ну закрыл я папку js/..... (сразу воткнул в папку js) через .htaccess и .htpasswd просит пароль вроде все норм(501 вроде ошибка) получается я закрыл базу от взлома или что? я просто не пойму как ее вскрывают, как закрыть базу? куда что еще вставить?что бы пароли и логины не могли вытягивать! Ответьте кому не трудно
а в цифрах? 444? или как?wh1skas написал(а):А смысл переименовывать, все равно кому надо, те найдут правильный путь. Проще и надежнее права READ ONLY на папку поставить + защитить .htaccess'ом.
gavrila
Местный
- Сообщения
- 30
- Реакции
- 1
gavrila
Местный
- Сообщения
- 30
- Реакции
- 1
1. Настраиваемые страницы ошибок придают вашему сайту профессиональный вид и помогают тем посетителям, которые попадают на ваш сайт по «битым ссылкам». Создание страницы ошибки, с .htaccess на Linux Apache является очень простой задачей. Для этого подойдет любой текстовый редактор, допустим блокнот. В файл .htaccess нужно добавить такие строки:
ErrorDocument 401 /error/401.php
ErrorDocument 403 /error/403.php
ErrorDocument 404 /error/404.php
ErrorDocument 500 /error/500.php
2. Как установить часовой пояс на вашем сервере
SetEnv TZ America/Houston
3.Блокировка IP-адреса с .htaccess
Иногда вам придется блокировать определенные IP-адреса для доступа к вашему сайту или определенному каталогу. Это довольно простая задачей. Все, что вам нужно сделать, это внутри .htaccess файла прописать следующий код:
allow from all
deny from 145.186.14.122
deny from 124.15
Если вы используете весь IP, то добавляйте строки по типу второй в коде. Если используете диапазон адресов, то задавайте диапазон по типу третьей строки кода, как полные так и диапазоны IP добавляются каждый с новой строки. Когда кто-то пытается получить доступ к сайту с запрещенным IP он получает 403 ошибка доступа.
4. Дружественная для SEO 301-я переадресация для постоянных плохих/старых ссылок и ссылок, которые «переехали».
Redirect 301 /d/file.html http://www.domainname.com/r/file.html
5. Установить адрес электронной почты администратора сервера. С помощью этого кода вы можете указать адрес электронной почты по умолчанию для администратора сервера.
ServerSignature EMail
SetEnv SERVER_ADMIN default@domain.com
6. Защита «хотлинков» с .htaccess очень важна, потому что кто-угодно может использовать прямую ссылку на ваши изображения и «съедать» всю пропускную способность сервера. Следующий код поможет вам предотвратить это.
Options +FollowSymlinks
# Protect Hotlinking
RewriteEngine On
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(www.)?domainname.com/ [nc]
RewriteRule .*.(gif|jpg|png)$ http://domainname.com/img/hotlink_f_o.png [nc]
7. Запрет на все запросы User Agent. Путем создания списка запрета в .htaccess, можно заблокировать всех нежелательных агентов пользователя, которые будут создавать нежелательную нагрузку на сервер.
## .htaccess Code :: BEGIN
## Block Bad Bots by user-Agent
SetEnvIfNoCase user-Agent ^FrontPage [NC,OR]
SetEnvIfNoCase user-Agent ^Java.* [NC,OR]
SetEnvIfNoCase user-Agent ^Microsoft.URL [NC,OR]
SetEnvIfNoCase user-Agent ^MSFrontPage [NC,OR]
SetEnvIfNoCase user-Agent ^Offline.Explorer [NC,OR]
SetEnvIfNoCase user-Agent ^[Ww]eb[Bb]andit [NC,OR]
SetEnvIfNoCase user-Agent ^Zeus [NC]
<Limit GET POST HEAD>
Order Allow,Deny
Allow from all
Deny from env=bad_bot
</Limit>
## .htaccess Code :: END
8. Переадресация всех к различным сайтам, за исключением нескольких IP. Если вы хотите перенаправлять всех посетителей на другой IP и предоставить доступ посетителям лишь с несколькими IP-адресами, то вы можете использовать следующий код:
ErrorDocument 403 http://www.youdomain.com
Order deny,allow
Deny from all
Allow from 124.34.48.165
Allow from 102.54.68.123
9. Запрет загрузки фалов определенного типа. Как правило, при попытке загрузить что-нибудь, нажимая на ссылку, вы получаете сообщение системы с запросом о том сохранить или открыть загружаемый файл.
