- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
В 2023 году 36,9% всех DDoS-атак пришлось на сферу финансов
А 24,9% – на сегмент электронной коммерции
Оксана Мамчуева
Переиграть и победить: как анализировать конкурентов для продвижения сайта
С помощью Ahrefs
Александр Шестаков
Речь не обезопасить сайты в целом от взлома. ТС прекрасно понимает, что это вполне возможно, а разделить, что бы один сайт не заразил другой, а с basedir это в принципе достигается при должных настройках сервера.
open_basedir поможет частично только в случае php, но ни как не при других языках программирования! А если злоумышленник получил доступ к сайту, то что ему мешает использовать шелл на другом языке программирования?
Давайте не будем обманывать себя и других в этом вопросе, плюс к тому же он легко обходится!!!
Простая комбинация из open_basedir + disable_functions защищает плохо, так как есть лазейка через eval, а запретить eval без патчей нельзя. Как итог через eval можно использовать какой-нибудь system / exec, который прописан в disable_functions и дальше делать что угодно.
Вот open_basedir + disable_functions и запрет eval с помощью патча уже более менее спасает от зловредной активности.
Это все из сериала Robot не иначе. У вирусов уже искусственный интеллект появился? Да там тупо по дырам бот прошелся, что смог, то заразил и ничего он там не будет отключать и пробовать.
Вот open_basedir + disable_functions и запрет eval с помощью патча уже более менее спасает от зловредной активности.
И погубит работу части движков, которые не смогу работать без этих функций!
И погубит работу части движков, которые не смогу работать без этих функций!
Например. Назовите хоть один такой движок.
И почему все отходит от стартпоста? Кто-то знает какие движки у ТС? Для его задач полагаю будет идеальным решением.
Это все из сериала Robot не иначе. У вирусов уже искусственный интеллект появился? Да там тупо по дырам бот прошелся, что смог, то заразил и ничего он там не будет отключать и пробовать.
Ну например заразили при анализе сайт, плюс залили питон скрипт через который уже делают, что хотят, т.к. open_basedir уже не срабатывает. Что дальше-то, защитились от php скриптов, в ущерб функционала некоторых CMS, а защиту всё равно не получили!!!
И погубит работу части движков, которые не смогу работать без этих функций!
Я просто ответил, что защититься с помощью этого метода более-менее можно, автору темы это не предлагаю использовать, сам же использую такое только в отношении тех аккаунтов, от кого начинается спам или фиксируется зловредная активность / взлом сайта, чтобы не блокировать аккаунт целиком.
Стоит также заметить, что в большинстве случаев сайты дальше работают, проблемы при этом могут быть при обновлении плагинов, тем и самой CMS через панель администратора сайта (но и то, это по той причине, что список disable_functions в моем случае достаточно обширен).
Например. Назовите хоть один такой движок.
Напишите функции, которые планируете запретить, напишу Вам минимум пару движков, которые их используют.
Напишите функции, которые планируете запретить, напишу Вам минимум пару движков, которые их используют.
Ну во Евгений написал. exec в любом его проявлении и eval через плагин. + open_basedir на виртуалхост. курлы там всякие, если не нужны (опционально) и запрет на запись .htaccess
И да, простите, а откуда в движке питон?
Я же даже специально выделил, что при должных настройках сервера. Как правило на шареде питона вообще нет и быть не должно, если это не специфический для этого хостинг.
smart2web
а чем питон не угодил, он как бы штатно есть и нужен для штатного софта да и админам очень полезен.
в таком случае проще смонтировать директорию с пользователями с опцией noexec
---------- Добавлено 24.03.2017 в 23:38 ----------
резать функции и рубить штатный софт это не есть хорошо, работа шеллов на хостинге хостеру именно в плюс а не в минус.
нужно понимать что хостер таким образом быстрее узнает о проникновении и примет меры, а не после того когда за сервером придет полиция, потому что если загрузили шелл то уже все... отключай функции и не отключай, навредить смогут.