"Открытый код CMS подразумевает возможность ее взлома, поэтому в моих интересах сделать ВСЕ возможное, чтобы этого не случилось."

Открытый код подразумевает, что часть разработчиков непрерывна занята исключительно поиском дырок с немедленным выпуском соответствующих патчей. Регулярные "обновления безопасности" как раз являются продуктом их работы. Насколько я их время от времени проглядываю, в последнее время они подчищают какую-то совсем уже мелочь, все серьезные дырки давно закрыты. Поправьте меня, если кто не согласен с этим наблюдением.

вообще-то для безопасности достаточно поставить в htaccess пару командочек срабатывающих на url UNION UPDATE www. и тд плюс запрет на аллов-урл-фопен с устрашающей надписью и все - дальше копатся в вашем сайте у взломателей желание пропадет.

Приведи пример.

RewriteCond %{QUERY_STRING} .*cmd=.* [OR]
RewriteCond %{QUERY_STRING} .*wget%20.* [OR]
RewriteCond %{QUERY_STRING} .*system.* [OR]
RewriteCond %{QUERY_STRING} .*exec.* [OR]
RewriteCond %{QUERY_STRING} .*tar%20.* [OR]
RewriteCond %{QUERY_STRING} .*cd%20.* [OR]
RewriteCond %{QUERY_STRING} .*UNION%20.* [OR]
RewriteCond %{QUERY_STRING} .*http://.* [OR]
RewriteCond %{QUERY_STRING} .*union%20.* [OR]
RewriteCond %{QUERY_STRING} .*null,null.* [OR]
RewriteCond %{QUERY_STRING} .*cgi-bin.* [OR]
RewriteCond %{QUERY_STRING} .*highlight=\%2527 [OR]
RewriteCond %{QUERY_STRING} .*load_file.* [OR]
RewriteCond %{QUERY_STRING} .*%20\/tmp.*
RewriteRule /* http://kiev1.org/hacktrap.php/ [R=permanent,L]

hacktrap.php: http://kiev1.org/hacktrap.php.txt

вот

Я правильно понимаю, что там case sencetive, и что хакерам достаточно произвольно повставлять заглавные буквы, чтобы не попасться?

спасибо. это затыкает все дырки? у меня php не грузиться. если положить в корень drupal, файрфокс ругает на редирект, если положить на другой сервека, вылезает internal error500.

у меня есть папка а-ля files (для аплода аваторов) с правами 777. это нормально?

остальные права 755. это нормально?

а в модулях дырок что ли нет? движок то ясно дело отлажен, защищен, но вот внешние модули могут дать течь. изменят .htaaceess и получит доступ. -)
-----------------------------------------------------------------
хостинг на пять гигов

"у меня есть папка а-ля files (для аплода аваторов) с правами 777. это нормально?"

Та же беда. Выбирать не приходится.

> Я правильно понимаю, что там case sencetive
та это я побыстрому закинул ато донимали постоянно - теперь год как особо никто не лазит.

Прописал эти редиректы, но почему-то работает только с cmd, а остальные видет на "страница на не найдена". Я не спец. по регулярным выражениям. Может быть посмотрите?

А вообще столкнулся с новой записью в логе, что, как нашел, является вирусами. Запись выглядит как:
MSOffice/cltreq.asp не найдена.
_vti_bin/owssvr.dll не найдена.

