Za početak, izvinjavam se ako sam temu započeo na pogrešnom mestu, ali pošto se ovde priča o izradi sajtova i foruma, interesuje me šta bi trebalo uraditi da bi se sajt, forum i ftp nalozi što je moguće više zaštitili od spama i eventualnih napada.    Naime, radio sam na dizajniranju i postavljanju SMF foruma za jedan sajt koji se hostuje kod godaddy-a i danas je uspešno počeo sa radom.    Zbog toga, pogledao sam šta se još nalazi na ftp-u i naišao na index.  php fajl u folderu docs za koji mi je AVG prijavio da je inficiran sa JS/Downloader.   Small, a u fajlu se posle nekih 700 praznih linija, nalazi sumnjiv javascript kod:

Kada sam ovaj deo obrisao, više AVG nije prijavljivao virus.    Primetio sam da je fajl promenjen 25.   03.   2008.    a niko od vlasnika nije ništa menjao.    Takođe na starom forumu bilo je spam poruka od strane dva nicka koji su postavljali gomilu nekih linkova.    Šta bismo mogli da preduzmemo kako bi se dovoljno zaštitili od ovakvih upada, jer je sajt posvećen Pesmi Evrovizije u čiju smo organizaciju uključeni i očekujemo veliki broj posetilaca u narednom preiodu, a naročito u maju?

Iskren da budem, sumnjam da je problem do SMF-a, verovatno je u pitanju neka druga skripta koja se na sajtu nalazi a koja ima u sebi neki propust.
Zato se, kada su gotova resenja u pitanju, uvek mora voditi racuna o tome da je aktuelna verzija skripte, postavljena na sajt.
Sto se tice spam botova, to u principu ne bi trebalo predstavljati problem...
Ako ih i bude bilo sa osnovnim podesavanjem, uz instalaciju:
http://custom.simplemachines.org/mods/index.php?mod=1044
ili
http://custom.simplemachines.org/mods/index.php?mod=474
ti problemim bi trebali biti reseni.

Hvala ti na brzom odgovoru. Ranije nije ni bio instaliran SMF već su bile neke diskusije u okviru samog sajta, nebitno. Da li možeš da me uputiš na neke osnovne stvari na koje treba da obratim pažnju što se tiče bezbednosti samog sajta, ne foruma, kako bismo spremno dočekali maj? Da li bi chmod za foldere i fajlove trebao da postavi glavni administrator sajta ili je isto ako to urade i drugi korisnici koji imaju ftp pristup?

Jel postoji valjan razlog da jos neko ima FTP pristup?
Chmod je u principu nebitan...

Nema tu neke filozofije...
Samo provene stvari na host...
Teske sifre koje se ne mogu lako pogoditi...
Smanjiti mogucnost ljudske greske do maksimuma.

Kad se vec poteze pitanje bezbednosti... Kako da ja svoje kreacije proverim koliko su hak-sigurne...? Mislim, pre par nedelja su mom drugaru orobili web directory koji je imao samo 3 linka.... Nije on odmah ni skontao, nego tek kad je uklavirio da mu nesto adsense nije nabazdaren... Poceli su da se pojavljuju cudni oglasi umesto adsensa i tada je primetio 2 iksica u donjem levom cini mi se uglu i to je to...

Od tada sam nesto ja petljao sa svojim skriptama, ali ne ide mi taj posao provaljivanja... niti me zanima da ga ja naucim, samo hocu da znam, da li postoji nacin i koji je da sigurnost proverim...?

Ne postoji nacin....
Drugar je koristio nesto nesigurno ili yastarelo...
Tvoje je da naucis da ne pravis sigurnosne propuste...
To se stice vremenom, i uceci iy tudjih gresaka i tekstova sa neta

Moguce, on je koristio neku gotovu web-directory skriptu... Mozda je neka lose napisana...

Sto se mene tice, necu se zezati, moram to malo da istrazim, pa ako ima rupica da pokrpim to.

Hvala!

Znam da u pravilima pise da se ne pise 2 posta za redom, ali... Da ne otvaram novu temu... 

Kako se braniti od mysql injectiona?! Ja sam dosao na ideju da filtriram POST i GET arrayeve pre gradjenja querija, tako sto cu umesto ' i " nositi HTML (" i ') u samom stringu... Tako ce se u pokusaju injectiona u queriju naci HTML kod, koji MySQL nece izvrsiti, nego ga samo videti u zahtevu i naravno odbiti kao nepostojeci...

Pa sam napisao nesto ovako:


Malo objasnjenje: Prvo iz $val-a skidam znake izbegavanja(stripcslashes), zatim pretvaram ' i " u " i ' (htmlentities), a sa njima i sve ostale znakove, kao sto su & i sl, pa se javio problem da su mi se slova izopacila (& pre slova je postalo &)... Da bi ispravio to sa &amp-om, dodao sam jos malo koda (html_entity_decode) da vratim to, medjutim sada mi se svako & na strani vrati u taj oblik (u kodu bude &)...

A samo sam hteo da dobijem cist HTML...

Sta mislite, da li je ovo OK nacin da se izbegne injection ili dzaba krecim? I da li iko ima ideju kako da dobijem cist HTML(cim to moze na SMF-u, znaci da je moguce...  )?

Postoje gotove klase koje rade takve stvari bez da ti moras da razmisljas o tome

Npr: http://htmlpurifier.org/

A ima i masa dosta jednostavnijih

Lepo, lepo, hvala... U sustini, moji kodovi su cisti, trudio sam se da sve napravim tako (neki moj template sistem, sa nekim mojim tripovima od kodova koji pretabavaju sve sto se unese) da cak i najgluplji korisnik nista ne moze da uradi da narusi pravilnost HTML kodova, mada, vec sam uocio par bagova, na srecu znam kako da ih resim... Sada se u sustini bacam na sigurnost svim silama, tako da cu da istrazujem na tu temu koliko god budem mogao... Kao sto ti rece par postova gore, "to se stice vremenom"... Izgleda da je doslo vreme da pocnem da se zabavljam time, jer su se ovde ovi moji seoski "hakeri" popalili da mi traze mane...

Hvala jos jednom, sve sto nadjem, korisno je, uvek iskopam neki zanimljiv pristup nekom od problema...