-
Как убрать уязвимость сайта?
- Просмотров 1128
Здравствуйте. Имею сайт, работа которого для меня важна, но его постоянно взламывает конкурент, который удаляет под ноль все данные на подключенных к сайту серверах.
Мой сайт- это хостинг игровых серверов.
Что можно внедрить и какие механизмы для защиты своего сайта могут быть?
По всей вероятности прямо с сайта делают мускул запросы в базу, читают ее, узнают пароли от подключенных серверов к сайту. Доходит до такого что в самом сайте делают впн чтобы попасть в подключенные к сайту сервера. Делают что хотят с ним.
Загрузка картинок отключена. Подскажите, как можно заинжектиться к сайту? какой командой? Чтобы я мог перехватить подобный трафикответы (11)Комментариев: (1)Здравствуйте.
По идее нужно проводить аудит безопасности.
Есть какие то мысли как именно взламывают?
Комментариев: (1)Здравствуйте,
Как выше писали коллеги, обратиться к специалисту для аудита безопасности проекта в целом.
- Автор вопроса
дорого проводить аудит ) я думаю проблема простая, просто я в этом не могу разобраться как новичек
Сам сайт https://gpl.hostfun.ru/
телеграм @hostmet
Комментариев: (1)Здравствуйте.
Как минимум обратитесь к разработчику CMS, это его работа исправлять скрипты и устранять уязвимости.
Так же как вариант попробуйте использовать такой инструмент как BitNinja (если у вас выделенный сервер или VDS). С лицензией можем помочь, дешевле чем на сайте разработчика.
BitNinja - это инструмент по пресечению вредоносной деятельности по отношению к сайтам и серверу в общем. Он не исправляет уязвимости, но предотвращает известные ему атаки (слушает трафик).
- Автор вопроса
Добрый день!
1) Проверьте на вирусы Ваш компьютер
2) Устанавливайте всегда обновления для CMS
3) Обратитесь к разработчикам CMS
4) Обратитесь к специалистом для выявления уязвимости на сайте.
Комментариев: (2)Здравствуйте.
Проверьте по логам сервера как именно выполняется удаление и от имени какого пользователя.
Исключите ssh - ключи, если таковые есть и измените пароли. Удалите не нужных пользователей в системе.
Проверьте активные процессы и cron на наличие подозрительной активности и скриптов.
Обратитесь к специалистам в области обеспечения безопасности серверов/сайтов.
- Автор вопроса
у вас есть идеи по поводу моего сайта?
подключаются к базе данных, делают что хотят..
Сам сайт https://gpl.hostfun.ru/
если можете проверить в чем уязвимость, помочь отпишите пожалуйста
телеграм @hostmet
Сайт у меня любительский, но внимание привлекает не любителькое
Необходимо проверять логи сервера.
Через веб - найти уязвимость проблематично.Вам нужно обращаться к специалистам в данном вопросе.
Спасибо.
Комментариев: (1)Необходимо:
1) Обновить CMS до последней версии
2) Сменить пароли в админку сайта
3) Сменить пароли на ftp
4) Сменить пароли на mysql
5) Если это vds сменить пароли на SSH
Также, если у Вас уязвимость в скриптах, то необходимо проверить скрипты на наличие вирусов и как временный вариант можно установить права 444, запрещающие запись и выполнение.- Автор вопроса
спасибо, проверю скрипты.. Но мне кажется дело не в них.
пароли сложные , доступ к базе только с айпи сайта. и всеравно в базу лезут
Комментариев: (2)Добрый день!
Как писали коллеги выше, убедитесь в актуальности версии вашей CMS, или если CMS самописная, проконсультируйтесь с разработчиком сайта по поводу возможных способов повышения безопасности.
Ну и, конечно же, следите за сохранностью и сложностью ваших паролей!
Здоровья вашим сайтам!
- Автор вопроса
спасибо) всё проверил, разработчика нет в живых к сожалению, поэтому чтото изменить не могу. дело не в паролях, я полагаю к базе инжектятся.
Сам сайт https://gpl.hostfun.ru/
если можете проверить в чем уязвимость, помочь отпишите пожалуйста
телеграм @hostmet
Здравствуйте!
Нам представляется самым простым решением в вашем случае - переезд на современную обновляемую CMS, например - WordPress. Стратегически это сэкономит вам деньги и энергию, так как каждый раз делать аудит безопасности и "латать" уязвимости самописной CMS - "так себе" решение как с точки зрения материальных, так и временных затрат.
Здравствуйте, нужен security аудит веб-сайта и используемого движка, проанализировав его, специалисты смогут подсказать Вам слабые и уязвимые места, на которые следует обратить пристальное внимание.
Здравстуйте!
