Back to Question Center
0

میرے کسی سکرپٹ کو کمزور ہونے کے بعد میں کیا اقدامات کروں؟ Semalt

1 answers:

میں ایک پی ایچ پی پر مبنی ویب سائٹس کو ایک چھوٹی سی کمپنی کے لئے ایک LAMP سرور پر برقرار رکھتا ہوں. اسکرپٹ میں سی ایم ایس جیسے جملہ یا ورڈپریس، ساتھ ہی SilverStripe اور Semalt تنصیبات شامل ہیں.

ایک ہفتہ پہلے، مجھے پتہ چلا کہ سائٹس کو سمجھا گیا ہے - assured technologies portland. مسائل کا واحد اصل سبب یہ تھا کہ تمام . حملے میں پی ایچ پی فائلوں کو حذف کردیا گیا ہے. بیک اپ سے ان لوگوں کو بحال کرنے کے بعد ایک عام حالت میں سب کچھ واپس آ گیا.

بے شک سیکورٹی سوراخ اب بھی کہیں موجود ہے. Semalt جس نے میں نے فوری طور پر حملے کے بعد کیا:

  • سائٹس سب کو / ویار / www میں محفوظ کیا جاتا ہے، اور تمام www- صارف سے متعلق فائلوں اور فولڈرز. میں نے اب ایک صارف کو ہر سائٹ کے لئے بنایا، ای. جی. ڈروپل ، اور بھاگ گیا گرایا-ڈروپل: www- ڈیٹا. ڈروپل فولڈر پر.

  • میں نے اجازت کی جانچ پڑتال کی ہے تو فائلیں ہو گی u = rwx، g = rx، o = ، اور ڈائریکٹریز u = rw، g = r، o ​​= . یہ، میں فرض کرتا ہوں، پی ایچ پی کے ذریعہ کسی بھی صورت میں فائلوں کو خارج کرنے یا انہیں کسی طرح سے تبدیل کرنے میں کامیاب ہونے کے لۓ یہ ناممکن بناؤں گا.

اب میرے سوالات:

  • کیا یہ اقدار اجازتوں کے بارے میں درست ہیں اور کیا وہ کم از کم مجھ سے بے حد حملے سے بچا لیں گے؟

  • سکرپٹ کو تازہ ترین ورژن پر اپ گریڈ کرنے کے علاوہ میں کیا لے سکتا ہوں، دوسری باتیں کیا جا سکتی ہوں اور یہ یقینی بنائیں کہ میرا بیک اپ ٹھیک کام کر رہا ہے؟

February 7, 2018

حقیقت یہ ہے کہ آپ نے ہر سائٹ کے لئے اضافی صارفین کو بہت اچھا بنایا ہے کیونکہ اگر کسی کو ہیک / استحصال کرنا باقی نہیں ہوسکتا ہے تو باقی اثرات متاثر نہیں ہوتے تاہم آپ ایک قدم آگے بڑھ سکتے ہیں.

ہوم فولڈرز میں ویسٹز

آپ میزبان اصل میں ان کے گھر کے فولڈروں میں منتقل کر سکتے ہیں تاکہ وہ جیل بند کردیۓ تاکہ اس بات سے بات کریں جو تھوڑا سا اضافی سیکورٹی شامل کرے گا.آپ ویسٹس سیٹ کرسکتے ہیں تاکہ راستے میں / گھر / ڈروپل / عوامی_ ایچ ایم ایل مثال کے طور پر، اور پھر سیٹ اپ کریں تاکہ ہر صارف دوسرے گھروں میں گھروں میں داخل نہیں ہوسکیں.

Chod

مجھے یقین ہے کہ آپ نے یہ پہلے سے ہی کیا ہے آپ کو لگتا ہے کہ آپ کا سر سیکورٹی کے بارے میں خراب ہے لیکن سب سے زیادہ استثناء میں انجکشن شدہ کلیدی فائلیں ٹیمپلیٹ فائلوں، انڈیکس فائل، ترتیب فائل اور. htaccess فائل. تو CHMOD یہ فائل انتہائی اہم ہیں.