Чтобы запретить автоматическую загрузку вы можете использовать код приведенный ниже в своем .htaccess файле:
AddType application/octet-stream .pdf
AddType application/octet-stream .zip
AddType application/octet-stream .mov
10. Изменить тип файла. Сделать так чтобы любой файл был определенного типа, можно используя код приведенный ниже. В примере любые файлы типа image.jpg, index.html, default.cgi будут выступать в качестве PHP.
<Files test>
ForceType application/x-httpd-php
SetHandler application/x-httpd-php
</Files>
11. Блокировать доступ к вашему .htaccess файлe. Добавив следующий код в файле .htaccess вы предотвратите попытки несанкционированного доступа к нему. Этот дополнительный уровень безопасности для защиты .htaccess файлов, отображает 403 сообщение об ошибке в браузере.
# secure htaccess file
<Files .htaccess>
? order allow,deny
? deny from all
</Files>
12. Защита доступа к некоторым конкретным файл на вашем сервере. Это может быть сделано путем добавления указанного ниже кода. Например, вы хотите блокировать файл с именем default.jpg? Код ниже позволит избежать просмотра этого файла.
# prevent access of a certain file
<files default.jpg>
? order allow,deny
? deny from all
</files>
13. Запретить доступ к несанкционированным просмотром. Защита конкретных каталогов от просмотра может быть сделано путем отдачи сервером сообщений об авторизации или запрещенном доступе, при каждом запросе к запрещенной директории. Как правило, если ваш сайт не имеет индексовой страницы заданной по умолчанию, то все файлы в этом каталоге будут доступны для посетителей. Чтобы избежать этого используйте следующий код в файле .htaccess файле.
# disable directory browsing
Options All -Indexes
14. Настройка страницы по умолчанию. Вы можете задать любую страницу для определения по умолчанию в определенной категории. Например, в этом коде страницей сайта по умолчанию устанавливается about.html вместо index.html
# serve alternate default index page
DirectoryIndex about.html
15. Защита паролем ваших каталогов и файлов. Вы можете создать аутентификации для для доступа к определенным файлов и директориям. В коде представлены примеры как защиту паролем один файл, и защитить паролем целый каталог.
# защищаем файл
<Files secure.php>
AuthType Basic
AuthName “Prompt”
AuthUserFile /home/path/.htpasswd
Require valid-user
</Files>
# защита паролем директории
resides
AuthType basic
AuthName “This directory is protected”
AuthUserFile /home/path/.htpasswd
AuthGroupFile /dev/null
Require valid-user
16. Перенаправление старого домена на новый домен. С помощью .htaccess файла вы можете перенаправить старое имя домена на новый домен. Для этого добавьте следующий код в файле .htaccess.
# redirect from old domain to new domain
RewriteEngine On
RewriteRule ^(.*)$ http://www.yourdomain.com/$1 [R=301,L]
ErrorDocument 401 /error/401.php
ErrorDocument 403 /error/403.php
ErrorDocument 404 /error/404.php
ErrorDocument 500 /error/500.php
2. Как установить часовой пояс на вашем сервере
SetEnv TZ America/Houston
3.Блокировка IP-адреса с .htaccess
Иногда вам придется блокировать определенные IP-адреса для доступа к вашему сайту или определенному каталогу. Это довольно простая задачей. Все, что вам нужно сделать, это внутри .htaccess файла прописать следующий код:
allow from all
deny from 145.186.14.122
deny from 124.15
Если вы используете весь IP, то добавляйте строки по типу второй в коде. Если используете диапазон адресов, то задавайте диапазон по типу третьей строки кода, как полные так и диапазоны IP добавляются каждый с новой строки. Когда кто-то пытается получить доступ к сайту с запрещенным IP он получает 403 ошибка доступа.
