Автор Тема: Взлом prestashop  (Прочитано 2963 раз)

30 Августа 2016, 21:49:43
Ответ #30
  • Новичок
  • *
  • Сообщений: 12
  • Репутация: +0/-0
  • Сообщество PrestaShop
    • Просмотр профиля
а как насчет:
1. поставить пермишины на все файлы 444, а на папки 555 и сменить владельца, что бы апач не смог их изменять. (кроме кешей конечно)
2. позакрывать все левые (которые не нужны апачу для веб доступа) папки в htaccess, в т.ч. и кеши
файл не зальеш, бо прав нет
а если и залил, то хрен вызовешь, потому что доступа к этой папке скорее всего не будет
Не пролучится, для нормальной работы prestashop  нужно открыть
Recursive write permission on ~/config/
Recursive write permission on ~/cache/
Recursive write permission on ~/log/
Recursive write permission on ~/img/
Recursive write permission on ~/mails/
Recursive write permission on ~/modules/
Recursive write permission on ~/override/
Recursive write permission on ~/themes/default/lang/
Recursive write permission on ~/themes/default/pdf/lang/
Recursive write permission on ~/themes/default/cache/
Recursive write permission on ~/translations/
Recursive write permission on ~/upload/
Recursive write permission on ~/download/
Recursive write permission on ~/sitemap.xml




~/config/ - после установки не нужны пермишины
~/cache/ - нужны права на запись, но не нужен веб доступ (возможно могу ошибаться и там лежат кеши js или css, тогда можно запретить веб доступ к файлам .php)
~/log/ - веб доступ не нужен
~/img/ - запретить веб доступ для .php
~/mails/ - запертить веб доступ
~/modules/ - запретить запись, а если уж понадобиться установить модуль какой-то, то открыть.
~/override/ - запретить веб доступ да и запись тоже можно, не так часто что-то оверрайдиться (на многих магазинах - никогда)
~/themes/default/lang/ - запретить веб доступ
~/themes/default/pdf/lang/ - запретить веб доступ
~/themes/default/cache/ - запретить веб доступ (возможно могу ошибаться и там лежат кеши js или css, тогда можно запретить веб доступ к файлам .php)
~/translations/ - запретить веб доступ и запись (если будете что-то переводить, датите запись)
~/upload/ - запретить веб доступ
~/download/ - запретить веб доступ
~/sitemap.xml - не подвержен атаке

не так часто мы ставим модули и переводим уже рабочий магазин, что бы переживать о папках modules, override, lang и т.д.

это обычная практика защиты любого сайта и преста тут не исключение.
30 Августа 2016, 21:58:46
Ответ #31
  • Ветеран
  • *****
  • Сообщений: 33026
  • Репутация: +26761/-0
    • Просмотр профиля
Все запретить решение не для нормального магазина. Если владелец сайта имеет админа, то можно запретить. Только все на сайте будет делать админ. Не удобно, не каждый захочет нанимать программиста для замены баннера на сайте. Есть  сайты где баннеры меняются каждый день.
Обычная практика разделение прав на уровне веб сервера. Интернет-магазин это вам не блог на wordpresse. Многие обновляются через сторонии сервиса, обновление товаров каждый день и т.д. То что вы пишите запретить не выход.
30 Августа 2016, 22:04:18
Ответ #32
  • Новичок
  • *
  • Сообщений: 12
  • Репутация: +0/-0
  • Сообщество PrestaShop
    • Просмотр профиля
банера меняются?
так оставьте запись, но запретите веб доступ к .php файлам.
пусть туда и положат червя, но как его запустить?

товары обновляются?
мы говорим о папке с картинками?
так оставьте запись, но запретите веб доступ к .php файлам.


не понял что Вы имеете ввиду под: "многие обновляются через сторонние сервисы"


а уж всем .php файлам и шаблонам с цсс и жаваскриптами и подавно запретить запись.
30 Августа 2016, 22:10:01
Ответ #33
  • Фрилансер
  • *
  • Сообщений: 249
  • Репутация: +3/-0
    • Просмотр профиля
Как это запретить "веб доступ к .php файлам." ???
Так сайт не откроется, это что прикол? Или только html версию использовать?

