Немного О Цмс. Или Как Защититься.

[220Volt 1]

Я говорю сразу, я незнаю пхп, я не мего ворошило ла2 в плане безопастности, да и руки у меня из задницы, но не об этом щас. Сегодня я хотел бы с вами поговорить о безопастности наших с вами серверов. Для чего мне это надо? на портале 90% занимаются , ит, а эти хроны мне не интересно, поэтому вы мне не конкуренты. Если думаете, что статья будет культурная, увы нет, я вас идиотов буду гнобить, как только могу.

Итак, мы будем говорить о среднем сервачке ит , пвпшном с дополнениями или без неважно, вообще то. что как правило держет контингент данного портала. Пока у вас онлайн до 100, вы неинтересны некому. Сделаем краткий обзор цмсок, вообщем обзор.

Стресс веб, родная сестра Саши Грей по уровню дырок, ибо такое обилие дырок просто поражает, нас ломали и на 13 лицухе, и на 11, 12 вроде не ломали, наверное просто до нас руки недошли. но на форуме пв от Фоктрота висит предупреждение. неюзать СВ 12.

Особенно убийственно это в сочитании с IPB форумом, который находится , в директориях site.ru/forum, forum.site.ru , т.к это уязвимые директории для шелов. СВ+ ИПБ = слив проекта. Из плюсов можно выделить, наличие тонны шаблонов и легкоть управления.

Идем дальше Rebellion CMS , юзали очень давно на сервере фреи, понравилось, есть легкая админка, все просто и понятно. Не сломали нас. Минусы: придется за верстку Скатеру отвалить 800р . Или за переделывания рипа 250р. Общая оценка 7 из 10.

Moy Web: наверное одна из первых известных цмс, в свое время были найденны дырки, причем неслабые, в апдейте 2010 года, дырки исправленны, на нем сейчас стоит проект с олайном 1.3к, либо они пилили его, либо реально надежная штука, сам неюзал незнаю.

GHTWEB: относительно неновая цмс, вышло немало ревизий. Внешне очень понравилось, есть много вкусных плюшек, типо аукциона на сайте, магазина на сайте, мульти акка. ПО словам разраба безопастность на уровне. Родной шаблон, очень прост, но приколен, мне понравился. Из минусов: ходят слухи, что люди умирали когда верстали под него, ибо лучше убиться, чем верстать под нее. 8 из 10.

Inshell : Я выбрал для себя, именно эту цмс. Во первых нету админки , минус 1 дырка. Есть поддержка WTP . по сути Иншел это: Регистрация + Статистика, по сути 2 скрипта остальное чистый html , встроенный anti injection. Шаблоны вполне легко встают, мне лично верстал Скатер ICQ 606199914 . Мини рекламка. Из минусов. Нету родной каптчи при регистрации, придется переписывать под вашу сборку. Нету вывода тем с форума, приходится выводить сторонними средствами. Без начального знания HTML , работать не стоит даже суваться. ИБо новости и т.д, делаются через фтп на HTML. Плюсы: Максимальная защита, легкость в управлении, скорость работы.

Форумы я не буду сильно углублятся. Но скажу одно. Форум делаем НА ДРУГОМ домене, т.к через форум ломают полне легко, впиливанием шела. Поэтому тупо недаем форуму, некаких прав доступа к сайту, а только сайта к Форуму. Идеальное сочитание. ЦМС Иншел на сайте xxx.ru , и форум SMF на сайте yyy.ru .

Далее. я часто вижу, что тупорылые имбцилы , неограничивают права юзеру, глупые раки, права только Select Update Delete insert , остальное нах ненадо, лишняя дырка. Так забудьте нах "%" этот символ при юзере. Если у вас Люнь, извне к базе имеет доступ только сайт, сами коннектимся через SSH.

Эпилог: Ваш сервер, ваша безопатность, за вас некто небудет ничего делать , а ломать вас будут пытаться полюбому. Завтра статья дополнится. словами Подольской. Статья писала, не толкьо мной, а еще некоторыми Шарящими людьми.

[iBay 0]

интересно было почитать, хотя 85% информации для меня не новая, но все равно.

спасибо авторам, жду продолжения!

[iBay 0]

побольше бы о способах защиты

[Saick 46]

нового не узнал

[Blastoma 5]

Конечно в IPB занятно, но если стоит ipb на forum.site.ru, но пользователь mysql может только запросы по базе форума делать и тот же ftp пользователь для форума не может на сайт зайти?

[220Volt 1]

не в том дело, элементарно, сам по себе ипб дырявый , и чаше всего дырки от самих происзводителей нулов, и если залит шел в ипб, то директории на домене все под угрозой.

