ как к самому сайту, так и ко всему серверу. И что тАк созданная ЦМС "Битрикс" является безопасной?
3. Вопросы перехода на более безопасные алгоритмы работы разработчиками отметаются. Я поднимал тему о Битрикс в связке php-fpm+nginx,. Стухла сразу.
4. В ЦМС "Битрикс" нет и не планируется механизмов контроля за созданием дыр в ней сторонними разработчиками. Соответственно - нет и не планируется механизмов восстановления ЦМС после взлома. Разве тАк созданная ЦМС "Битрикс" является безопасной? Т
Вот я и спросил: может самим разработчикам Битрикса нужна "такая безопасность": возможность держать на крючке сайты Клиентов? Логичный вопрос, согласитесь?!
P.S. Продажа ЦМС "Битрикс" серьезным проектам говорит только о том, что те, кто ее купили - в зоне серьезного риска. И им надо срочно продумывать сложные и дорогостоящие схемы резервирования данных и проверки их безопасности. Потому как в случае каких-то проблем с разработчиками Битрикса их сайты и серверы взломают из-за одной строчки кода.
---------- Добавлено 03.11.2012 в 13:15 ----------
Сломать можно что угодно.
А Бирикс - это не CMS. Бирикс - это секта.
Согласен! )))
---------- Добавлено 03.11.2012 в 13:17 ----------
сам вопрос поставлен слишком предвзято, а ведь еще древние говорили что правильный вопрос = половина ответа
что касается "дырявости" - битрикс не более и не менее чем любой другой двиг
Но на этом двиге Сайт Российской думы )
Вполне возможно что ломают и через какую-то новую дыру в этом движке, но все же ИМХО маловероятно. В каком то лохматом году когда securitylab.ru переходил на эту CMS сотрудники Positive Technologies провели комплексный аудит системы и закрыли ряд критических багов.
Бэкдоры можно заложить куда угодно лезть в ядро для этого необязательно (и даже глупо). К примеру можно запилить простейший скрипт авторизующий пользователя при обращении к нему.
Для начала советую вам сделать вот что:
1) Отключить все потенциальные команды в php.ini (например system())
2) Пройтись find'ом по директории где хранятся сайты на предмет поиска файлов с датой изменения по времени взлома
3) Каждой БД завести отдельного пользователя с правами только для этой БД
4) Если на сервер есть доступ по ssh то повесить его на другой порт
5) Посмотреть версии софта на сервере и поискать на предмет публичных критических багов
Также проблема может быть в том что по умолчанию для битрикса нужно на директрию сайта, bitrix/ и bitrix/modules выставить 777
По поводу Битрикс + Nginx + PHP-FPM +MySQL
5 минут поиска в гугле:
http://dev.1c-bitrix.ru/community/webdev/user/5427/blog/bitrix-nginx-phpfpm/
http://www.doless.ru/bystryj-vvod-v-stroj-debian-6.html
А вот тут как видите Apache также отсутствует:
http://www.1c-bitrix.ru/products/vmbitrix/#tab-VMBitrix-link
Игорь К, не вводите людей в заблуждение.
Но это же ненормально, если:
1. Больной на голову разработчик путем вставки небольшой строки кода может получить доступ в начале в админку, потом - ко всему сайту, а потом и ко всему серверу!!!
Получив доступ в админку, взломщик никаким образом не получит доступ к ftp/ssh. Так же как и в любой другой CMS.
2. Большой дырой безопасности Битриксе считаю, что получив доступ к одному файлу сайта, зпотом получает доступ как к самому сайту, так и ко всему серверу. И что тАк созданная ЦМС "Битрикс" является безопасной?
Покажите, пожалуйста, CMS, где получив доступ к редактированию php файла на сервере, невозомжно сделать api-запрос с инсертом в таблицу с юзерами и тем самым зайти в админку?
3. Вопросы перехода на более безопасные алгоритмы работы разработчиками отметаются. Я поднимал тему о Битрикс в связке php-fpm+nginx,. Стухла сразу.
Гугл помогает, ответ выше.
4. В ЦМС "Битрикс" нет и не планируется механизмов контроля за созданием дыр в ней сторонними разработчиками. Соответственно - нет и не планируется механизмов восстановления ЦМС после взлома. Разве тАк созданная ЦМС "Битрикс" является безопасной? Т
Опять же поискал ссылку за вас. http://www.1c-bitrix.ru/products/cms/security/#tls
Система позволяет сделать защищенный паролем снимок состояния всех файлов. И сразу же определить, в какие из них вносились изменения.
Какая CMS умеет так же?
Игорь К, не вводите людей в заблуждение.
Получив доступ в админку, взломщик никаким образом не получит доступ к ftp/ssh. Так же как и в любой другой CMS.
Насколько я знаю, в Битриксе есть модуль управления файлами через админку. То есть доступ к админке дает возможность манипулировать файлами.
Насколько я знаю, в Битриксе есть модуль управления файлами через админку. То есть доступ к админке дает возможность манипулировать файлами.
Да, есть. В вордпрессе есть редактор тем, который можно использовать для заливки полноценного редактора файлов на сервер.
Для других CMS уверен что или редактор есть, или можно через админку поставить плагин, который это реализует.
Конкретно Битрикса не могу что-то сказать.
Но можно вспомнить, что почти все компании имеют огромную прибыль на продаже запчастей к своей продукции. Это серьёзный рыночный сегмент приносящий огромные деньги.
Также проблема может быть в том что по умолчанию для битрикса нужно на директрию сайта, bitrix/ и bitrix/modules выставить 777
Это глупость по незнанию или заведомая ложь? Там 755 если кто не знает.
Насколько я знаю, в Битриксе есть модуль управления файлами через админку. То есть доступ к админке дает возможность манипулировать файлами.
А какая СУС без этого? Если кто-то по неумению отбил молотком себе яйца, то молоток не виноват 😂.
На самом деле создание однотипных сайтов на разных СУС не есть принак большого ума. Делал бы на бесплатном WP... это как раз для бюджетного админа.
Какая CMS умеет так же?
Такое ощущение, шта эта антибитриксная секта 🤣.
Конкретно Битрикса не могу что-то сказать.
Вот и помолчи... в сторонке.