- Joined
- Jan 17, 2009
- Messages
- 1,212
- Reaction score
- 976
Привет на всички потребители и потребителки на форума. След един доста голям мързел се реших да споделя с Вас за мен най-добрата сигурност за Вашият уеб сайт. Значи какво ще рече това да сте подсигурени от към уеб сайта си? Това ще рече не да си извикате охранителна фирма както всички го мислят или да си "сложите secure" на Вашият сайт а как да настроите уеб сървъра си, някой помощи програмки и два прости и елементарни скрипка за Вашият уеб пакет с който Ви давам гаранция, че проблемите от сорта "спряха ми сяла, дропнаха ми таблицата" и т.н ще са минало за Вас.
Така след това обяснение да започнем с същноста на тази тема:
Стъпка 1
1. Като за начало използвайте уеб сървър Xampp
2. Ето как се инсталирва за тези които незнаят click
3. Принципно всеки знае, че след инсталация на даденият сървър после се влиза в http://localhost/security и се въвеждат пароли и т.н е това не е нужно според мен. Ето какво ще направите след инсталирането на уеб сървъра:
- Отивате в папката на Xampp (C:/xampp - примерно) и изтривате папките phpAdmin и Security
4. Препоръка от мен е да не си слагате форума на компютъра на който сте пуснали сървъра си или уеб сайта и така ще се оттървете от още един начин за пробив и кой е той...?
- Отворете контролният панел на Xampp и спрете работата на MySql (винаги когато пускате наново уеб сървъра спирайте MySql напълно ненужен е ако нямате уеб пакет който да работи с него
)
Стъпка 2
1. Настройка на C:\xampp\apache\conf\httpd.conf. Отворете го с Notepad.exe примерно и направете следните промени в него:
- Търсете ThreadsPerChild (default 250) и го променете на ThreadsPerChild 99999
- Променете IP-to което Ви е дадето там 127.0.0.1 на глобалното Ви IP.
2. Настройка на C:\xampp\php\php.ini. Отворете го с Notepad.exe примерно и направете следните промени в него:
- Търсете disable_functions и го променете на disable_functions = system,exec,shell_exec,passthru,error_log,ini_alte r,dl,pfsockopen, openlog, syslog, readlink, symlink, link, leak, popen, escapeshellcmd, proc_close,proc_get_status,proc_nice,proc_open,proc_terminate,escapeshellarg,pcntl_exec
- Търсете safe_mode и го променете на safe_mode = On
- Търсете safe_mode_gid и го променете на safe_mode_gid = On
- Търсете file_uploads и го променете на file_uploads = Off
След всичко това като го направите и вече сте готови рестартирайте уеб сървъра си или за мен ще е най-добре рестартирайте компютъра си.
Стъпка 3
Тук идва реда на помощните програми и скриптове така да ги наречем.
1. Един съвет от мен ползвайте рутер за да не се конектват всички потребители към компютъра директно ами рутера да обира всички лайна които се опитват да ви направят
2. Независимо, че имате рутер пред Вас и той има Firewall (защитна стена) си сложете и на компютъра. За сега за мен Sygate върши идеална работа, но ползвайте някоя по стара версия.
3. Антивирустната Ви програма... тук сигорен съм, че ще има доста спорове, но според мен и също така изпитано от други Ви препоръчвам Avast! Profesional като при него давате на "Висока Защита"
4. По-долу ще видите .htaccess файл който може да сложите в главната директория на Вашият уеб сайт. За какво служи той...? Ами служи за тези които неискат да им се вижда какъв им е уеб сървъра и дали е на Windows или Linux. Това са error pages или преведено страниците за грешки които изкарва след проблеми. Аз съм добавил вътре Error's: 400, 403, 404, 500 като за всички те трябва самички да си направите файлове за всяка една грешка и да ги сложите в главната директория. За тези който не са ме разбрали ето примера:
- Ползвате .htaccess който съм дал и искате на грешка 404 (страницата липсва) да ви искарва това което Вие искате правите файл 404.php слагате го в главната директория и пишете в него това което искате да Ви искарва.
5. За да си спестите главоболията от един друг проблем който е доста досаден (UDP FLOOD) направете следното
- Първо за да залъжете противника си вземете хостинг на минимална цена и трафик (това вече Вие ще прецените) на него сложете един index.php който да препраща към друг адрес (адреса на Вашият компютър) с iframe (<iframe name="theframe" src="blah.html" width="400" height="400" frameborder="0" scrolling="auto"></iframe>). Някой ще кажат "да ама той така пак може да ми види IP-то" ами има решение и то е отворете това и копирайте съдържанието на index.php и дайте encode. Резултата от там го заместете с това което сте написали Вие преди това в index.php. Така като се даде дясно копче няма да се вижда кой е адреса към който се препраща. Също така е хубаво и сайта който е в директорията C:/xampp/htdocs също да е encode.