Противоядие: http://www.savahost.com/art_server/redirect_cherv.htm

В итоге, у меня .htaccess:
[quote]
RewriteCond %{QUERY_STRING} .*_vti_bin.* [OR]
RewriteCond %{QUERY_STRING} .*cmd=.* [OR]
RewriteCond %{QUERY_STRING} .*wget%20.* [OR]
RewriteCond %{QUERY_STRING} .*system.* [OR]
RewriteCond %{QUERY_STRING} .*exec.* [OR]
RewriteCond %{QUERY_STRING} .*tar%20.* [OR]
RewriteCond %{QUERY_STRING} .*cd%20.* [OR]
RewriteCond %{QUERY_STRING} .*UNION%20.* [OR]
RewriteCond %{QUERY_STRING} .*http://.* [OR]
RewriteCond %{QUERY_STRING} .*union%20.* [OR]
RewriteCond %{QUERY_STRING} .*null,null.* [OR]
RewriteCond %{QUERY_STRING} .*cgi-bin.* [OR]
RewriteCond %{QUERY_STRING} .*highlight=\%2527 [OR]
RewriteCond %{QUERY_STRING} .*load_file.* [OR]
RewriteCond %{QUERY_STRING} .*%20\/tmp.*
RewriteCond %{QUERY_STRING} .*root.exe.* [OR]
RewriteCond %{QUERY_STRING} .*scripts.* [OR]
RewriteCond %{QUERY_STRING} .*_mem_bin.* [OR]
RewriteCond %{QUERY_STRING} .*msadc.* [OR]
RewriteCond %{QUERY_STRING} .*MSADC.* [OR]
RewriteCond %{QUERY_STRING} .*c\/winnt.* [OR]
RewriteCond %{QUERY_STRING} .*d\/winnt.* [OR]
RewriteCond %{QUERY_STRING} .*x90.* [OR]
RewriteCond %{QUERY_STRING} .*cltreq.*

RewriteRule /* http://www._адрес_другого_моего_сайта.ru/hacktrap.php/ [R=permanent,L]

[/quote]

и почти ничего не редиректится!!! Где ошибка?

vti_bin это расширение для iss на апач не действует - это когда стандартными сканерами сканят то всегда его запрашивают, наша цель не от стандартных сканеров защитится а от реальных пионеров.

однажды мне сказали, что защищайся, на защищайся, а поломают, если ты на shared особенно. тебя не смогут взломать, сломают соседа и тебя потом сломают. хотя с этим ничего не поделаешь, и остается только защищать свою часть сервака. хотелось бы подробных инстркций ЕЩЕ для Drupal и вообще... а нету (под рукой).

а редерект-то так и не редиректится.

"если ты на shared особенно. тебя не смогут взломать, сломают соседа и тебя потом сломают"

Соседа еще найти надо. Назови хотя бы десяток сайтов, находящихся с тобой на одном shared. Назвал? Тогда назови десяток сайтов, находящихся СО МНОЙ на одном shared. :)

Это первое. Представь, что ты уже взломан и можешь делать все, что может делать полноправный владелец хост-площадки. Попробуй нагадить своим соседям по хостингу. А? :)

Как говорится, "слухи о моём конце трудно преувеличить". ;)

На вашем месте я не был бы там самоуверен, со мной соседствуют 81 пользователь, у которых не менее одного сервера, а с Вами, например, соседствуют www.nabat.org.ru и www.souzovd.ru, у последних даже форум и гостевая стоят, правда, какие-то самонапрограммированные. открытый код, особенно, популярный, это неБОльшая вероятноть взлома в любом случае. просто ее можно всячески понизить, чего я и хотел бы узнать. кое-что узнал благодаря drupal.kiev1.org, но это, думаю, еще не предел.

А по второму пункту как? Вот у тебя все права пользователя в системе. Нагадь соседу. Варианты?

ну я например искал у соседа открытые 777 директории - туда скриптик и вперед, если такого нет - то могут быть доступные на чтение тмп файлы - а там ключи сессии, если и того нет - то всегда есть у соседской директории файл с логин-паролем базы, открытый на чтение, и тд, мало-ли, тем более анализ листинга того что есть у соседа - уже пол дела.

и почему, интеренсно, все тымы "как защититься" переходят в темы "как взломать"? :-))) все логично, наверное, мне надо заняться взломом собственного сервера.

Мастерхост рулит. Я вот никого из соседней не вижу: мой каталог корневой. Они меня, наверное, тоже.

