desolator 267 Опубликовано 28 марта, 2014 (изменено) Все привет. В свете последних событий для меня вопрос безопасности, стал как ком в горле. Чего я уже только не выдумывал в своей голове. Но так и ничего толкового не придумал (как ни странно ). Сейчас я распишу пошаговые действия настройки безопасности, такими как я их вижу. 1. Дабы обезопасить себя от ддоса покупаем хороший (про-м, шторы) хостинг для сайта\форума и дедик. 2. Создаем юзера в mysql на дедике ( юзеру даем доступ только с ИПшника нашего сайта, заливаем наш лицензионный СВ на хостинг, повязываем его к нашему юзеру mysql'я выставляем права юзеру на нужные колонки в таблицах, а не на всю таблицу. ( должно получится ~6-7 таблиц к которым юзер имеет доступ и только 2-ве из них он может просматривать и редактировать данные т.е. иметь на них права SHOW SELECT UPDATE это accounts и characters так же на таблицы characters и accounts наш юзер будет иметь права SELECT и UPDATE. accounts - можно урезать права на UPDATE и оставить только SELECT (тогда пропадает возможность смены пароля в ЛК) - аналогично можно убрать UPDATE на characters но опять же пропадает возможность перемещать персонажа "В город" через тот же ЛК. 3. Заходим на фтп нашего хостинга ( где лежит СВ ) ставим на некоторые скрипты т.е. модули, кофиги и т.д. права 444, заливаем куда только видим htaccess. Удаляем переименованную папку с админкой СВ, когда мы её не используем. 4. Сайт с дедиком вяжем по внутренней сети нашего хостера 192.168.... Закрываем все не использующиеся порты кроме ссх, 3306, 2106, 7777.Просим нашего хостера что бы запретил доступ из вне (на фильтрах через которые проходит весь тарафик) на хостинг и на дедик по портам ссх и 3306 и разрешил доступ только с нашего ИП. 5. Создаем правила фаерволла на дедике что бы во внутренней сети наешго хотера доступ по портам ссх и 3306 был только с нашего хостинга т.е. ставим внутренний ип нашего сайта. 6. Форум офк на отдельном поддомене и имеет свою независимую бд. Ну и конечно пароли везде овер 30 символов. Собственно сабж, что можно сделать ещё? Дабы не сливали бд и т.д. Мне больше ничего в голову не приходит Была мысля забить на СВ, верстать сайт просто на хтмле, а блоки вывода статистики пвп\пк парсить каждый день и руками вписывать. Для регистрации написать пхп скрипт и поместить его на левый хост, который бы принимал наши данные после регистрации на сайте и записывала бы их куда-то ( я ещё не знаю куда), а наша БД с игровым сервером парсила бы оттуда эти данные т.е. выходит не скрипт пишет в БД, а бд парсит данные откуда-то которые принимает и пишет скрипт Изменено 28 марта, 2014 пользователем desolator 2 Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
trust 86 Опубликовано 28 марта, 2014 (изменено) Хорошо Изменено 31 марта, 2014 пользователем trust Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Po6oKon 177 Опубликовано 28 марта, 2014 Автор, эти методы всем уже известны, из этих способов защиты БД "Миллионы в поисковиках", но думаю для новичков будет в самый раз. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
desolator 267 Опубликовано 28 марта, 2014 (изменено) В 28.03.2014 в 15:59, Po6oKon сказал: Автор, эти методы всем уже известны, из этих способов защиты БД "Миллионы в поисковиках", но думаю для новичков будет в самый раз. Я очень рад что они все известны. Эм, я как бы не гайд писал, а просто описал свои действия и спрашиваю людей которые что-то понимают в этой жизни "что можно сделать ещё?". Миллионы? Приведи хотя бы один, которого нет в выше описанном. Изменено 28 марта, 2014 пользователем desolator Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
SpellForce 13 Опубликовано 28 марта, 2014 (изменено) php.ini в помощь. Если нет, то .htaccess - абватур более 600, вся инфа на аптаче, Главное поставить запрет на исполнение скриптов, и сканирование файлов. Права на папки и на файлы только read-only В поискових полно информации, по защиту от SQL инъекций, а так же как избежать шеллов. Так же обвязательно выключите "Ошибки Mysql", если у вас будет данная функция то к вам забегит школьник, сайту вашему хана. Либо удалите оповещение об ошибке вставя простой "Error страница не найдена" Изменено 28 марта, 2014 пользователем SpellForce 1 Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