Стъпка 4
Сигурноста за Вашият уеб пакет в два файла Това може да го намерите и в DarksWeb 0.3 . Преди се чудех всичко това нещо за какво е и как действа и разбрах. Преимуществата на този вид сигурност са, че може да ползвате всички символи, цифри и букви в уеб сайта си и ще сте спокойни. Ако го ползвате това не са Ви нужни скриптове от сорта sql_check, sql_inject който всички познаваме. Двата файла съм ги дал по долу в архива secure.rar Ето как да си ги сложите на Вашият уеб пакет и как да проверите дали всичко е покрито от тях:
- Най-отгоре на Вашият index.php ако ползвате метода index.php=?blabla а ако ползвате метода на DarksWeb 0.1 или BattleZone го сложете в all header's php files това:
- След това отворете sqlcfg.php и променете настройките които са дадени в него.
- Отворете secure_login.php много е важно да знаете коя е сесията която ползва Вашият уеб пакет на потребителският панел. В файла е дадена "member_password" и "member_username" променете ги на Вашите или ако са същите ги оставете така както са си.
- Как да направите sqlcfg.php да покрива всяка една заявка която изпраща или приема Вашият уеб пакет...? Лесно, но разбирасе се иска малко време за това. Ето пример:
-- Отворете тази тема. С тази програмка ще видите всички $_POST, $_GET заявки които има Вашият уеб пакет пред всяка една трябва да сложите думичката "secure" ето примера:
--- $user= $_POST['user']; - $user=secure($_POST['user']); , $account_id = $_SESSION['member_username']; - $account_id = secure($_SESSION['member_username']); .
- Ето снимка как трябва да Ви изглеждат всички заявки click
Това е приятели което мога да Ви помогна. За сега аз съм нямал никакви проблеми с този начин на защита. Всичко което съм написал горе е изпробвано и за сега върши чудесна работа... но разбирасе, че и на него ще намерят цака и затова ние ще измислим пак още по-добър начин за Вашата сигорност. Ако имате въпроси пишете в темата и ще Ви бъде отговорено и помогнато разбирасе без да злоупотребявате
Специални благодарности на:
OmaRuCat, newguy, Savoy, Real и не на последно място моя милост Backo (sun)
Така след това обяснение да започнем с същноста на тази тема:
Стъпка 1
1. Като за начало използвайте уеб сървър Xampp
2. Ето как се инсталирва за тези които незнаят click
3. Принципно всеки знае, че след инсталация на даденият сървър после се влиза в http://localhost/security и се въвеждат пароли и т.н е това не е нужно според мен. Ето какво ще направите след инсталирането на уеб сървъра:
- Отивате в папката на Xampp (C:/xampp - примерно) и изтривате папките phpAdmin и Security
4. Препоръка от мен е да не си слагате форума на компютъра на който сте пуснали сървъра си или уеб сайта и така ще се оттървете от още един начин за пробив и кой е той...?
- Отворете контролният панел на Xampp и спрете работата на MySql (винаги когато пускате наново уеб сървъра спирайте MySql напълно ненужен е ако нямате уеб пакет който да работи с него
)Стъпка 2
1. Настройка на C:\xampp\apache\conf\httpd.conf. Отворете го с Notepad.exe примерно и направете следните промени в него:
- Търсете ThreadsPerChild (default 250) и го променете на ThreadsPerChild 99999
- Променете IP-to което Ви е дадето там 127.0.0.1 на глобалното Ви IP.
2. Настройка на C:\xampp\php\php.ini. Отворете го с Notepad.exe примерно и направете следните промени в него:
- Търсете disable_functions и го променете на disable_functions = system,exec,shell_exec,passthru,error_log,ini_alte r,dl,pfsockopen, openlog, syslog, readlink, symlink, link, leak, popen, escapeshellcmd, proc_close,proc_get_status,proc_nice,proc_open,proc_terminate,escapeshellarg,pcntl_exec
- Търсете safe_mode и го променете на safe_mode = On
- Търсете safe_mode_gid и го променете на safe_mode_gid = On
- Търсете file_uploads и го променете на file_uploads = Off
След всичко това като го направите и вече сте готови рестартирайте уеб сървъра си или за мен ще е най-добре рестартирайте компютъра си.
Стъпка 3
Тук идва реда на помощните програми и скриптове така да ги наречем.
1. Един съвет от мен ползвайте рутер за да не се конектват всички потребители към компютъра директно ами рутера да обира всички лайна които се опитват да ви направят
2. Независимо, че имате рутер пред Вас и той има Firewall (защитна стена) си сложете и на компютъра. За сега за мен Sygate върши идеална работа, но ползвайте някоя по стара версия.
