Сыктывкарский бомж

В последнее время участились случаи взлома сайтов, на которых стоит скрипт интернет-магазина Shop-Script и Shop-Script Premium. Попробуем частично решить проблему, то есть если Вас пытяются взломать через web-интерфейс браузера. Здесь имеется ввиду то, что злоумышленнику не известны пароли на доступы FTP, SSH … etc

Итак, приступим. 1). Предположим злоумышленник каким-то образом (SQL-injection, XSS-атака, социальная инженерия…) заполучил Ваш пароль администратора от магазина. Он заходит в админку и получает контроль над всем магазином, а ещё чего - может залить шелл, ну и соответственно попортить нам с Вами весь бизнес. Что мы делаем ? Защищаем админку ещё одним паролем ( сложным наподобие p4s5#0rPD.  Как ? Очень просто.
Нужно создать .htaccess с таким содержимым

AuthUserFile /full_path_to/.htpasswd
AuthType Basic
AuthName “not hack”

<Files “admin.php”>
Require valid-user
</Files>

Файл .htpasswd с паролями создается утилитой htpasswd.exe. Если у Вас на машине установлен WEB-сервер Apache, то данная утилита находится в директории с установленным Apache-ем в подкаталоге bin. Если у Вас не установлен Apache, то утилиту htpasswd.exe можете скачать по ссылке: http://www.softtime.ru/files/htpasswd.zip. Как пользоваться данной утилитой описывать не буду - для того, чтобы посмотреть ключи и параметры работы утилиты просто введите htpasswd.exe /? Вам будет выдано описание интерфейса. Чтобы пользователи не могли прочитать файл с паролями добавляем в .htaccess такой кусочек кода :

<Files .htpasswd>
deny from all
</Files>

2). Вроде бы админку защитили. Рассмотрим вариант когда злоумышленник попал-таки в админку, и хочет залить шелл. Сделать это он может найдя директорию на запись или воспользовавшись расширением FCKeditor - именно через него в последнее время больше всего взламвают сайты. Попробуем обезопаситься. В каждую директорию FCKeditor надо добавить .htaccess , с кодом

deny from all

Либо если у вас есть дирекотрия с картинками и права на неё 777 , можно создать файл .htaccess следующего содержания :

RemoveHandler .php .phtml .php3 .php4 .php5
AddType application/x-httpd-php-source .php .phtml .php3 .php4 .php5

Действие директив .htaccess будет распространяться на содержимое директории, в которой он расположен, рекурсивно, то есть и на все поддиректории также (если это не переопределено).

Это касается и папки с FCKeditor, для пущей безопасности рекомендую в FCKeditor снести полностью папку filemanager - ибо беспокойств она вызывает обычно очень много (загрузка файлов, уязвимости), а пользы от неё маловато.

За сим откланиваюсь. Ваш Сыктывкарский бомж.

Я очень сильно этого ждал, и вот это произошло - пополнение в семье!
У меня родилась ДОЧКА !!!. Эмоций много, все не передать.
Вот оно счастье то где!!!

Поздравления принимаються в каментах ,
ну и тем, кто хочет помочь молодой семье накопить на жильё быстрее
Yandex.Money 41001221800351
WMZ Z383603681339
WMR R786598353477

… мир намного красивее, чем пейзажи на банкнотах
он звучит куда приятней, чем марш в минорных нотах…

Только что вернулся после двух недельной поездки в Ухту.
Неплохо отдохнул, и теперь с новыми силами в работу.
Немного о самом путешествии : на дорогу (около 700 км туда и обратно) всего ушло 176 рублей.
Туда ехал на попутках - всего около 10 часов затратилось на дорогу, прикольно было.
Частые остановки - просто погулять, то в сервисный центр, поесть, размяться - ноги с непривычки затекают. На мой взгляд - самая тема так путешествовать.
Обратно ехал уже на поезде - тут тоже своя атмосфера, хех весело было тоже =)

Собственно, что мы имеем на данный момент в SEO - эквилибристика от поисковых систем,
дорвеи забанены (не все конечно), трафф снизился до критической отметки, надо компенсировать дорами и новыми методами вывода в ТОП. Сапа тоже упала, но три проекта уже на готове для запуска. Работы немерено, Новый Год на носу … успеть просто необходимо =)