4. Дружественная для SEO 301-я переадресация для постоянных плохих/старых ссылок и ссылок, которые «переехали».
Redirect 301 /d/file.html http://www.domainname.com/r/file.html
5. Установить адрес электронной почты администратора сервера. С помощью этого кода вы можете указать адрес электронной почты по умолчанию для администратора сервера.
ServerSignature EMail
SetEnv SERVER_ADMIN default@domain.com
6. Защита «хотлинков» с .htaccess очень важна, потому что кто-угодно может использовать прямую ссылку на ваши изображения и «съедать» всю пропускную способность сервера. Следующий код поможет вам предотвратить это.
Options +FollowSymlinks
# Protect Hotlinking
RewriteEngine On
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(www.)?domainname.com/ [nc]
RewriteRule .*.(gif|jpg|png)$ http://domainname.com/img/hotlink_f_o.png [nc]
7. Запрет на все запросы User Agent. Путем создания списка запрета в .htaccess, можно заблокировать всех нежелательных агентов пользователя, которые будут создавать нежелательную нагрузку на сервер.
## .htaccess Code :: BEGIN
## Block Bad Bots by user-Agent
SetEnvIfNoCase user-Agent ^FrontPage [NC,OR]
SetEnvIfNoCase user-Agent ^Java.* [NC,OR]
SetEnvIfNoCase user-Agent ^Microsoft.URL [NC,OR]
SetEnvIfNoCase user-Agent ^MSFrontPage [NC,OR]
SetEnvIfNoCase user-Agent ^Offline.Explorer [NC,OR]
SetEnvIfNoCase user-Agent ^[Ww]eb[Bb]andit [NC,OR]
SetEnvIfNoCase user-Agent ^Zeus [NC]
<Limit GET POST HEAD>
Order Allow,Deny
Allow from all
Deny from env=bad_bot
</Limit>
## .htaccess Code :: END
8. Переадресация всех к различным сайтам, за исключением нескольких IP. Если вы хотите перенаправлять всех посетителей на другой IP и предоставить доступ посетителям лишь с несколькими IP-адресами, то вы можете использовать следующий код:
ErrorDocument 403 http://www.youdomain.com
Order deny,allow
Deny from all
Allow from 124.34.48.165
Allow from 102.54.68.123
9. Запрет загрузки фалов определенного типа. Как правило, при попытке загрузить что-нибудь, нажимая на ссылку, вы получаете сообщение системы с запросом о том сохранить или открыть загружаемый файл.
Чтобы запретить автоматическую загрузку вы можете использовать код приведенный ниже в своем .htaccess файле:
AddType application/octet-stream .pdf
AddType application/octet-stream .zip
AddType application/octet-stream .mov
10. Изменить тип файла. Сделать так чтобы любой файл был определенного типа, можно используя код приведенный ниже. В примере любые файлы типа image.jpg, index.html, default.cgi будут выступать в качестве PHP.
<Files test>
ForceType application/x-httpd-php
SetHandler application/x-httpd-php
</Files>
11. Блокировать доступ к вашему .htaccess файлe. Добавив следующий код в файле .htaccess вы предотвратите попытки несанкционированного доступа к нему. Этот дополнительный уровень безопасности для защиты .htaccess файлов, отображает 403 сообщение об ошибке в браузере.
# secure htaccess file
<Files .htaccess>
? order allow,deny
? deny from all
</Files>
12. Защита доступа к некоторым конкретным файл на вашем сервере. Это может быть сделано путем добавления указанного ниже кода. Например, вы хотите блокировать файл с именем default.jpg? Код ниже позволит избежать просмотра этого файла.