3. Антивирустната Ви програма... тук сигорен съм, че ще има доста спорове, но според мен и също така изпитано от други Ви препоръчвам Avast! Profesional като при него давате на "Висока Защита"
4. По-долу ще видите .htaccess файл който може да сложите в главната директория на Вашият уеб сайт. За какво служи той...? Ами служи за тези които неискат да им се вижда какъв им е уеб сървъра и дали е на Windows или Linux. Това са error pages или преведено страниците за грешки които изкарва след проблеми. Аз съм добавил вътре Error's: 400, 403, 404, 500 като за всички те трябва самички да си направите файлове за всяка една грешка и да ги сложите в главната директория. За тези който не са ме разбрали ето примера:
- Ползвате .htaccess който съм дал и искате на грешка 404 (страницата липсва) да ви искарва това което Вие искате правите файл 404.php слагате го в главната директория и пишете в него това което искате да Ви искарва.
5. За да си спестите главоболията от един друг проблем който е доста досаден (UDP FLOOD) направете следното
- Първо за да залъжете противника си вземете хостинг на минимална цена и трафик (това вече Вие ще прецените) на него сложете един index.php който да препраща към друг адрес (адреса на Вашият компютър) с iframe (<iframe name="theframe" src="blah.html" width="400" height="400" frameborder="0" scrolling="auto"></iframe>). Някой ще кажат "да ама той така пак може да ми види IP-то" ами има решение и то е отворете това и копирайте съдържанието на index.php и дайте encode. Резултата от там го заместете с това което сте написали Вие преди това в index.php. Така като се даде дясно копче няма да се вижда кой е адреса към който се препраща. Също така е хубаво и сайта който е в директорията C:/xampp/htdocs също да е encode.
Стъпка 4
Сигурноста за Вашият уеб пакет в два файла
Това може да го намерите и в DarksWeb 0.3 . Преди се чудех всичко това нещо за какво е и как действа и разбрах. Преимуществата на този вид сигурност са, че може да ползвате всички символи, цифри и букви в уеб сайта си и ще сте спокойни. Ако го ползвате това не са Ви нужни скриптове от сорта sql_check, sql_inject който всички познаваме. Двата файла съм ги дал по долу в архива secure.rar Ето как да си ги сложите на Вашият уеб пакет и как да проверите дали всичко е покрито от тях:- Най-отгоре на Вашият index.php ако ползвате метода index.php=?blabla а ако ползвате метода на DarksWeb 0.1 или BattleZone го сложете в all header's php files това:
Code:
<?
include("sqlcfg.php");
include("secure_login.php");
?>
<?php
$queryString = strtolower($_SERVER['QUERY_STRING']);
if (strstr($queryString,"<") OR strstr($queryString,">") OR strstr($queryString,"(") OR strstr($queryString,")") OR
strstr($queryString,"..") OR
strstr($queryString,"%") OR
strstr($queryString,"*") OR
strstr($queryString,"+") OR
strstr($queryString,"!") OR
strstr($queryString,"@")) {
$loc = $_SERVER['PHP_SELF'];
$ip = $_SERVER['REMOTE_ADDR'];
$date = date ("d-m-Y @ h:i:s");
$lfh = "Injection.txt";
$log = fopen ( $lfh,"a+" );
fputs ($log, "Attack Date: $date | Attacker IP: $ip | QueryString: $loc?=$queryString\n");
fclose($log);
header("Location: index.php");
}
?>- Отворете secure_login.php много е важно да знаете коя е сесията която ползва Вашият уеб пакет на потребителският панел. В файла е дадена "member_password" и "member_username" променете ги на Вашите или ако са същите ги оставете така както са си.
- Как да направите sqlcfg.php да покрива всяка една заявка която изпраща или приема Вашият уеб пакет...? Лесно, но разбирасе се иска малко време за това. Ето пример:
-- Отворете тази тема. С тази програмка ще видите всички $_POST, $_GET заявки които има Вашият уеб пакет пред всяка една трябва да сложите думичката "secure" ето примера:
--- $user= $_POST['user']; - $user=secure($_POST['user']); , $account_id = $_SESSION['member_username']; - $account_id = secure($_SESSION['member_username']); .
- Ето снимка как трябва да Ви изглеждат всички заявки click
Това е приятели което мога да Ви помогна. За сега аз съм нямал никакви проблеми с този начин на защита. Всичко което съм написал горе е изпробвано и за сега върши чудесна работа... но разбирасе, че и на него ще намерят цака и затова ние ще измислим пак още по-добър начин за Вашата сигорност
. Ако имате въпроси пишете в темата и ще Ви бъде отговорено и помогнато разбирасе без да злоупотребявате Специални благодарности на:
OmaRuCat, newguy, Savoy, Real и не на последно място моя милост Backo (sun)
Last edited:
(dance2)