desolator 267 Опубликовано 28 марта, 2014 В 28.03.2014 в 16:14, SpellForce сказал: php.ini в помощь. Если нет, то .htaccess - абватур более 600, вся инфа на аптаче, Главное поставить запрет на исполнение скриптов, и сканирование файлов. Права на папки и на файлы только read-only В поискових полно информации, по защиту от SQL инъекций, а так же как избежать шеллов. Так же обвязательно выключите "Ошибки Mysql", если у вас будет данная функция и как забегить школьник, сайту вашему хана. Либо удалите оповещение об ошибке вставя простой "Error страница не найдена" покупаем хороший (про-м, шторы) хостинг ставим на некоторые скрипты т.е. модули, кофиги и т.д. права 444, заливаем куда только видим htaccess. Удаляем переименованную папку с админкой СВ, когда мы её не используем. 4. Сайт с дедиком вяжем по внутренней сети нашего хостера 192.168.... Закрываем все не использующиеся порты кроме ссх, 3306, 2106, 7777.Просим нашего хостера что бы запретил доступ из вне (на фильтрах через которые проходит весь тарафик) на хостинг и на дедик по портам ссх и 3306 и разрешил доступ только с нашего ИП. Как бы подразумевает. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
SpellForce 13 Опубликовано 28 марта, 2014 Если вы планируете открытие с рекламой в топах и.т.п Обвязательно отслеживайте логи, инзменение в файлах, поиск путей, запросы не существующих страниц в движке. Нашли? Значит ваш сайт уже перекапывают. 1 Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
SpellForce 13 Опубликовано 28 марта, 2014 (изменено) В 28.03.2014 в 16:16, desolator сказал: покупаем хороший (про-м, шторы) хостинг ставим на некоторые скрипты т.е. модули, кофиги и т.д. права 444, заливаем куда только видим htaccess. Удаляем переименованную папку с админкой СВ, когда мы её не используем. 4. Сайт с дедиком вяжем по внутренней сети нашего хостера 192.168.... Закрываем все не использующиеся порты кроме ссх, 3306, 2106, 7777.Просим нашего хостера что бы запретил доступ из вне (на фильтрах через которые проходит весь тарафик) на хостинг и на дедик по портам ссх и 3306 и разрешил доступ только с нашего ИП. Как бы подразумевает. Хорошо, если вы используете про-м то они вам дадут инструкцию по защите SW, так же как и штормы, если хорошо попросить. Так же отключите телепорт в ЦП лк, либо проверьте код, на форуме стресса есть данная проблемы с дыркой. Так же стресс сам не раз это призновал. Изменено 28 марта, 2014 пользователем SpellForce 1 Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
desolator 267 Опубликовано 28 марта, 2014 (изменено) В 28.03.2014 в 16:17, SpellForce сказал: Если вы планируете открытие с рекламой в топах и.т.п Обвязательно отслеживайте логи, инзменение в файлах, поиск путей, запросы не существующих страниц в движке. Нашли? Значит ваш сайт уже перекапывают. А что если я вам скажу что логи пусты, а мне уже пишут о продаже моей же бд за 50к в скайпе. Изменено 28 марта, 2014 пользователем desolator Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
desolator 267 Опубликовано 28 марта, 2014 (изменено) В 28.03.2014 в 16:18, SpellForce сказал: Хорошо, если вы используете про-м то они вам дадут инструкцию по защите SW, так же как и штормы, если хорошо попросить. Так же отключите телепорт в ЦП лк, либо проверьте код, на форуме стресса есть данная проблемы с дыркой. Так же стресс сам не раз это призновал. Простите, а то что я описал выше не есть инструкция? По моему всем инструкциям инструкция по сравнению с тем что описано на сайте самого СВ Изменено 28 марта, 2014 пользователем desolator Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
SpellForce 13 Опубликовано 28 марта, 2014 В 28.03.2014 в 16:18, desolator сказал: А что если я вам скажу что логи пусты, а мне уже пишут о продаже моей же бд за 50к в скайпе. Значит была уборка, все подробности у вашего хостинга. И логи могут быть обманчевы иногда, злоумышлиник только пытается запутать в них вас. Так же можете установить анти вирус в вашу обвязку который будет оповещать вас по СМС, когда появился новый файл и где, что за файл либо изменения в файлах. 1 Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
SpellForce 13 Опубликовано 28 марта, 2014 В 28.03.2014 в 16:20, desolator сказал: Простите, а то что я описал выше не есть инструкция? По моему всем инструкциям инструкция по сравнению с тем что описано на сайте самого СВ Там много лишнего. Допустим вся обвязка евро-пвп того-же стоит на правах 775. Писать могут все что угодно. 1 Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
