davood_71

سوال امنیتی

19 پست در این موضوع

سلام خسته نباشید

دو تا سوال داشتم ممنون میشم پاسخ بدید

1- میشه فایل کانفیگ جوملا رو کد کرد که کسی نشتونه بهش دسترسی پیدا کنه؟ (همچین چیزی میشه؟) ، روش بهتری رو میشناسید؟ من دسرتسی رو روی 400 گذاشتم

2- نمیخواستم دوباره اون تایپیک رو باز کنم لینکش رو اینجا ارسال میکنم فقط یه سوال داشتم ، اون کد های(htaccess) رو که گذاشته ، من اون فایل رو درست کنم کجا باید آپلودش کنم؟ از کجا بدونم توی روت بریزم یا توی پوشه خاصی

لینک :آموزش تاپیک مقالات آموزشی htaccess جهت ارتقای امنیت, پایداری و بهبود عملکرد سایت - صفحه 4

Share this post


Link to post
Share on other sites
آموزش ووکامرس قالب جوملا قالب وردپرس قالب رایگان وردپرس قالب رایگان جوملا هاست نامحدود هاست جوملا هاست لاراول هاست وردپرس هاست ارزان هاست ربات تلگرام خرید دامنه آموزش ساخت ربات تلگرام با php آموزش لاراول آموزش cPanel آموزش php آموزش فرم ساز RSform آموزش ساخت ربات جذب ممبر آموزش ساخت ربات دوستیابی آموزش ساخت ربات فروشگاهی برای ووکامرس آموزش طراحی سایت داینامیک با php آموزش بخش پشتیبانی با rsticket
سلام خسته نباشید
دو تا سوال داشتم ممنون میشم پاسخ بدید

لطفا کلیه سوالات مربط با امینت رو در انجمن خودش بپرسید

1- میشه فایل کانفیگ جوملا رو کد کرد که کسی نشتونه بهش دسترسی پیدا کنه؟ (همچین چیزی میشه؟) ، روش بهتری رو میشناسید؟ من دسرتسی رو روی 400 گذاشتم

بهترین راهکار تنظیم دسترسی ۴۰۰ و خارج کردن فایل کانفیگ بیرون از public html هست

نمیخواستم دوباره اون تایپیک رو باز کنم لینکش رو اینجا ارسال میکنم فقط یه سوال داشتم ، اون کد های(htaccess) رو که گذاشته ، من اون فایل رو درست کنم کجا باید آپلودش کنم؟ از کجا بدونم توی روت بریزم یا توی پوشه خاصی

داخل روت هاست یا هر پوشه ای مدنظرتونه

Share this post


Link to post
Share on other sites

فایل htaccess مثلا میریزم داخل پوشه images که شل اپلود نشه ، خب حالا زیر پوشه هارو هم در نظر میگیره؟ یا فقط داخل خود پوشه images رو محافظت میکنه؟

منظورم از زیر پوشه : images/newfolder

------

به نظر شما بهتر هست که بشه فایل htaccess داخل سرور ساخت؟ یعنی allowOverride All یا allowOverride None ؟

چون شما کارتون امنیت هست من سوال میکنم واقعا ببخشید

منظورم اینه دقیق تر بگم ، اگر none باشه داخل هیچ پوشه ای از هاست نمیشه فایل htaccess ساخت و اگر هم بسازی کار نمیکنه (سایت خود آپاچی گفته واسه امنیت اینجوری بهتره) و اگر all باشه میشه توی هر پوشه ای از هاست اون فایل رو ساخت

کدومش بهتره؟ از این میترسم اگر فعال باشه هکر یه دونه خودش میسازه و آپلود میکنه توی هاست و دیگر هیچ ...