30 Августа 2016, 22:14:40
Ответ #34
  • Ветеран
  • *****
  • Сообщений: 2708
  • Репутация: +64/-4
  • Сообщество PrestaShop
    • Просмотр профиля
Точно, все дружно добавили в .htaccess в корне сайта
<FilesMatch ".(htaccess|ini|php|sh)$">
 Order Allow,Deny
 Deny from all
 </FilesMatch>
100% защита  8)
30 Августа 2016, 22:16:28
Ответ #35
  • Новичок
  • *
  • Сообщений: 12
  • Репутация: +0/-0
  • Сообщество PrestaShop
    • Просмотр профиля
Как это запретить "веб доступ к .php файлам." ???
Так сайт не откроется, это что прикол? Или только html версию использовать?

имеется ввиду запретить веб доступ к .php файлам в тех папках, в которых не лежат php файлы, доступ к которым нужен через веб.

например папки classes, controllers, м т.д.
папки с картинками...
30 Августа 2016, 22:17:23
Ответ #36
  • Новичок
  • *
  • Сообщений: 12
  • Репутация: +0/-0
  • Сообщество PrestaShop
    • Просмотр профиля
Точно, все дружно добавили в .htaccess в корне сайта
<FilesMatch ".(htaccess|ini|php|sh)$">
 Order Allow,Deny
 Deny from all
 </FilesMatch>
100% защита  8)


не так радикально, но направление правильное
31 Августа 2016, 08:56:40
Ответ #37
  • Ветеран
  • *****
  • Сообщений: 33026
  • Репутация: +26761/-0
    • Просмотр профиля
банера меняются?
так оставьте запись, но запретите веб доступ к .php файлам.
пусть туда и положат червя, но как его запустить?
...
а уж всем .php файлам и шаблонам с цсс и жаваскриптами и подавно запретить запись.
Сделайте и покажите как сайт работает.
Результат могу сказать сразу. Путь не правльный, работать с таким сайтом невозможно.
31 Августа 2016, 09:15:41
Ответ #38
  • Новичок
  • *
  • Сообщений: 12
  • Репутация: +0/-0
  • Сообщество PrestaShop
    • Просмотр профиля
банера меняются?
так оставьте запись, но запретите веб доступ к .php файлам.
пусть туда и положат червя, но как его запустить?
...
а уж всем .php файлам и шаблонам с цсс и жаваскриптами и подавно запретить запись.
Сделайте и покажите как сайт работает.
Результат могу сказать сразу. Путь не правльный, работать с таким сайтом невозможно.

ну, есть Ваше мнение, есть мое, есть опыт...
может кому-то пригодится
31 Августа 2016, 10:10:36
Ответ #39
  • Ветеран
  • *****
  • Сообщений: 33026
  • Репутация: +26761/-0
    • Просмотр профиля
Пока только слова. Опыта я не вижу. Вижу только незнание движка, незнание основ рабоы веб сервера. Повтор пути, по  которому развился prestashop от версии 1.6.0 до 1.6.0.5. Там тоже пытались закрывать директории, в том числе и img. На форме есть такие темы, как не возможно добавлять картинки в админке.
Такой совет как "запретить веб доступ к .php файлам " говорит об отсуствие опыта. Посетители обращаются к php файлам, менеджеры магазина также обращаются к эти файлам. Сайт работает на php скриптах. Запрет доступа к php файлам из вне равносилен запрету доступа к сайту. Я бы еще понял совет "обращаться к скриптам только через index.php".
 
Можно только говорить об ограничение доступа к файлам на сервере, так как взлом происходил из-за возможности обращаться к файлам модуля минуя админку. Работа с такими файлам  должна быть разрешена только тем, у кого есть соответствующее разрешение. Все для этого есть в prestashop. Но "опытные" делают модули, меняют базовые классы, контроллеры по своим правилам. В результате только вред, сайты взламывают, они не работают или работают с ошибками.