CHMOD کی چابی کی ترتیب کے دوران کچھ اور اہم عنصر بھی موجود ہیں جو آپ اپنی سائٹ کو محفوظ کرسکتے ہیں.

SQL انجکشن

SQL انجیکشن اب بھی بہت مقبول ہیں اور اچھے سیکورٹی اقدامات کا استعمال کرتے ہوئے اس کو روک سکتے ہیں، پی ایچ پی میں غلطی کی طرح چیزوں کو تبدیل کر سکتے ہیں.انی فائل کے ساتھ ساتھ محفوظ ترتیبات کی مدد کرسکتا ہے. اضافی پرت شامل کرنے کے لئے htaccess. لیکن آپ کو ہمیشہ یہ دیکھنے کی کوشش کرنی چاہئے کہ آپ کے ڈیٹا کو SQL میں صاف کیا جاسکتا ہے، یہ ضروری ہے کہ آپ ان پلگ ان کو دیکھنا چاہتے ہیں جو آپ استعمال کر رہے ہیں، mysql_real_escape_string یا pg_escape_string (پی ایچ پی کا استعمال کرتے ہوئے) استعمال کرتے ہیں یا متغیر استعمال کرتے ہوئے تمام سوالات پر تیار بیانات استعمال کرتے ہیں. پوسٹ سے یا حاصل کریں. یہ SQL انجیکشن کی مدد کرے گا، اس کا خوبصورت قرض یہ ہے کہ یہ کیسے کریں کہ یہ کس طرح کرنا ہے، لیکن آپ کو Google کو تلاش کرنے کی ضرورت ہے اور ان کو مکمل طور پر ان کو روکنے کے لئے SQL انجیکشن کے بارے میں تھوڑا سا سیکھنے کی ضرورت ہے.

پی ایچ پی سیکورٹی

آپ کو پی ایچ پی کا استعمال کرنے پر غور کرنا چاہئے. آپ کے ہر سائٹس کے لئے ان کے گھر کے ڈائرکٹریز میں انیآئ آپ ایسی چیزوں کو غیر فعال کرسکتے ہیں جو انہیں چلانے کی ضرورت نہیں ہے. آپ کی سائٹ کے خلاف کم ہیکرز آپ کو غیر فعال کردیں.

میں ان کو غیر فعال کرنے پر غور کرتا ہوں اگرچہ آپ کی سائٹ پر آپ کو اپ ڈیٹ کرنے کے لئے فیکس کی طرح چیزوں کی ضرورت ہوسکتی ہے، یا دستی طور پر کریں اور آپ زیادہ سے زیادہ امکان کو غیر فعال کرسکتے ہیں.

  allow_url_fopen = Off
display_errors = آف
display_startup_errors = آف
log_errors = پر
error_reporting = E_ALL
غلطی_log = / home / yourUserID / public_html / phperr. TXT
expose_php = آف
جادو_quotes_gpc = آف
جادو_quotes_sybase = آف
رجسٹر_globals = آف 

روبوٹ. txt

روبوٹ آپ کے پلگ ان کے فولڈر تک تلاش کے انجن تک رسائی کی روک تھام کی وجہ سے آپ کی سائٹ پر ایک چھوٹی سی سیکورٹی کو معمولی تھوڑا سیکورٹی شامل کرسکتا ہے، بہت سیکیورٹی مسائل پر مبنی، استحصال پلگ ان کی وجہ سے ہوتی ہے اور اکثر ہیکرز گوگل کو ان سائٹس کو تلاش کرنے کے لئے استعمال کرتے ہیں.اس بات کا یقین کریں کہ آپ کے روکاوٹ پلگ ان اس طرح لوگوں کو آپ کی ویب سائٹ پر نہیں مل سکی.