Share this post


Link to post
Share on other sites
فایل htaccess مثلا میریزم داخل پوشه images که شل اپلود نشه ، خب حالا زیر پوشه هارو هم در نظر میگیره؟

یا فقط داخل خود پوشه images رو محافظت میکنه؟

فقط خود پوشه

منظورم از زیر پوشه : images/newfolder

------

به نظر شما بهتر هست که بشه فایل htaccess داخل سرور ساخت؟ یعنی allowOverride All یا allowOverride None ؟

اگه تک سایته بهتره از سرور ساخت

اگه برای هاستینگه بهتره بشه داخل پوشه ها ساخت چون خیلی از کاربران نیاز به کدهای خاص دارن

اما از نظر امنیت بهتره none باشه

Share this post


Link to post
Share on other sites

خیلی ممنون

بله تک سایت هستش اصلا هاستیگ نیست

خب من بزارم روی none ، خود htaccess جوملا رو چیکار کنم؟ به مشکل بر میخوره فکر کنم (یه روش دیگه هست اینگاری اینجوری میشه که کل مسیر هارو غیر فعال میکنه ولی فقط مسیر هایی که میخوای توش htaccess باشه رو روی All میزاری که اون مسیر ها فقط کار کنه و توی بقیه مسیر ها دیگه کار نکنه) روش اول

-------------

اصلا من چرا اینکاراو میکنم؟ دلیلش اینه میخوام جلوی آپلود شل رو بیگرم، اگر بشه اون کدی که مخصوص آپلود شل هست روی سرور گذاشت و کلا همه مسیر ها رو غیر از public_html رو بست (برای htaccess خود جوملا) خیلی اینجوری بهتره (به شرطی که با آپلود کد های php و... یا نصب افزونه و آپدیتش مشکلی پیش نیاره) ، که اگر هم مشکل پیش اورد راه حلش اینه، وقتی میخوام افزونه ای نصب کنم یا آپدیت کنم یا کد php یا هرچی رو آپلود کنم، موقتا دستور شل رو از توی سرور قطع کنم ، بعدش که کارم تموم شد دوباره فعال کنم . روش دوم.

کدومش به نظر شما بهتره روش اول یا دوم؟

فقط یه چیزی که مشکل با rsfirewall یا هر نوع کامپوننتی ، اخه مگه htaccess ندارن؟ کلا جوملا چند تا داره؟ یه دوشن توی public_html هست

-----

ببخشدی خیلی طولانی شد ، فقط بگید روش اول بهتره یا دوم ، و اینکه با افزونه های امنیتی مشکل نداره؟ اصلا اونا فایل htaccess دارن؟

Share this post


Link to post
Share on other sites
خیلی ممنون

بله تک سایت هستش اصلا هاستیگ نیست

خب من بزارم روی none ، خود htaccess جوملا رو چیکار کنم؟ به مشکل بر میخوره فکر کنم (یه روش دیگه هست اینگاری اینجوری میشه که کل مسیر هارو غیر فعال میکنه ولی فقط مسیر هایی که میخوای توش htaccess باشه رو روی All میزاری که اون مسیر ها فقط کار کنه و توی بقیه مسیر ها دیگه کار نکنه) روش اول

-------------

اصلا من چرا اینکاراو میکنم؟ دلیلش اینه میخوام جلوی آپلود شل رو بیگرم، اگر بشه اون کدی که مخصوص آپلود شل هست روی سرور گذاشت و کلا همه مسیر ها رو غیر از public_html رو بست (برای htaccess خود جوملا) خیلی اینجوری بهتره (به شرطی که با آپلود کد های php و... یا نصب افزونه و آپدیتش مشکلی پیش نیاره) ، که اگر هم مشکل پیش اورد راه حلش اینه، وقتی میخوام افزونه ای نصب کنم یا آپدیت کنم یا کد php یا هرچی رو آپلود کنم، موقتا دستور شل رو از توی سرور قطع کنم ،

بعدش که کارم تموم شد دوباره فعال کنم . روش دوم.

