Мы используем cookie-файлы
Для оптимизации работы нашего сайта мы используем cookie-файлы. Продолжая использовать сайт, Вы соглашаетесь с использованием cookie-файлов.
  • UAH
  • USD
  • RUB
  • EUR
  • +38(044) 392-74-33  Киев
  • +38(057) 728-39-00  Харьков
  • +38(056) 794-38-31  Днепр
  • +38(032) 229-58-93  Львов
  • +38(048) 738-57-70  Одесса
  • +38(093) 170-15-42  Life
  • +38(067) 400-88-44  Киевстар
  • +38(095) 630-90-82  MTC
  • +1(888)393-24-51  USA, Toll free
  • +44(131)507-01-14  Great Britain
  • +7(499) 348-28-61  Москва

Хостинг. Каждый день ломают сайт

Форумы Хостинг Каждый день ломают сайт
zap4asti111
5 лет
хостинг: нет
домен: нет
Каждый день ломают сайт
Добрый вечер!
Каждый день ломают сайт (Joker team)
Доступ по ftp отключен!
Что делать???
sonicua
5 лет
хостинг: нет
домен: нет
Если используете какую-нибудь CMS - то для начала обновится до последней доступной версии, а также обновить модули, плагины, компоненты и т.п. данной CMS. Или искать дыру через которую постоянно ломают, смотреть логи сервера, ftp...
eugen
5 лет
хостинг: есть
домен: есть
В чем именно заключается взлом (меняется контент страниц/создаются левые файлы/еще что-то)?
Общие рекомендации по защите от взлома: Рекомендации по безопасности и защите от взлома
Rock-N-Roll
5 лет
хостинг: есть
домен: есть
Да, поподробнее пожалуйста. Очень интересно.
mystylebrandshop
5 лет
хостинг: нет
домен: нет
Здравствуйте. В последнее время у всех хостеров по всему миру данная проблема.
Взламывают в основном сайты на Wordpress, Joomla и Drupal методом подбора пароля (брутфорс) на панель администратора с дальнейшей заливкой шеллов/вредоносных скриптов.

Для того чтобы обезопасить себя от подобных действий злоумышленников необходимо:
1) Обновиться до последней возможной версии CMS
2) Установить сложный пароль на вход в административную панель
3) Разрешить доступ на административную панель сайта только с определенных IP с помощью htaccess:
Order Deny,Allow
Deny from all
Allow from x.x.x.x
Allow from somewhere.in.the.net
4) Ограничить доступ в административную панель сайта с помощью .htpasswd (Google в помощь)
5) Провести аудит сайта на наличие шеллов, хакерских скриптов, вредоносных iframe и открытых директорий с помощью вот такого бесплатного скрипта - revisium.com/ai/
Этих 5 действий достаточно для того чтоб обезопасить свой сайт на 90%.
Всем успехов!
ZimbalisT
5 лет
хостинг: есть
домен: есть
4) Ограничить доступ в административную панель сайта с помощью .htpasswd (Google в помощь) © mystylebrandshop
Можно включить защиту от ботов через ПУ-Мои сайты
Rock-N-Roll
5 лет
хостинг: есть
домен: есть
Обновиться до последней возможной версии CMS © mystylebrandshop
- и потом весело ловить глюки всей мишуры, которая на нее навешана (плагины, и т.п.)... Лучший способ - написать скрипт каптчи и заинклюдить его в начале файла index.php админпанели. Если каптча не разгадана - блокировать дальнейшее выполнение файла index.php функцией exit(). Это в простейшем случае. Для себя сделал еще один вариант - скрипт "авторизации + каптча". И чтобы наверняка уже - в каждом скрипте в форму подставляется специальный ключ (генерируется каждый раз новый) - если при проверке ключ не верный - данные из формы игнорируются. Ни один бот не пролезет :)
Rock-N-Roll
5 лет
хостинг: есть
домен: есть
Выглядит это вот так (2 вложенных скрина):
Прикрепленные файлы:
eugen
5 лет
хостинг: есть
домен: есть
Лучший способ - написать скрипт каптчи и заинклюдить его в начале файла index.php админпанели © Rock-N-Roll


Говорят, deny from all в .htaccess в корне сайта еще эффективнее ;)

Если серьезно, уязвимости есть не только в компонентах админок, поэтому закрытие админки не панацея (хотя безусловно must have).
Rock-N-Roll
5 лет
хостинг: есть
домен: есть
закрытие админки не панацея © eugen
- ну это ясно, я о
В последнее время у всех хостеров по всему миру данная проблема.
Взламывают в основном сайты на Wordpress, Joomla и Drupal методом подбора пароля (брутфорс) на панель администратора с дальнейшей заливкой шеллов/вредоносных скриптов
© mystylebrandshop
Илья
5 лет
хостинг: есть
домен: есть
В последнее время у всех хостеров по всему миру данная проблема.
Взламывают в основном сайты на Wordpress, Joomla и Drupal методом подбора пароля (брутфорс) на панель администратора с дальнейшей заливкой шеллов/вредоносных скриптов.
© mystylebrandshop


У нас такой проблемы практически нет, это связано с тем, что у нас есть защита от ботов. Включить ее можно в панели управления, на странице [Хостинг][Мои сайты][защита от ботов], где указываете путь к административной панели сайта. После чего ботам станет тяжело подбирать пароли.
Rock-N-Roll
5 лет
хостинг: есть
домен: есть
3) Разрешить доступ на административную панель сайта только с определенных IP с помощью htaccess:
Order Deny,Allow
Deny from all
Allow from x.x.x.x
Allow from somewhere.in.the.net
© mystylebrandshop
- например у меня динамический ip, и такой способ для меня непреемлем, поэтому сделал что-то типа универсальных заглушек, которые можно использовать на любом движке.
Rock-N-Roll
5 лет
хостинг: есть
домен: есть
У нас такой проблемы практически нет, это связано с тем, что у нас есть защита от ботов © Илья
- вот ( Хостинг. Захист від ботів ) у кого-то что-то не работает
Евгений В.
5 лет
хостинг: есть
домен: нет
Allow from x.x.x.x © mystylebrandshop

- например у меня динамический ip, и такой способ для меня непреемлем, © Rock-N-Roll

Можно ведь указывать IP в формате CIDR:
Allow from x.x.x.x/yy
задавая таким образом всю подсеть своего провайдера. Неидеально разумеется, но вкупе со остальными методами работает, по моему скромному мнению, хорошо.
Rock-N-Roll
5 лет
хостинг: есть
домен: есть
оно то да - но вот например на работе один провайдер, дома - другой, у кого-то вообще 2 дома или дача с интернетом, а кто-то может и вовсе рассекает по миру и скидывает в блог фотки и т.д. В таком случае башка забита айпишниками и прочей ерундой. А если еще и сайтов несколько? Хорошо, если все стабильно и надолго, а если нет - опять все по новой... Это скорее "на любителя", кому что нравится. Лично мне например проще влить скрипт с каптчей и забыть об этом. Тоже самое с логин-формой, только прописать в начале скрипта логин и пароль + у меня еще и на несколько юзеров расчитано. Кому как :)
Участвовать в общении на этом форуме могут только
зарегистрированные пользователи.

Если вы уже зарегистрированы Вам необходимо войти на форум.

Тема закрыта по истечению срока давности.
Горячая линия
(044)
392 74 33
другие города