Ненужно флудить в теме. Если есть реальный опыт, пишите по шагам как и что делали. Проверим работает метод или нет. Если работает, спасибо от сообщества prestashop, многим поможет. Не работает, будем искать другой способ.

Ничего личного, только желание найти рабочий способ защить сайт от взлома.
31 Августа 2016, 10:15:15
Ответ #40
  • Ветеран
  • *****
  • Сообщений: 2708
  • Репутация: +64/-4
  • Сообщество PrestaShop
    • Просмотр профиля
Модули, которые нужно проверять, если не используте, удалить:
1. advancedslider
2. columnadverts
3. homepageadvertise
4. homepageadvertise2
5. productpageadverts
6. simpleslideshow
7. videostab

Такая же проблема с темой Warehouse. Разработчик темы выпустил обновление для устранения этой проблемы.

Я так думаю, что дыры в модулях и теме сделали специально, чтобы покупали, а не скачивали. Что-то они быстренько обновление выпустили. Типа того, что если купили, то мы следим и устраняем баги. По взлом самого движка я не слышал, только модули и темы. 
31 Августа 2016, 10:45:15
Ответ #41
  • Ветеран
  • *****
  • Сообщений: 13623
  • Репутация: +14563/-1
  • Сообщество PrestaShop
    • Просмотр профиля
Цитировать
Ничего личного, только желание найти рабочий способ защить сайт от взлома.
Нереально, сайты взамывали и будут взламывать. На shared-хостинге вообще ничего не сделать..

Цитировать
Я бы еще понял совет "обращаться к скриптам только через index.php".
Движок престы так построен. index.php распределаяет запросы, в бекенде и фронтенде все через index.   

Цитировать
Можно только говорить об ограничение доступа к файлам на сервере, так как взлом происходил из-за возможности обращаться к файлам модуля минуя админку. Работа с такими файлам  должна быть разрешена только тем, у кого есть соответствующее разрешение. Все для этого есть в prestashop.
Точно. Проблема в том, что в модулях часто не используют токен безопастности, нет проверки сессии, вобще нет проверки на запуск скрипта.

Цитировать
Я так думаю, что дыры в модулях и теме сделали специально, чтобы покупали, а не скачивали. Что-то они быстренько обновление выпустили. Типа того, что если купили, то мы следим и устраняем баги. По взлом самого движка я не слышал, только модули и темы. 
То что сами сделали скорее всего нет, продаж у темы много, не будут репутацией рисковать.
31 Августа 2016, 11:26:48
Ответ #42
  • Новичок
  • *
  • Сообщений: 12
  • Репутация: +0/-0
  • Сообщество PrestaShop
    • Просмотр профиля
объясняю последний раз, для не опытных.

Зачем Вам веб доступ к PHP файлам в директориях classes, config, controllers и т.д.
дальше думайте сами
31 Августа 2016, 13:01:32
Ответ #43
  • Ветеран
  • *****
  • Сообщений: 33026
  • Репутация: +26761/-0
    • Просмотр профиля
дальше думайте сами
Хорошей совет. Я и думаю сам. Без таких советов все работает, клиенты не жалуются.
Если не чего сказать, просто не пишите, не засоряйте тему.
Можете что-то сделать, напишите как делаете и что это дает. Не можете, не флудите.
12 Сентября 2016, 19:58:16
Ответ #44
  • Фрилансер
  • *
  • Сообщений: 100
  • Репутация: +1/-0
  • Сообщество PrestaShop
    • Просмотр профиля
Всем привет,
Опять у меня проблемы.  :'(
Появляются какие-то непонятные файлы. Название набор букв и цифр, вот такие - "a4545665fcs6564ab4f5c7888". На одном форуме мне сказали, что это обновление так ставится. Я их оставила, но пришло письмо хостера, что с сайта идет рассылка спама. Когда мне проверили сайт сказали, что это вирусы так называются и из нужно удалить.
Так кому верить? Обновление или вирус?