روش دوم

فقط یه چیزی که مشکل با rsfirewall یا هر نوع کامپوننتی ، اخه مگه htaccess ندارن؟ کلا جوملا چند تا داره؟ یه دوشن توی public_html هست

قاعدتا خیر

-----

Share this post


Link to post
Share on other sites

خیلی ممنون خیلی لطف کردین

ببخشید این آخرین سوالم هست دیگه

هکر وقتی شل آپلود میکنه ، احتمالا کد شده میفرسته ، چون اگر عادی بفرسته فکر کنم آنتی ویروس و آنتی شلر جلوش رو بگیره

خل وقتی هم کد شده بفرسته باید داخل سرور دیکد شه ، خب من الان روس سرور دیکدر ioncube نصب هست ، بهتر نیست اونو غیر فعال کنم ، دیگه اینجوری طرف اگر کد شده بفرسته دی کد نمیشه و کار نمیکنه

هیچ سورسم داخل سایت کد شده نیست

میشه گفت اینم یه راه حل میشه؟

Share this post


Link to post
Share on other sites
خیلی ممنون خیلی لطف کردین

ببخشید این آخرین سوالم هست دیگه

هکر وقتی شل آپلود میکنه ، احتمالا کد شده میفرسته ، چون اگر عادی بفرسته فکر کنم آنتی ویروس و آنتی شلر جلوش رو بگیره

خل وقتی هم کد شده بفرسته باید داخل سرور دیکد شه ، خب من الان روس سرور دیکدر ioncube نصب هست ، بهتر نیست اونو غیر فعال کنم ، دیگه اینجوری طرف اگر کد شده بفرسته دی کد نمیشه و کار نمیکنه

هیچ سورسم داخل سایت کد شده نیست

میشه گفت اینم یه راه حل میشه؟

درود سیستم های encoding بسیار متعدد هست و هکر ها هیچوقت نمیان با انکدینگ های عمومی فایل شل ها رو کد کنن چون براحتی تشخیص داده میشه توسط اسکنرهایی مثل cxs

ضمنا آنتی شلرها ۱۰۰٪ جلوگیری نمیکنن صرفا شل های معروف که کدینگشون لو رفته مثل c99 و... رو شناسایی میکنن و اگه یکم هکر کدینگ رو تغییر بده یا بهینه کنه شل رو انتی شلر اصلا متوجه نمیشه

و بایپس نیشه

ضمنا نصب بودن لودر یون کیوب در صورتی که داخل سایت اصلا اسکریپت کد شده ای بر اساس یون کیوب اینکدر ندارید ضرورتی نداره

Share this post


Link to post
Share on other sites

خیلی ممنون

برای جلوگیری از آپلود شل (البته این کد من امتحان کردم ، اگر فایل php یا هرچی دیگه رو داخل اون پوشه بریزم کار نمیکنه و خطای 404 میده دیگه نمیدونم جلوی آپلود رو هم میگره یا خیر)

<FilesMatch "\.(php|php.*|sphp|html|pl|htm|xhtml|shtml|dhtml|asp|aspx|xml|cgi|php5|php4|php3|php2|phtml|phtm|bat|sh|js|exe|dll|txt)$">
Order allow,deny
deny from all
</FilesMatch>
<FilesMatch \.php$>
SetHandler None
</FilesMatch>
<Files "index.html">
Order allow,deny
allow from all
</Files>

Share this post


Link to post
Share on other sites
خیلی ممنون

برای جلوگیری از آپلود شل (البته این کد من امتحان کردم ، اگر فایل php یا هرچی دیگه رو داخل اون پوشه بریزم کار نمیکنه و خطای 404 میده دیگه نمیدونم جلوی آپلود رو هم میگره یا خیر)

<FilesMatch "\.(php|php.*|sphp|html|pl|htm|xhtml|shtml|dhtml|asp|aspx|xml|cgi|php5|php4|php3|php2|phtml|phtm|bat|sh|js|exe|dll|txt)$">
Order allow,deny
deny from all
</FilesMatch>
<FilesMatch \.php$>
SetHandler None
</FilesMatch>
<Files "index.html">
Order allow,deny
allow from all
</Files>

کد بالایی جلوی اپلود شل رو میگره؟ من تست کردم اگر یه فایل php داخل اون پوشه باشه خطای 404 میده