> Я вот никого из соседней не вижу
вы по ssh ходите? или через php?

ssh. Через php поглядеть в голову не приходило, не думал, что там что-то отличается.

Ходить "через php" это как? ж-) вообще, при любом отваливании сервера, базы и т.д. выдается полный путь, корень - это лишь зрительный обман, как вы понимаете.-)

"Ходить "через php" это как?"

Смотреть дерево файлов-каталогов средствами php. Через браузер.

да - попробуйте походить не по верхним уровням а по самим юзерским директориям - так как к промежуточным уровням доступ закрыт а к более нижним обычно открыт

"да - попробуйте походить не по верхним уровням а по самим юзерским директориям"

А как узнать их имена?

> А как узнать их имена?
отож )
через логи если доступны апачевских error или по другому как, например многие сайты при ошибках вываливают полный путь где лежит скрипт, или часто доступен на чтение апачевский httpd.conf и приаттаченный к нему юзер-виртуал, да мало-ли как ) иногда locate доступна, иногда просто можно угадать по аналогии с вашим аккаунтом - обычно названия делаются из названий доменов

я тут не помню, где уже это писал (вроде здесь, а вроде и нет), но в моем логе (drupal) видел обращение к internal_error.html.

Так вот я выяснил, что это оказывается
MsN Boot и бот с inktomisearch.com, например, обращаются. вот только зачем им эта страница?

конечно, Ваш пост простому пользователи сразу не понять. Я специально поставил Debian, но из-за кривости шрифтов так и не смог им пользоваться, а пока работы больше в XP. Надо будет ставить Appache и смотреть как это все работает, хотя пока мне кажетяс это непроходимым темным лесом.

еще поставил Девнер, который тут так часто упоминался PG, l-) думал, это такая разновидность Линиха первое время, а так ничегоо. интересная русская игрушка. пока только ознакомился с идеей. еще не решил, тратить ли на нее время, хотя уже и потратил (чуток)

[quote=drupal.kiev1]RewriteCond %{QUERY_STRING} .*cmd=.* [OR]
RewriteCond %{QUERY_STRING} .*wget%20.* [OR]
RewriteCond %{QUERY_STRING} .*system.* [OR]
RewriteCond %{QUERY_STRING} .*exec.* [OR]
RewriteCond %{QUERY_STRING} .*tar%20.* [OR]
RewriteCond %{QUERY_STRING} .*cd%20.* [OR]
RewriteCond %{QUERY_STRING} .*UNION%20.* [OR]
RewriteCond %{QUERY_STRING} .*http://.* [OR]
RewriteCond %{QUERY_STRING} .*union%20.* [OR]
RewriteCond %{QUERY_STRING} .*null,null.* [OR]
RewriteCond %{QUERY_STRING} .*cgi-bin.* [OR]
RewriteCond %{QUERY_STRING} .*highlight=\%2527 [OR]
RewriteCond %{QUERY_STRING} .*load_file.* [OR]
RewriteCond %{QUERY_STRING} .*%20\/tmp.*
RewriteRule /* http://kiev1.org/hacktrap.php/ [R=permanent,L]

hacktrap.php: http://kiev1.org/hacktrap.php.txt

вот[/quote]

второй раз пытаюсь заставить раобтать эту штуку,
не рабоает.... по запросу, никуда не редиректититься,
а Дрюпал выдает страница "не найдена". может разберемся вместе?

а перед этим всем делом "RewriteEngine On" стоит?
вроде все правильно написано - у меня работает - если в строке url попадается те словосочетания то редиректится на hacktrap.php - в нем пишете что хотите для регистрации взлома - у меня например письмо на е-мейл отправляется...

чтобы по регистру не учитывалось, добавьте флаг NC в секцию к OR (через запятую — в последнем случае просто [NC])

Не вполне понятно - [OR,NC] везде или [R=permanent,L,NC]? Что за "в последнем случае"? Проясните, плиз.

да, везде в rewritecond пишем [OR, NC]
а в последнем условии просто [NC]