Если "взлом" происходит путем подключения к mysql, то, вероятно, самым простым решением будет не выставлять mysql в интернет. В конфиге my.cnf параметр bind необходимо установить на localhost и поменять настройки подключения к БД в CMS.
Если же mysql по некой причине должен слушать публичный IP, то очень желательно сменить порт по умолчанию 3306 на что-то другое и ограничеть подключение к mysql при помощи iptables или любого другого фаервола.
Также убедитесь что конфиг вашей CMS недоступен из интернета.
Это самое простое что можно сделать после смены всех паролей.Добрый день. Присоединяюсь к ответам коллег.
1. Провести аудит безопасности. Изменить параметры конфигурационных файлов, установить ограниченные права доступа.
2. Обновить используемое вами ПО до актуальной версии.
3. В зависимости от конкретной конфигураций можно изменить адреса frontend`a / backend`a, можно также поменять адрес до админки.
4. Сменить пароли для подключения по FTP/ssh, до доступа в админку вашего сайта, к базам, у пользователя базы также поменять пароль.
От панели управления зависит ваше удобство в настройке хостинге\сайта.
Большинство качественных хостингов из нашего ТОПа используют удобные панели управления, поэтому рекомендуем больше внимания уделить другим параметрам при выборе.
Облачный хостинг - распределение нагрузки на несколько серверов, если сервер с вашим сайтом перегружен или не работает. Это гарантия того что пользователи в любом случае смогут видеть ваш сайт. Но это дорогая, более сложная опция, которую предоставляют далеко не все провайдеры.
Виртуальный хостинг - подходит для большинства проектов начального уровня с посещаемостью до 1000 человек в сутки. В таком хостинге мощность сервера делится между несколькими хостинговыми аккаунтами. Услуга проста в настройке даже для новичков.
VPS - подходит для более сложных проектов с достаточно большой нагрузкой и посещаемостью до 10000 человек в сутки. Здесь мощность сервера фиксированная для каждого виртуального сервера, при этом сложность настройки увеличивается.
Выделенный сервер - нужен для очень сложных и ресурсоемких проектов. Для вас выделяют отдельный сервер,мощность которого будете использовать только вы. Дорого и сложно настраивать.
Размещение и обслуживание вашего собственного сервера в дата-центре хостинга - это не очень популярная услуга и требуется в исключительных случаях.
CMS - это система управления контентом сайта. Хостеры стараются для каждой из них делать отдельный тариф или упрощать установку. Но в целом это больше маркетинговые ходы, т.к. у большинства популярных CMS нет специальных требований к хостингу, а те что есть - поддерживаются на большинстве серверов.
Виртуализация - это создание виртуальной среды на физическом сервере, позволяющая запускать требуемые ПО без затрагивания процессов, совершаемых другими пользователями сервера. С её помощью ресурсы физического сервера распределяются между виртуальными (VPS/VDS). Основные виды: аппаратная (KVM), паравиртуализация, виртулизация на уровне ОС (OpenVZ).
Абузоустойчивый хостинг - компании, которые разрешают размещать практически любой контент, даже запрещенный (спам, варез, дорвеи, порнографические материалы). Такие компании не удаляют контент вашего веб-сайта при первой же жалобе (“абузе”).
Безлимитный хостинг - хостинг у которого отсутствуют лимиты на количество сайтов, БД и почтовых ящиков, трафик, дисковое пространство и т.д. Обычно это больше маркетинговый трюк, но можно найти что-то интересное для себя.
Безопасный хостинг - тот, где администрация постоянно обновляет ПО установленное на серверах, устанавливает базовую защиту от DDoS-атак, антивирус и файерволлы, блокирует взломанные сайты и помогает их "лечить".
Защита от DDOS - компании, которые предоставляют хостинг с защитой от DDoS-атак. Такие пакеты ощутимо дороже обычных, но они стоят своих денег, так как ваш сайт будет защищен от всех видов сетевых атак.
Тестовый период - предоставляется хостером бесплатно на 7-30 дней, чтобы вы могли удостовериться в его качестве.
Moneyback - период на протяжении которого хостер обязуется вернуть деньги, если вам не понравится хостинг.
Настоятельно рекомендуем не покупать слишком дешевый хостинг! Как правило с ним очень много проблем: сервер иногда не работает, оборудование старое, поддержка долго отвечает или не может решить проблему, сайт хостера глючит, ошибки в регистрации, оплате и т.д.
Также мы собрали тарифы от тысяч хостеров, чтобы вы могли выбрать хостинг по конкретной цене.
На языке программирования PHP и базах данных MySQL сейчас работает большинство сайтов. Они же поддерживаются практически всеми современными хостингами.
ASP.NET - платформа для разработки веб-приложений от Майкрософт.
ОС - операционная система, установленная на сервере хостинга. Мы рекомендуем размещать на серверах с Linux, если нет особых требований у разработчиков сайта.