آپ کو اس بات کی نشاندہی کی ضرورت ہے کہ حملہ آور کس طرح ہوا. اگر یہ ویب سائٹ کے ذریعہ تھا تو یہ اصل میں نسبتا آسان ہے:

  1. جب فائلوں کو غائب ہو تو معلوم کریں. آپ نے فائلوں کو پہلے سے ہی ڈال دیا ہے، لہذا ہم ڈائرکٹری کے ترمیم کا وقت نہیں دیکھ سکتے ہیں. اس کے بجائے، ان فائلوں سے 404 غلطیوں کے لئے ویب سائٹس لاگ ان کو دیکھیں.
  2. اس بات کا تعین کریں کہ ویب سائٹس کو غائب ہونے سے پہلے ویب سائٹس میں کیا درخواستیں آتی ہیں. ویب سائٹ کے ذریعے ملاحظہ کریں اگر یہ ایک GET یا سر کی درخواست کے ذریعے تھا، تو لاگ ان میں کچھ واضح ہو جائے گا. GET / HEAD اور POST کے علاوہ چیزوں کے لئے دیکھو. اگر آپ اب بھی کچھ بھی نہیں ملتے، یہ ایک پوزیشن تھا، اور جب تک آپ mod_security چل رہے ہیں یا اشتھار ہاک ڈیبگنگ پیداوار سے باہر نکل رہے ہیں تو، آپ کے پاس کوئی بھی لاگ ان نہیں ہوگا. آپ IP پتوں کو تلاش کرسکتے ہیں جو غیر معمولی درخواستیں کرتے ہیں، یا دیکھنے میں غلطی لاگ ان کی جانچ پڑتال کریں گے کہ وہاں کوئی اشارہ موجود ہے.

جیسا کہ پہلے ہی ذکر کیا گیا ہے، آپ کو واقعی ہر پاس ورڈ تبدیل کرنے کی ضرورت ہے. میں ویزائرور ڈائرکٹری کی ملکیت کو تبدیل کرنے کا بھی مشورہ دونگا تاکہ اس صارف کو جو ویبسائزر چلتا ہے نہیں کسی فائل کو تبدیل کرنے کی اجازت ہے.اگر اپ لوڈس یا دیگر صارف سے متعلق مواد فائل کریں تو، اسے ذیلی ڈائرکٹری دیں کہ یہ لکھ سکتے ہیں، لیکن نہیں اوپر سطح. (اور اس بات کو یقینی بنائے کہ سوال میں ذیلی ڈائرکٹری میں سی جی آئی، پی ایچ پی یا کسی بھی جامد فائل کے علاوہ کسی بھی طرح سے کام نہیں کیا جاسکتا ہے). آپ اپنے وزٹرز کا غلط استعمال کی اطلاع دیتے ہوئے ایرر آ گیا ہے. براہ مہربانی دوبارہ دیکھنا چاہتے ہیں کہ کیا کچھ چیزیں جو چاہیں (مطلوب ہیں) کی اجازت دیں، اور پھر اجازت دیں یا پھر اس کی اجازت دیں، یا تبدیل کریں.

اگر آپ کسی بھی اعلی درجے کی سلامتی چاہتے ہیں، اگر آپ وسائل کو ہٹانے اور دوسرے سرور حاصل کرنے کے لئے تیار ہیں تو، آپ کو مکمل طور پر مختلف سرور پر تمام فائلوں کو ذخیرہ کرتے ہیں، اور پھر NFS ان کو صرف پڑھنے پر سوار ویب سائٹ. اس کا مطلب یہ ہے کہ (جب؟) ایک خطرناک ہے تو، انہیں دیر تک نقصان کرنے کے لئے بہت زیادہ محنت کرنا پڑتا ہے.

آپ کو Apache کے لئے سی ایس ایس معیارات پر بھی غور کرنا چاہئے جو آپ کے سرور کو سخت کرنے کے لئے ایک گائیڈ ہے (وہ OS اور ڈیٹا بیس کے رہنماؤں کے ساتھ بھی) - لیکن خبردار کیا جائے کہ آپ ہر قدم کو سمجھنا چاہئے اکثر آپ کو موجودہ سائٹ کو توڑنے دیں گے، خاص طور پر اپنے گاہکوں کو بڑے پیمانے پر براؤزرز کے ساتھ، اگر آپ انہیں ان کی آنکھیں کھولتے ہیں. یہ ان دنوں میں سے ایک ہے جب آپ کو تبدیل کرنے کے بعد ایک یا ہفتے کے لئے غلطی کی لاگت دیکھنے کی ضرورت ہے.