کد زیر چی جلوی اپلود شل رو میگره؟ اینو هم تست کردک اگر یه فایل php داخل اون پوشه بریزم ، کامل اجرا میشه

<Files ^(*.php|*.phps)>
   order deny,allow
   deny from all
</Files>

Share this post


Link to post
Share on other sites
خیلی ممنون

برای جلوگیری از آپلود شل (البته این کد من امتحان کردم ، اگر فایل php یا هرچی دیگه رو داخل اون پوشه بریزم کار نمیکنه و خطای 404 میده دیگه نمیدونم جلوی آپلود رو هم میگره یا خیر)

<FilesMatch "\.(php|php.*|sphp|html|pl|htm|xhtml|shtml|dhtml|asp|aspx|xml|cgi|php5|php4|php3|php2|phtml|phtm|bat|sh|js|exe|dll|txt)$">
Order allow,deny
deny from all
</FilesMatch>
<FilesMatch \.php$>
SetHandler None
</FilesMatch>
<Files "index.html">
Order allow,deny
allow from all
</Files>

کد بالایی جلوی اپلود شل رو میگره؟ من تست کردم اگر یه فایل php داخل اون پوشه باشه خطای 404 میده

کد زیر چی جلوی اپلود شل رو میگره؟ اینو هم تست کردک اگر یه فایل php داخل اون پوشه بریزم ، کامل اجرا میشه

<Files ^(*.php|*.phps)>
   order deny,allow
   deny from all
</Files>

Share this post


Link to post
Share on other sites
کد بالایی جلوی اپلود شل رو میگره؟ من تست کردم اگر یه فایل php داخل اون پوشه باشه خطای 404 میده

کد زیر چی جلوی اپلود شل رو میگره؟ اینو هم تست کردک اگر یه فایل php داخل اون پوشه بریزم ، کامل اجرا میشه

<Files ^(*.php|*.phps)>
   order deny,allow
   deny from all
</Files>

هر دو باید جلوی اپلود شل رو بگیرن و کد اول دامنه وسیعی از فایل ها رو پوشش میده

اگر دومی اجرا میشه بدلیل تنیمات سرور هست

Share this post


Link to post
Share on other sites
هر دو باید جلوی اپلود شل رو بگیرن و کد اول دامنه وسیعی از فایل ها رو پوشش میده

اگر دومی اجرا میشه بدلیل تنیمات سرور هست

جفت کد هارو (هم اولی هم دومی) رو وارد کنم اشکالی پیش نمیاد؟ بهتر نیست اینجوری؟

Share this post


Link to post
Share on other sites

پس من اینو بزارم کافیه ؟ جلوی اپلود شل رو میگره ؟ (جلوی اجراش رو میگره من تست کردم خطا 404 میده)

<FilesMatch "\.(php|php.*|sphp|html|pl|py|jsp|htm|xhtml|shtml|dhtml|asp|aspx|xml|cgi|cgi.+|php5|php4|php3|php2|phtml|phtm|bat|sh|js|exe|dll|txt)$">
Order allow,deny
deny from all
</FilesMatch>
<Files "index.html">
Order allow,deny
allow from all
</Files>

اگر اوکی دادین دیگه این بحث تموم میشه و منم خیالم راحت میشه

Share this post


Link to post
Share on other sites

میدونم مطلق نیست ، منظور من اینه جلوی اپلود شل رو میگره اون یا جلوی اجراش رو فقط میگیره؟ تا حد خیلی کم منظورمه

Share this post


Link to post
Share on other sites

برای ارسال نظر یک حساب کاربری ایجاد کنید یا وارد حساب خود شوید

برای اینکه بتوانید نظر ارسال کنید نیاز دارید که کاربر سایت شوید

ایجاد یک حساب کاربری

برای حساب کاربری جدید در انجمن ما ثبت نام کنید. عضویت خیلی ساده است !


ثبت نام یک حساب کاربری جدید

ورود به حساب کاربری

دارای حساب کاربری هستید؟ از اینجا وارد شوید


ورود به حساب کاربری