Pooyan Afzali

درود علیرضای عزیز میتونی بررسی کنی و نتیجه رو بگی

درود حمله داس مربوط به سرور و هدفش آی پی هست هیچ راه قطعی و کاملی هم نداره هرچند انتی داس نرم افزاری و و حتی سخت افزاریم هست اما بازم بطور کامل پوشش نمیده چون متد های داس کردن زیاده بهترین کار داشتن سخت افزار قوی روی سرور پهنای باند بالا فهمیدن سریع و بلوک کردن آی پی مهاجم و با تجربه بودن مدیر سرور هست و نصب rsfirewallهیچ کمک قطعی نمیکنه

درود فانکشن هایی که افزونه میگه باید غیر فعال باشن ، اگه غیر فعال باشن خ خوبه ولی اگه مدیر سرور میگه فعالن باید بیشتر بررسی بشه و سرور تست بشه بلحاظ وجود فانکشن های فعال در سرور

در چند روز آینده بررسی میشه

درود برای مدیریت سرور باید با لینوکس آشنایی کامل داشته باشید و دستورات لینوکس رو بلد باشید باید با امنیت سرور و تنظیمات فنی سرور هم آشنا باشید و بتونید با پنل مدیریتی کار کنید اینترنت باید پرسرعت باشه حداقل 128 . هزینه اجازه سرور هم بستگی به نشخصات سرور داره از ماهی 20 هست تا ماهی 100 به بالا ولی برای اجازه سور مخصوص هاست حد اقل سروری که نیاز دارید تقریبا ماهی 90 هست (البته قیمت وقتی دلار گرون نبود!!) الان دقیق نمیدونم چون قیمت لحظه ای شده

درود عزیزم از اون حرفا بودا.....!!!!!!!!!:65d6a5d6s::65d6a5d6s: تازه کار و قدیمی نداره فدات و هر سوالی باشه و سواد محدود من اجازه بده پاسخگو هستم عزیز ولی چون از اول مهر کارورزی من شروع شده و دسترسیم به نت خ کمتر شده نمیرسم سریع ج بدم و ممکنه بعضی تاپیکا رو اصلا نبینم وگرنه اصلا ربطی به تازه کار و قدیمی نداره!! شما چه سایتی درخواست دادید و بررسی نشده؟

درود عزیزم در حال بررسی هست

درود بعد اینکه فایل سالم رو جایگزین میکنید کار خاصی انجام میدید؟

درود رتبه 87 مناسب هست اون دو مورد هم مربوط به فانکشن های پی اچ پی سرور هست که باز هستند و امنیت سرورتون خوب نیست !!!!! و اگه یکی از سایت های سرورتون هک بشه امکان هک شدن شما هم وجود داره configuration هم بیرون باشه بهتره

درود رتبه 87 مناسب هست اون دو مورد هم مربوط به فانکشن های پی اچ پی سرور هست که باز هستند و امنیت سرورتون خوب نیست !!!!! و اگه یکی از سایت های سرورتون هک بشه امکان هک شدن شما هم وجود داره configuration هم بیرون باشه بهتره

درود در بعضی از سرور ها بصورت پیشفرض این فایل رو برای جلوگیری از تغییر مخفی میکنه مدیر سرور ولی مشکلی نیست تغییراتی که میخواید اعمال کنید داخل فایل htaccess. بزارید

درود نمیتونید با htaccess همچین کاری رو انجام بدید داخل مدیریت جوملا میتونید سطح دسترسی ایجاد و اعمال کنید

درود ایمیل مدیر سرور معمولا از طریق خود سرور و فایل htaccess سرور تنظیم میشه و در صورتی که مدیر سرور این امکان رو برای سایت های روی سرور بسته باشه قابل تغییر نیست و ایمیل خود سرور هست نه مدیر سایت

درود rsfirewall نسخه رایگان نداره منظور همون نال هست و نسخه هاشم برای جوملا 1.5 و 2.5 هیچ فرقی با هم ندارن و مجزا نیست بلکه توی rev های مختلف تغییر میکنه برای بستن آی پی توی configuration قسمت blacklist بود من تا نسخه 43 رو تست کردم همینه

درود اخیرا اکثر سرویس دهنده های اینترنتی به سمت second layer protection اومدند یعنی لایه حفاظتی دوم!! که باعث بالاتر رفتن امنیت کابر میشه مثل جیمیل که با فعال کردن second layer protection وقتی یوزر و پسورد رو وارد میکنید یه صفحه میاد و از شکا security code میخواد که اون کد به گوشی شما اس ام اس میشه و تا وقتی اون کد رو وارد نکنید وارد جیمیل نمیشید این یعنی اگه حتی اکانت شما هک بشه باز کسی نمیتونه به جییمل شما دسترسی پیدا کنه!!! یاهو هم اخیرا این سرویس رو برای کشورهای محدودی اجرا کرده این یه مثال بود حالا برای جوملا هم افزونه های متعددی که تعدادشونم کم نیست به نحو های مختلفی اومدن second layer protection رو برای جوملا پیاده کردند یکی از این افزونه های کاربردی CD Login Confirmation هست کارش به این نحو هست که وقتی یوزر و پسورد مدیریت جوملا رو میزنید به ایمیلی که داخل تنظیمات کامپوننت دادید یک security code میره و صفحه مدیریت قفل میشه و تا وقتی اون کد رو وارد نکنید باز نمیشه بدین ترتیب حتی اگه مدیرت جوملاتون هک بشه بازم غیر قالب دسترسی هست , امکان جالب دیگه ای هم که داره میتونید تنظسم کنید که کد رو مثل جیمیل به گوشیتون بفرسته که البته قبل باید در سایت http://www.clickatell.com/ ثبت نام کنید و اطلاعات خواسته شده رو داخل تنظیمات کامپوننت وارد کنید البته من هنوز کارایی این کامپوننت رو چک نکردم لطفا یکی چک کنه و داخل همین تاپیک نتیجه رو اعلام کنه http://extensions.joomla.org/extensions/access-a-security/site-access/authentication-management/4365