desolator 267 Опубликовано 28 марта, 2014 (изменено) В 28.03.2014 в 16:22, SpellForce сказал: Значит была уборка, все подробности у вашего хостинга. И логи могут быть обманчевы иногда, злоумышлиник только пытается запутать в них вас. Так же можете установить анти вирус в вашу обвязку который будет оповещать вас по СМС, когда появился новый файл и где, что за файл либо изменения в файлах. К логам нет доступа даже у меня, доступ к логам есть только у самого хостера и почистить что-то там не возможно. Логи выдаются при личном запросе к хостеру. И логи полностью пусты. Хотите сказать что злоумышленник смог попасть по какой-то ссылке не попав в логи? По моему бред Ну о антивирусе - посмеялся, спасибо Это: antiVIRUS11!! (Показать контент) [/size][size=4]/**[/size] * @name STRESS WEB * @author S.T.R.E.S.S. * @copyright 2008 - 2012 STRESS WEB * @version 13 * @web http://stressweb.ru */ $good_files = array( './admin.php', './antivirus.php', './build.php', './index.php', './log_auth.php', './admin/accounts.php', './admin/admins.php', './admin/chars.php', './admin/index.php', './admin/news.php', './admin/polls.php', './admin/settings.php', './admin/static.php', './admin/support.php', './admin/telnet.php', './ajax/aj.poll.php', './ajax/aj.robo.php', './application/404.php', './application/account/changer.php', './application/account/charinfo.php', './application/account/charlist.php', './application/account/chmail.php', './application/account/chname.php', './application/account/chpass.php', './application/account/chsex.php', './application/account/robokassa.php', './application/account/support.php', './application/account/referal.php', './application/cp.php', './application/forget.php', './application/l2top.php', './application/main.php', './application/mmotop.php', './application/news.php', './application/register.php', './application/robo.php', './application/stat.php', './application/ru.php', './application/en.php', './config/config.db.php', './config/config.iptable.php', './config/config.l2cfg.php', './config/lock.php', './config/key.php', './dev/boot.admin.php', './dev/boot.php', './dev/cfg.default.php', './dev/class.admin.php', './dev/class.controller.php', './dev/class.db.php', './dev/class.functions.php', './dev/class.init.admin.php', './dev/class.init.php', './dev/class.iptable.php', './dev/class.la2.php', './dev/class.mail.php', './dev/class.router.php', './dev/class.view.php', './l2j/l2j_duotm.php', './l2j/l2j_emurt.php', './l2j/l2j_firstteam.php', './l2j/l2j_l2dc.php', './l2j/l2j_l2dream.php', './l2j/l2j_l2emuenterprise.php', './l2j/l2j_l2evo.php', './l2j/l2j_l2jfree.php', './l2j/l2j_l2jfrozen.php', './l2j/l2j_l2jserver.php', './l2j/l2j_l2nextgen.php', './l2j/l2j_l2open.php', './l2j/l2j_l2openfreya.php', './l2j/l2j_la2base.php', './l2j/l2j_lucera.php', './l2j/l2j_phoenix.php', './l2j/l2j_phoenix19xxx.php', './l2j/l2j_rt.php', './l2j/l2j_scoria.php', './lang/en.php', './lang/ru.php', './module/antibot.php', './module/copyright.php', './module/forum.php', './module/login.php', './module/pktop.php', './module/poll.php', './module/pvptop.php', './module/server.php' ); function antivirus( $root ) { global $good_files; if ( $dir = @opendir($root) ) { while ( ($file = @readdir($dir)) !== false ) { if ( $file == '.' or $file == '..' ) continue; if ( is_file($root.'/'.$file) ) { $file_info = pathinfo( strtolower($root.'/'.$file) ); if ( $file_info["extension"] == 'php' ){ if(!in_array($root.'/'.$file, $good_files)) echo $root.'/'.$file.' '; } } if ( is_dir($root.'/'.$file) ) { antivirus( $root.'/'.$file ); } } closedir( $dir ); } } antivirus('.'); ?> Найдет шелл у меня на сайте? Что бы он ещё оповещал меня по смс, что-то новое. Не плохая идея, спасибо Правда это было бы классно только как фича "для себя" и собственного ЧСВ, а по факту пока мне придет СМС, парень уже будет качать таблицу с аккаунтами себе на хард. Изменено 28 марта, 2014 пользователем desolator Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
desolator 267 Опубликовано 28 марта, 2014 Если кто-то знает, готов купить разовую настройку не учитывая того что я уже сделал, а сделал я всё что описано в 1-ом посте. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты