Разочаровалась в использовании портальных cms типа joomla и других, бывало что за неделю сайт ломали и портили несколько раз. Мне поставили другую cms сказали более-менее стабильная, хотим с девочками опубликовывать статьи, обмениваться фотками и т.д. В последний раз занесли код в .htaccess и для мобильных устройств сайт открывался другой :( Очень жалко проделанную работу, если в один прекрасный день все испортится.
Пожалуйста, помогите протестировать сайт на наличие уязвимостей, инъекций и прочего, чтобы хоть как-то оградить свой труд.
Сайт тестовый, можно менять все что угодно, только без хамства, чтобы другие тоже могли попробовать.
Посоветовали установить ClamAV + rkhunter + chkrootkit и fail2ban и еще что-то в этом роде, сейчас уже не найду в сообщениях.
Мне сказали что если даже cms сломать нельзя, то можно сломать хостинг, это правда так? Защититься получается никак нельзя?
Элементарные правила безопасности соблюдаю, пароли от FTP не сохраняю.
Буду рада любым замечаниям и советам.
 
Сайт: http://сорокшесть.254.17.стосорокодин/
 
Спасибо!

в скриптах сам поискал уязвимости вроде ничего не нашел.
скажите как называется cms - на bagtraq'ах наверняка уже найдены и опубликованны уязвимости

isterika

Мне сказали что если даже cms сломать нельзя, то можно сломать хостинг, это правда так? Защититься получается никак нельзя?

если есть возможность конфигурирования ПО на сервере то желательно обновить серверное ПО(а именно apache,php mysql, perl и др) до самых последних стабильных версий и правильно сконфигурировать: запретить NULL-байт в get-запросах, запретить доступ к нужным папкам (chmod), запретить удаленные подключения к mysql(исключить брутфорс бд), и настроить ftp-сервак так чтобы он блокировал клиента после N-ного числа неудачных подключений, отключить вывод предупреждений php, установить права на файлы(на тот же .htacess) и др. почитайте статьи по системному администрированию - там подробней написанно.
 

codemaster

если есть возможность конфигурирования ПО на сервере

Спасибо за ответ...да, взяли VPS, мне сказали что если пользователей и других скриптов не будет, так лучше
 
а suhosin patch и mod_security для appache это хорошо? Еще везде пишут что сам апач не очень эффективен по быстродействию даже если стоит nginx. Сейчас можно один nginx оставить, в этом случае как с безопасностью?

Скорее всего у тебя троян, либо кто-то сниффирит сеть.
Апач или нгинкс - без разницы пока посещалка сайта не перейдёт за несколько тысяч уникальных посетителей в день.
 

.pascal

Скорее всего у тебя троян, либо кто-то сниффирит сеть.

пробую с помощью Acunetix Web Vulnerability Scanner

Тебе это ничего не даст. Троян (если действительно он) у тебя на компе или на компе одного из админов сайта.
Вообще ситуация безнадёжная. Всё что можно сделать - заплатить деньги специалисту чтобы он разобрался. Найти можешь здесь weblancer.net
 

.pascal

либо кто-то сниффирит сеть.

имела ввиду что это я делаю тест этой прогой, хотя не совсем понимаю что такое сниффер, как вы об этом узнали, можно подробностей больше?