Регистрация    Забыли пароль?        Правила форума    FAQ (читать перед созданием новой темы)
Имя   Пароль  запомнить
  
Просмотр темы
Вернуться на сайт: PHP-Fusion SF Russian Support Site

Форум поддержки PHP-Fusion SF | PHP-Fusion SF - Моды/Плагины | Моды/Mods
# 1 Тема: Система безопасности сайта
Mik
SF Team

Avatar пользователя

Джедай

SF Support Team

Любитель Fusion

Сообщений: 390
Зарегистрирован: 03 Октября 2007, 11:14:57
Сказали спасибо 80 раз
Статус: offline
Опубликовано 20 Июля 2008, 13:07:51
Хотя PHP Fusion (SF) и так безопасная CMS считается, я же все-таки решил немного подстраховать пользователей данной CMS. Потому что невозможно гарантировать полностью, что все переменные проходят фильтрацию, что нигде ничего не упущено. В общем вот небольшой плагин. Его особенности и достониства читайте ниже.

Возможности модуля:
[+] Удобный интерфейс, настраиваемые параметры
[+] Добавление слешей ко всем запросам в случае выключенного magic_quotes_gpc
[+] Фильтрация $_GET, $_POST, $_COOKIE
[+] Защита от DoS атак
[+] Протоколирование попыток взлома и ошибок
[+] Встроеный отладчик внутренних ошибок скриптов
[+] Автоматический бан по ip атакующего (опционально)
[+] Отчет об атаке через систему ЛС или на e-mail

Несколько слов о anti-DoS: в общем система достаточно простая, она распознает дос-атаку и банит ip адрес, благодаря этому нагрузка на MySQL сервер и Apache практически не идет, что повышает надежность их работы.
Ну, качайте, комментируйте: [PHP Fusion SF 6.01.15.4]


[20.07.2008] Исправлено 2 мелких бага, связанных с проверкой cookies
[30.07.2008] Версия 1.1


[Изменил(а) Mik, 30 Июля 2008, 18:33:07]

--------------------
PHP Скрипты на заказ [MySQL, JS, Ajax, HTML, CSS]
^ наверх ^
4 пользователей сказали спасибо Вам: Virtus-pro, bkmz, nejik, lumian
# 2  
lumian
Пользователь

Avatar пользователя




Любитель Fusion

Сообщений: 192
Откуда: Вологда
Зарегистрирован: 02 Апреля 2008, 17:06:17
Сказали спасибо 16 раз
Статус: offline
Опубликовано 20 Июля 2008, 17:11:23
А как насчет PHP Fusion SF 6.01.15.4 ? или просто опечатка?


[Изменил(а) lumian, 20 Июля 2008, 17:23:28]  
^ наверх ^
# 3  
Mik
SF Team

Avatar пользователя

Джедай

SF Support Team

Любитель Fusion

Сообщений: 390
Зарегистрирован: 03 Октября 2007, 11:14:57
Сказали спасибо 80 раз
Статус: offline
Опубликовано 20 Июля 2008, 17:56:02
Да, для 15, и более ранних версий. Извеняюсь за очепятку smiley


--------------------
PHP Скрипты на заказ [MySQL, JS, Ajax, HTML, CSS]
^ наверх ^
# 4  
Virtus-pro
Пользователь

Avatar пользователя

Вебмастер

Немогу без SF

Сообщений: 646
Откуда: Россия
Зарегистрирован: 18 Мая 2008, 06:48:50
Сказали спасибо 65 раз
Статус: offline
Опубликовано 21 Июля 2008, 06:18:00
А на SF пойдет?


--------------------
www.amxserv.net -Все для вашего CS сервера
------------------------------------------------------------------------------
''
''
^ наверх ^ http://www.amxserv.net
# 5  
lumian
Пользователь

Avatar пользователя




Любитель Fusion

Сообщений: 192
Откуда: Вологда
Зарегистрирован: 02 Апреля 2008, 17:06:17
Сказали спасибо 16 раз
Статус: offline
Опубликовано 21 Июля 2008, 08:03:59
Mik написал:
Ну, качайте, комментируйте: [PHP Fusion SF 6.01.15.4]


Вроде пойдет, щас буду тестировать smiley


[Изменил(а) lumian, 21 Июля 2008, 08:04:32]  
^ наверх ^
# 6  
Mik
SF Team

Avatar пользователя

Джедай

SF Support Team

Любитель Fusion

Сообщений: 390
Зарегистрирован: 03 Октября 2007, 11:14:57
Сказали спасибо 80 раз
Статус: offline
Опубликовано 21 Июля 2008, 17:52:16
Virtus-pro, да, там же и написано smiley Я пока только для SF и сделал.

