Превентивная защита DLE от взлома

sanchosmavrody · 2013-06-25T08:32:36.0000000Z

Как правило все уязвимости используют не достаточное фильтрование входных данных, или ошибки связанные к примеру с неправильной обработкой ббкодов в личных сообщениях, в каментах итп. Почти всегда шела льют через аватарку (как клеют рассказывать не буду) а далее используя ту или иную уязвимость выполняют аватарку, или переносят файл в какую либо диру, а чаще тупо сносят .htacces. Так же часто используя уязвимость добираються до записи к конфигу а он инклудиться и исполняется без проблем. Объединяет все уязвимости одно - запросы. В связи с этим назревает решение - фильтровать все запросы, на всех точках входа, на предмет потенциально опасных слов. Вот принцип работы фильтра (у меня он работает как класс "антивирус" и более громоздкий): //1. фун-я поиска вредных слов function searchBadWord($arrData) { $arrSearch = explode(',', "select,union,where,char,from,exec,eval,base64_decode,',`,[,],{,}"); // стоп слова $countIn = 0; foreach ($arrData as $val) { $val = strtolower($val); foreach ($arrSearch as $badWord) { $countIn +=substr_count($val, $badWord); } } if ($countIn == 0){ return false; } else { return true; } } //упаковка и отсылка всех нужных данных нам на мыло function sendAlert(){ mail('admin@site.my', " HACK!", " | REQUEST: ".json_encode( $_REQUEST)." | SERVER: ".json_encode( $_SERVER)." | COOKIE: ".json_encode( $_COOKIE)); } //проверяем два массива с данными и если есть стоп слова просто шлём уведомление if(searchBadWord($_REQUEST) OR searchBadWord($_COOKIE)){ sendAlert(); //die( "Hacking attempt!" ); // но лучше не включать пока не убедитесь в правильной работе всего сайта } Этот код нужно аккуратно включить на всех точках входа: index.php, admin.php, во всех файлах engine/ajax/ В зависимости от модуля аджакса, или админки возможно некоторые стоп слова будут часто мешать - с умом пофиксить этот вопрос. Вреда от кода как минимум не будет - максимум что он будет спамить вам нада и не надо. Ну а дальше уже думать и допиливать в нужных местах стоп слова. С ходу именно этим кодом можно ловить дыры, ну и закрывать их. Прошу отметить - код хоть и рабочий но только для примера. Нужен программист разбирающийся в дле чтобы правильно его и надёжно установить. Хостер отключил след. функции: eval(), assert() - выполняет переданный ей параметр как php код. passthru(), exec(), system(), shell_exec(), proc_open( ) -функции выполнения команд или работы с процессами. Отсутствие проверки входных данных могут дать взломщику возможность выполнять команды. Вопрос таким методом решён был жёстка - сайты с такой защитой на разных версиях двигов от 8,5 до 9,8 уже как пол года не ломаются, хоть и явно вражеские запросы с улыбкой читаю на почте. Касательно мелких доработок хотел был ещё отметить: - внимательно перечитать все настройки и вырубить лишне - ненужные для вашего проекта (несколько защита, сколько оптимизация) - engine/classes/mysqli.class.php и engine/classes/mysql.class.php в них есть блок вывода ошибки базы - палится на старых версиях много чего полезного хацкеру - echo ' ... ' ; закоментить, ну или как сделал я проверку для админа + маил на почту о проблеме. - ненужные модули нужно почистить - к примеру мне на сайте ненужны каменты и рейтинг новостей - всё сношу из папки emgine/modules/ и emgine/ajax/ - admin.php он по хорошему должен переименован быть + должна стоять жёсткая проверка на id админов. У меня так и подавно лежит ложный admin.php в придачу) Статью написал на скорую руку если что то непонятно отвечу. Мнение DLE любителей тоже интересно :)

SG

7

setka_gs

29 июня 2013, 12:09

#11

Gateman:
От флуда избавляются уже на стороне сервера.

Это не реально, если избавляться смысл в такой защите? Или я чего-то не понял. Идет запрос в нем вхождение SELECT... защита срабатывает, 1 000 000 запросов с SELECT 1 000 000 срабатываний.

S

22

sanchosmavrody

29 июня 2013, 13:00

#12

На счёт нагрузок не верю что перебор массива даёт большой прирост к нагрузке. 5к в день не показатель, но эксперимент всё таки проведу на эту тему. У меня выделенный. А на счёт нештатного срабатывания уже писал - явные переменные фильтруются аккуратнее и таковых крайне мало.

Подскажите плюсы и минусы Ребят, помогите найти косяк. Апдейты 20-21 июля, 25-26

427

siv1987

29 июня 2013, 13:50

#13

setka_gs, хотел наверное сказать не о переборе массива, а о отправке уведомлений на емайл.

F

85

fatalenergy

29 июня 2013, 14:37

#14

нет там ни какой нагрузки

Как начать тренироваться (http://max-body.ru/quick_start.html), Бодибилдинг форум (http://fatal-energy.com/). Обменяюсь/куплю ссылками со статей (или статьями) с сайтами бодибилдинг/фитнес тематики.

Яндекс Вебмастер вынес товарные фиды в отдельный раздел

Что такое Power BI и зачем это нужно бизнесу