درود خیر برای 2.5 ساخته نشده تا جایی که اطلاع دارم

درود داخل تاپیک htaccess برید اونجا کد رو گزاشتم

درود بطور کلی سایتی که عضویت داره یه خطر بالقوه برای هک شدن داره و اونم از چند راه 1- توی جوملا افزونه های عضو گیری در صورتی که باگ بدن از همون باگ میشه سایت رو زد که نمونه هاشم هست 2- بعضی سایت ها به کاربراشون امان آپلود عکس یا آواتار یا فایل رو میدن و در صورتی که محدودیت آپلود برای فایل های php و... ایجاد نرده باشن سایتشون احتمال زیاد هک میشه 3- سایت هایی که آپلود رو محدود به فایل های عکس کردن ولی سرورشون ضعیفه و گول میخوره بازم قابل هک شدن هستن بطور کلی توصیه میشه اگه امکان عضویت رو فعال میکنید دسترسی رو کامل محدود و کنترل کنیید و امکان اپلود رو اصلا به کاربراتون ندید اگرم میدید فولدری که داخلش اپلود میکنن با فایل htaccess ایمن کنید بدرود

درود الزامی نیست اما وقتی پشتیبانی 1.5 تموم بشه دیگه باگ هاش پچ نمیشه

درود جای این تاپیک احساس میشد چرا که دوستان در مورد امنیت سیستمداخل پ.خ سوال میکردند و گفتم شاید بهتر باشه سوال و جواب ها عمومی بشه که هم از تکرر سوال های جلوگیری بشه و هم واسه سایر دوستان قابل استفاده باشه چرا که ممکنه سوال اونا هم باشه و یا بعدا پیش بیاد و این تاپیک در آینده میشه یک رفرنس خوب و جامع واسه امنیت سایت نکته: 1- سول ها فقط در زمینه های امنیت سیستم باشه 2- اگه جواب سوالی رو نگرفتید داد و بیداد نکنید که کسی نیست جواب بده...!!؟؟؟ چرا که ممکنه واقعا کسی جواب رو ندونه یا هر علت دیگه و قطعا اگه کسی جواب رو بدونه دریغ نمیکنه از دوستش! 3- سوال ها رو واضح مشخص بپرسید و اگه لازم بود لینک یا عکس بزارید که بررسی بشه 4- شاید بگید اینجا انجمن جوملا هست ،چه ربطی به امنیت سیستم داره؟؟ درسته اینجا مباجث سایت مطرح میشه اما بدونید که وقتی سیستمی که ازش به مدیریت وصل میشید نا امن باشه میتونه اون سایت هک بشه که بعدا در مورد امنیت سیستم مطالب مفیدی رو در تاپیک جداگانه در آینده قرار میدم پس امنیت سیستم جبهه ما قبل امنیت سایت هست و همونطور که قبلا گفتم صرفا یک علت باعث هک شدن نمیشه بلکه علل های متعددی وجود داره مثل fake page که اصلا ربطی به سرور و افزونه .. نداره بلکه بدلیل عدم درک صحیح امنیت هست!! (موارد ممکنه در آینده اضافه بشه) تشکر

درود دوست عزیز یک سفر کاری پیش اومد و دسترسیم به نت محدود شد سایت شما رو بلحاظ وجود باگ های sql xss و lfi و rfi بررسی شد و همچنین وجود افزونه باگ دار و مورد خطرناکی مشاهده نشد فقط روی پوشه مدیریت رمز عبور قرار بدید و جوملاتونو به 2.5 ارتقا بدید چون تا چند وقت دیگه 1.5 منقضی میشه و هر باگی بیرون بیاد که حتما میاد دیگه پچ نمیشه بازم از تاخیر پیش اومده پوزش میخوام عزیزم بدرود

درود چنین سایتی تا جایی که میدونم وجود نداره و اگرم باشه قطعا پولی هست چرا که مستلزم تجهیزات ، نرم افزار ها و متد های متعدد و سرور بسیار قوی هست برای پردازش آنلاین اصولا پروسه تست نفوذ سایت یک کار پیچیده و زمان بر هست و با یک اسکریپت ساده نمیشه تست کرد اگرم باشه قطعا تست بسیار سطحی هست درود

درود این سایت امنیت خود سایت رو چک نمیکنه و اصلا باگ های خود سایت رو کاری نداره بلکه فقط بلحاظ وجود کد های مخرب در داخل سایت برای کاربران و بازدید کنندگان سایت رو بررسی میکنه و در واقع وبگردی ایمن به کاربرای اینترنت میده که این امکان داخل بسته nis 2013 هم وجود داره چون بعضی سایت ها مدیرشون عمدا یه کد مخرب قرار میده که هر کسی وارد سایتشون شد روی سیستمش دانلود و اجرا میشه

درود بطور کلی بصورت کامل نمیشه کاری کرد که جوملایی بودن سایت معلوم نشه اما یکسری کارها هست که با انجام اونا تشخیص سخت تر میشه مثل: 1- فارسی کردم آدرس ها 2- پاک کردن متاتگ های جوملا از قالب 3- استفاده از افزونه jhackguard 4- پاک کردن کپی رایت جوملا 5-عوض کردن پسوند فایل ها

درود همون تنظیمات رو غیر فعال کنید