[Teams 30]

и меня ломали через св 13 лицензия

и через форум)

[VoiceAtack 3]

А есть у кого то сылочка на Inshell CMS ???

[220Volt 1]

http://pogugli.com/?3352

[VoiceAtack 3]

http://pogugli.com/?3352

по гуглил не чего не нашол везде файл удалён

[Saick 46]

http://inshell.ru/decisions

[VoiceAtack 3]

нашол уже "

[rejndger 6]

Хотелось бы от вас еще услышать мнение о DLE движке.

[220Volt 1]

Если говорить о самом DLE , то движок проверен временем, и говорить, что он один из лучших смысла нету, НО если брать под ла2, то это опять же НУЛЛ и это риск. Модуль под ла2 есть РАДАР ВЕБ, сам не юзал, слышал, что надежен именно он, но Нуленное ДЛЕ сведет на нет все. Поэтому заачем платить больше если есть иншел или ГХТ.

[Dr_PSih 10]

http://l2maxi.ru/java/web/4313-ghtweb-v405.html а на пв ее можно использовать?

[220Volt 1]

Там несколько сборок, и РТ вроде есть. Потыкайте, если даже нету разраб оч. общительный парень, все быстро подпилит.

[Серый_Ветер 4]

зачем два компа то заводить

jail поднял на одной машине в любом количестве:

1 jail - www sait

2 jail - www forum

3 jail - mysql

4 jail - loginserver

5 jail - gameserver

это если параноиком надо быть....

 

а если совсем совсем крыша на безопасности едет:

1 jail - www sait

2 jail - www forum

3 jail - mysql www + forum

4 jail - loginserver

5 jail - gameserver

6 jail - mysql login+game servers

+ ограничить юзеров работать только среди заданного jail'a

+ ограничить ход пакетов только от jail'a к jail'у наружу ничего не смотрит, только jail's IP

+ закрыть весь доступ по портам во внешний мир, кроме 2106 9014 7777

 

преимущества jail'а юзеры будут составлять инкапсуляцию, дальше его же собственного компа оно не пройдет

правда если подсеть будет одна и таже иначе просто в /dev/null

минусы - много много много оперативы надо

Изменено 13 июля, 2012 пользователем Серый_Ветер

[Falcon 18]

Спасибо, интересная статейка.

Стиль написания - убил.

[Моветон 413]

Все говорят про дырки в SW и IPB, а сами даже не могут указать одной.

Верстать под GHTWEB легко, в это нет ничего сложного.

Веб ребы очень стар и уже не юзабелен. Тоже самое можно сказать и про мой-веб.

Иншелл не стоит тех денег, за которые продаётся, да и я его уже как-то шарил(правда ссылочку потёрли все).

 

Информация от ТСа не очень.

[220Volt 1]

Пурпл, что ты несешь ОБОГИ, тупо выйди с темы.

Дырки в ипб делают сами нулисты, в лицухах я думаю их нету, про дырки в СВ 11-12 даже на их сайте писали мало? я не хацкер, дабы их искать мне проще задосить.

Реба стара, и че пля? Феникс тоже стар, это мешает быть лучшей основой? Ты попробуй ребу хакни... не вар да? умник пля

Иншел чето стоит ? да смотрю, ты еще тот дегенират которому лиж бы чето вякнуть, иншел фри не? или тупо зашел на сайт иншел увидел первую инфу и все?

Верстать под GHTWEB легко? Ты это Скатеру скажи, который наверное за всю свою историю отказался за пиво вертать, ибо сказал да ну нах это, или че легко?. А поверь он сверстал дизов больше, чем у тебя извилин.

Изменено 13 июля, 2012 пользователем 220Volt

[Моветон 413]

Юзай нулл дальше, bomj.

Ни одной дырки в СВ не было описано.

Иншелл вообще на порталах появилась благодаря мне(и фри и платная).

Под GHTWEB верстал и вышло очень даже.

[Серый_Ветер 4]

имхо, собственный код.

html 5 + php. ну и + дизайнерские извращения типа js, css, jquery

 

знаешь свои + и - все возможности.

а у как защититься этих мануалов в инете валом. вон даже у демона есть разжеванный по самое нихачу.

Изменено 13 июля, 2012 пользователем Серый_Ветер

[MaxiMuM 11]

имхо, собственный код.

html 5 + php. ну и + дизайнерские извращения типа js, css, jquery

 

знаешь свои + и - все возможности.

а у как защититься этих мануалов в инете валом. вон даже у демона есть разжеванный по самое нихачу.

Согласен! Тем более сейчас при таком обилии обвязок, самому писать почти ничего не нужно. Код статистики, онлайна сервера и готовые ЛК есть в шаре. Нужно только доработать.

 

+ своё легче переделать.