# prevent access of a certain file
<files default.jpg>
? order allow,deny
? deny from all
</files>
13. Запретить доступ к несанкционированным просмотром. Защита конкретных каталогов от просмотра может быть сделано путем отдачи сервером сообщений об авторизации или запрещенном доступе, при каждом запросе к запрещенной директории. Как правило, если ваш сайт не имеет индексовой страницы заданной по умолчанию, то все файлы в этом каталоге будут доступны для посетителей. Чтобы избежать этого используйте следующий код в файле .htaccess файле.
# disable directory browsing
Options All -Indexes
14. Настройка страницы по умолчанию. Вы можете задать любую страницу для определения по умолчанию в определенной категории. Например, в этом коде страницей сайта по умолчанию устанавливается about.html вместо index.html
# serve alternate default index page
DirectoryIndex about.html
15. Защита паролем ваших каталогов и файлов. Вы можете создать аутентификации для для доступа к определенным файлов и директориям. В коде представлены примеры как защиту паролем один файл, и защитить паролем целый каталог.
# защищаем файл
<Files secure.php>
AuthType Basic
AuthName “Prompt”
AuthUserFile /home/path/.htpasswd
Require valid-user
</Files>
# защита паролем директории
resides
AuthType basic
AuthName “This directory is protected”
AuthUserFile /home/path/.htpasswd
AuthGroupFile /dev/null
Require valid-user
16. Перенаправление старого домена на новый домен. С помощью .htaccess файла вы можете перенаправить старое имя домена на новый домен. Для этого добавьте следующий код в файле .htaccess.
# redirect from old domain to new domain
RewriteEngine On
RewriteRule ^(.*)$ http://www.yourdomain.com/$1 [R=301,L]
Badb
Участник
- Сообщения
- 85
- Реакции
- 5
gerol
Участник
- Сообщения
- 15
- Реакции
- 1
chelton085
Местный
- Сообщения
- 174
- Реакции
- 6
По поводу метода, который предлагался на первых страницах темы - о смене пароля и логина для доступа в админку в файле admin.php Все-то хорошо, заходит именно по тем логину и паролю, которые мы указали в команде в том файле. НО после первого входа по паролю и логину далее, на любом другом входе, сразу же оказываемся в админке. Это нормально??
а ты не забывай с админки выходить)) выход из профиля))chelton085 написал(а):По поводу метода, который предлагался на первых страницах темы - о смене пароля и логина для доступа в админку в файле admin.php Все-то хорошо, заходит именно по тем логину и паролю, которые мы указали в команде в том файле. НО после первого входа по паролю и логину далее, на любом другом входе, сразу же оказываемся в админке. Это нормально??
оказываешься ведь ты а не пользователь?chelton085 написал(а):По поводу метода, который предлагался на первых страницах темы - о смене пароля и логина для доступа в админку в файле admin.php Все-то хорошо, заходит именно по тем логину и паролю, которые мы указали в команде в том файле. НО после первого входа по паролю и логину далее, на любом другом входе, сразу же оказываемся в админке. Это нормально??
да у него скорее в куках хранятся данные, следовательно, пусть попробует через "выход из профиля" , а потом отпишетсяkvozimir написал(а):оказываешься ведь ты а не пользователь?
webdizinfo
Местный
так их заливают через <img src="<script type"juranja написал(а):вот нарыл такую штучку на счет файла htacceess запрещаем загрузку картинок на сайт и все прочее к примеру у вас есть загрузка аватарок на сайт как нам известно шеллы заливает через расширение изображений
вот содержание кода
php_flag engine 0
AddType "text/html" .php .cgi .pl .fcgi .fpl .phtml .shtml .php2 .php3 .php4 .php5 .asp .jsp
что то вроде этого профи к вам вопрос что думаете????