Как можно проверить работоспособность:
Можете выполнить простой запрос такого вида: ваш_сайт./index.php?action=Add&'

Если Вас кинет на главную - значит все нормально. Можете зайти в админку и посмотреть как выглядит лог. Если есть проблемы - обращайтесь, я помогу. Если не разберетесь в настройках - также можете смело обращаться. Жду ваших идей об усовершенствовании.

Например я могу сделать что бы банило атакующих не только по IP но и через cookies (поменять IP можно за 2-6 секунд)


--------------------
PHP Скрипты на заказ [MySQL, JS, Ajax, HTML, CSS]
^ наверх ^
# 7  
Virtus-pro
Пользователь

Avatar пользователя

Вебмастер

Немогу без SF

Сообщений: 646
Откуда: Россия
Зарегистрирован: 18 Мая 2008, 06:48:50
Сказали спасибо 65 раз
Статус: offline
Опубликовано 21 Июля 2008, 19:01:35
после того как я залил только твой плаг на сайт с заменой maincore.php, сайт начал выдавать такие китайские ирогрифы, что мне и не снилось...

-----------------------------
Вопрос не по теме:
Как ты сделал ,чтобы при нажатии на профиль вылетало окошко на JS smiley .Круто сделано, не мог бы поделиться секретом?


[Изменил(а) Virtus-pro, 21 Июля 2008, 19:35:57]

--------------------
www.amxserv.net -Все для вашего CS сервера
------------------------------------------------------------------------------
''
''
^ наверх ^ http://www.amxserv.net
# 8  
Mik
SF Team

Avatar пользователя

Джедай

SF Support Team

Любитель Fusion

Сообщений: 390
Зарегистрирован: 03 Октября 2007, 11:14:57
Сказали спасибо 80 раз
Статус: offline
Опубликовано 21 Июля 2008, 20:02:16
Virtus-pro, я понял в чем проблема... Восстанови maincore.php (можешь взять из аттача). Я максимум завтра выложу обновление и скажу в чем проблема была
Прикрепленные файлы
Для просмотра вложения зарегистрируйтесь


[Изменил(а) Mik, 21 Июля 2008, 20:02:31]

--------------------
PHP Скрипты на заказ [MySQL, JS, Ajax, HTML, CSS]
^ наверх ^
# 9  
Mik
SF Team

Avatar пользователя

Джедай

SF Support Team

Любитель Fusion

Сообщений: 390
Зарегистрирован: 03 Октября 2007, 11:14:57
Сказали спасибо 80 раз
Статус: offline
Опубликовано 22 Июля 2008, 19:22:47
Обновил файл, теперь будет работать.

Жду предложения по улучшению, добавлению опций и т.п.
Следующую версию, возможно, сделаю к концу недели - добавлю функциональности.

просьба модераторам почистить все сообщения в этой теме кроме первого и этого


[Изменил(а) Mik, 22 Июля 2008, 19:23:19]

--------------------
PHP Скрипты на заказ [MySQL, JS, Ajax, HTML, CSS]
^ наверх ^
# 10  
Virtus-pro
Пользователь

Avatar пользователя

Вебмастер

Немогу без SF

Сообщений: 646
Откуда: Россия
Зарегистрирован: 18 Мая 2008, 06:48:50
Сказали спасибо 65 раз
Статус: offline
Опубликовано 23 Июля 2008, 13:45:43
Тепрь стало такое выдавать

Warning: require_once(maincore.php) [function.require-once]: failed to open stream: No such file or directory in /home/aangarao/public_html/index.php on line 18

Fatal error: require_once() [function.require]: Failed opening required 'maincore.php' (include_path='.:/usr/lib/php:/usr/local/lib/php') in /home/aangarao/public_html/index.php on line 18



[Изменил(а) Virtus-pro, 23 Июля 2008, 13:46:36]

--------------------
www.amxserv.net -Все для вашего CS сервера
------------------------------------------------------------------------------
''
''
^ наверх ^ http://www.amxserv.net
# 11  
Virtus-pro
Пользователь

Avatar пользователя

Вебмастер

Немогу без SF

Сообщений: 646
Откуда: Россия
Зарегистрирован: 18 Мая 2008, 06:48:50
Сказали спасибо 65 раз
Статус: offline
Опубликовано 25 Июля 2008, 18:18:46
ап


--------------------
www.amxserv.net -Все для вашего CS сервера
------------------------------------------------------------------------------
''
''
^ наверх ^ http://www.amxserv.net
# 12  
nejik
Пользователь

Avatar пользователя



Местный

Сообщений: 16
Зарегистрирован: 26 Апреля 2008, 13:51:12
Сказали спасибо 0 раз
Статус: offline
Опубликовано 26 Июля 2008, 06:33:33
Вот спасибо, хороший плагин, все нормально работает !!!
 
^ наверх ^
# 13  
Virtus-pro
Пользователь

Avatar пользователя

Вебмастер

Немогу без SF

Сообщений: 646
Откуда: Россия
Зарегистрирован: 18 Мая 2008, 06:48:50
Сказали спасибо 65 раз
Статус: offline
Опубликовано 26 Июля 2008, 07:16:05
nejik
Ты заменял файл maincore.php? у тебя все нормально работает?


--------------------
www.amxserv.net -Все для вашего CS сервера
------------------------------------------------------------------------------
''
''
^ наверх ^ http://www.amxserv.net
# 14  
nejik
Пользователь

Avatar пользователя



Местный

Сообщений: 16
Зарегистрирован: 26 Апреля 2008, 13:51:12
Сказали спасибо 0 раз
Статус: offline
Опубликовано 26 Июля 2008, 16:57:49
ага, заменил, уже одну атаку поймал! Только чет сайт притормаживать в легкую начал... Хотя может это из за хостера...
Во смотри:
Запрещенное действие: Hack in COOKIE: return_path = edit_profile.php?update_profile=ok
IP адрес: 81.30.217.62
Пользователь:
Ссылка: /index.php
Браузер: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; Embedded Web Browser from: http://bsalsa.com/; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506)
Дата размещения: 26.07.08, 10:05:16


[Изменил(а) nejik, 26 Июля 2008, 17:05:44]  
^ наверх ^
# 15  
lumian
Пользователь

Avatar пользователя




Любитель Fusion

Сообщений: 192
Откуда: Вологда
Зарегистрирован: 02 Апреля 2008, 17:06:17
Сказали спасибо 16 раз
Статус: offline
Опубликовано 29 Июля 2008, 00:45:46
В чем проблема?
После нажатия на кнопку "Сохранить" в админке, все настройки сбрасываются на дефолтовые и появляется надпись:
Настройки успешно сохранены

P.S. Плагин был установлен из админки...


[Изменил(а) lumian, 29 Июля 2008, 00:47:35]  
^ наверх ^
# 16  
finnwp
Пользователь

Avatar пользователя




новичек

Сообщений: 1
Откуда: Рига
Зарегистрирован: 29 Июля 2008, 08:51:23
Сказали спасибо 0 раз
Статус: offline
Опубликовано 29 Июля 2008, 08:53:18
перезалейте плизз


--------------------
xD
^ наверх ^ www.nls.lv
# 17  
Mik
SF Team

Avatar пользователя

Джедай

SF Support Team

Любитель Fusion

Сообщений: 390
Зарегистрирован: 03 Октября 2007, 11:14:57
Сказали спасибо 80 раз
Статус: offline
Опубликовано 29 Июля 2008, 21:14:01
Извеняюсь за долгое отсутствие - ездил на неделю в другой город. Спасибо за баг репорт, через 24 часа все поправлю и выложу новую версию. Как я заметил - возникли проблемы при установке, я упростил этот процесс, когда обновлю плагин - достаточно будет прописать всего лишь одну строчку в maincore.php

Тепрь стало такое выдавать

У меня такое не выкидывало, но кажется все пофиксил.