chelton085
Местный
- Сообщения
- 174
- Реакции
- 6
При выходе из профиля админки и новом входе по пути до админки - снова автоматически оказываемся авторизованными. Это, конечно, понятно, что не какой-то юзер попадаеть будет, а именно я. При завершении сеанса браузера и подключении по новой -авторизация сбрасывается и снова видим форму для входа. Вопрос в том, насколько опасно может быть то, что в куках у меня хранятся данные? По идее, ценности для чьего-то доступа извне они не несут?blackyar24 написал(а):да у него скорее в куках хранятся данные, следовательно, пусть попробует через "выход из профиля" , а потом отпишется
И еще такой вопрос - в БД платежный пароль вписан в шифрованном виде. Вопрос - логин или хотя бы пароль админа реально реализовать в БД в таком же виде? И как это сделать, посредством какой функции?
chelton085
Местный
- Сообщения
- 174
- Реакции
- 6
Так если так - ограничение доступа к папке tiny_mce спасет положение? Или такую конструкцию понатыкать можно в любом файле пхп?webdizinfo написал(а):так их заливают через <img src="<script type"
через шифрование, по поводу авторизации - возможно у тебя сохранены логин и пароль в браузере))chelton085 написал(а):При выходе из профиля админки и новом входе по пути до админки - снова автоматически оказываемся авторизованными. Это, конечно, понятно, что не какой-то юзер попадаеть будет, а именно я. При завершении сеанса браузера и подключении по новой -авторизация сбрасывается и снова видим форму для входа. Вопрос в том, насколько опасно может быть то, что в куках у меня хранятся данные? По идее, ценности для чьего-то доступа извне они не несут?
И еще такой вопрос - в БД платежный пароль вписан в шифрованном виде. Вопрос - логин или хотя бы пароль админа реально реализовать в БД в таком же виде? И как это сделать, посредством какой функции?
webdizinfo
Местный
chelton085
Местный
- Сообщения
- 174
- Реакции
- 6
blackyar24 написал(а):через шифрование, по поводу авторизации - возможно у тебя сохранены логин и пароль в браузере))
Для продвинутых пользователей, конечно, тут всё ясно. Но меня бы подтолкнуть поближе к краю, чтобы я там уже своими кривенькими ручонками пошурудил и попытался добиться итогового результата=)Шифрование - ясно, функция - понятна) Теперь осталось увидеть их воочию-)webdizinfo написал(а):Реализовать это не так уж и сложно по поводу пароля просто в файле обработчике с помощью тойже функции зашифровать ваш пароль и сверять именно хеши, и не делайте чистый пароль обязательно с солью
webdizinfo
Местный
Лучше всего это делать класс валидатор на все типы файлов и данных, и проверять лучше с помощью регулярных выраженийchelton085 написал(а):Так если так - ограничение доступа к папке tiny_mce спасет положение? Или такую конструкцию понатыкать можно в любом файле пхп?
chelton085
Местный
- Сообщения
- 174
- Реакции
- 6
Кстати, к теме о защите директории корня сайта. Наткнулся вот на такой метод - редирект на другой сайт при попытке выполнения команд, которыми могут пользоваться взломщики:
Что скажете? И, кстати, какими еще командами в строке браузера могут пользоваться товарищи для доступа к содержимому сайта?
PHP:
redirect /_vti_bin http://www.microsoft.com
redirect /scripts http://www.microsoft.com
redirect /MSADC http://www.microsoft.com
redirect /c http://www.microsoft.com
redirect /d http://www.microsoft.com
redirect /_mem_bin http://www.microsoft.com
redirect /msadc http://www.microsoft.com
RedirectMatch (.*)\cmd.exe$ http://www.microsoft.com$1
chelton085
Местный
- Сообщения
- 174
- Реакции
- 6
И снова по теме - думается, актуально было бы обмениваться в сей теме про известные дыры на сайтах, которые есть кроме тех, что таятся в злосчастной папке тини мсе. А так же оговаривать методы их устранения. Не все же знают, как они могут в хтмл коде выглядеть. У меня вот, например, ай-болит ничего абсолютно больше не находит после того, как удалил код с die в конце строки. Но я далеко не уверен, что в моем скрипте не осталось дыр.