Запрещенное действие: Hack in COOKIE: return_path = edit_profile.php?update_profile=ok

Это не атака, а особенность PHP Fusion SF - он в печенюшках хранит пути, седня исправлю, что бы детектор на это не ругался.

В чем проблема?
После нажатия на кнопку "Сохранить" в админке, все настройки сбрасываются на дефолтовые и появляется надпись:
Настройки успешно сохранены

Возможно не проинсталировалась строчка в таблицу settings. В новой версии сделаю так, что бы настройки были в своей родной таблице - это защитит от подобных глюков.

перезалейте плизз

Перезалил (извеняюсь за недоступность ресурса)
Прямая ссылка


--------------------
PHP Скрипты на заказ [MySQL, JS, Ajax, HTML, CSS]
^ наверх ^
# 18  
Mik
SF Team

Avatar пользователя

Джедай

SF Support Team

Любитель Fusion

Сообщений: 390
Зарегистрирован: 03 Октября 2007, 11:14:57
Сказали спасибо 80 раз
Статус: offline
Опубликовано 30 Июля 2008, 18:36:03
Обновил до версии 1.1 Прямая сслыка на архив - выше, ссылка в тему: сцылко
список обновлений пока что на сайте, чуть позже - выложу и здесь.

Инструкция по установке прилагается в архиве. Для того, что бы обновить - удалите старую версию и залейте новую, также выставите необходимые права файлам (читайте в руководстве по установке). Далее в панели администратора - нажмите "Модернизировать", а лучше - перед удалением папки старого модуля - удалите его из админки.

Исправлены мелкие баги, добавлено 2 опции, через 20 часов выложу еще одно обновление, в котором тоде будет пара опций. Сделаю бан по печенюшкам, а также "работа" с проксей...


[Изменил(а) Mik, 30 Июля 2008, 18:41:13]

--------------------
PHP Скрипты на заказ [MySQL, JS, Ajax, HTML, CSS]
^ наверх ^
1 пользователь сказал спасибо Вам: lumian
# 19  
lumian
Пользователь

Avatar пользователя




Любитель Fusion

Сообщений: 192
Откуда: Вологда
Зарегистрирован: 02 Апреля 2008, 17:06:17
Сказали спасибо 16 раз
Статус: offline
Опубликовано 30 Июля 2008, 21:01:17
Огромное спасибо за такую систему, теперь все заработало smiley

Кстати, есть такой вопрос, какое, примерно, число запросов ставить для определения DDos'a? (не особо с ним общаюсьsmiley )
 
^ наверх ^
1 пользователь сказал спасибо Вам: Mik
# 20  
Mik
SF Team

Avatar пользователя

Джедай

SF Support Team

Любитель Fusion

Сообщений: 390
Зарегистрирован: 03 Октября 2007, 11:14:57
Сказали спасибо 80 раз
Статус: offline
Опубликовано 30 Июля 2008, 21:16:18
lumian, спасибо за отзыв. Очень приятно.
Где-то черезь день я напишу описание всех настроек и для чего они нужны.

какое, примерно, число запросов ставить для определения DDos'a?

Ну число запросов - это значит сколько максимально раз можно запросить страничку за секунду с 1 IP адреса. Пример: что бы спровоцировать дос атаку - нужно поставить число запросов около 2-3, зайти на любую страницу и быстро её обновить 3 раза (т.е. за секунду 3 раза нажать Ctrl+R). Вылезет предупреждение...

Теперь по существу. Если сайт очень навороченный, т.е. много разных панелей, плагинов и т.п. то число лучше поставит 7-10 (особенно если есть аякс на сайте). Например для этого сайта (http://www.rus-phpfusion.com/) оптимальное значение было бы 5-7 запросов в секунду. Для моего же такое же число (т.к. используется Ajax)


--------------------
PHP Скрипты на заказ [MySQL, JS, Ajax, HTML, CSS]
^ наверх ^
1 пользователь сказал спасибо Вам: lumian
Перейти на форум:


105,521,618 уникальных посетителей
сейчас: 23 Ноября 2024, 12:53:25
Генерация страницы: 0.52 сек.

Original size:56 кб.
GZipped size: 11 кб.
Compression:81%