Безопасность админки и модулей системы

17 апреля 2012 г.

Суть вопроса такова: Участились случаи изменения/добавления вирусов и файлов на сайт. Пароли меняю постоянно на все что только можно. Стал искать возможные причины и обнаружил следующее: если в браузере ввести путь например имя_сайта.ru/admin/wysiwyg или любой другой, то в ответ получим список директорий и файлов внутри папки. Например:

Index of /admin/wysiwyg

    Parent Directory
    fm/
    langs/
    license.txt
    plugins/
    themes/
    tiny_mce.js
    tiny_mce_gzip.js
    tiny_mce_gzip.php
    tiny_mce_popup.js
    tiny_mce_src.js
    utils/

На demo.hostcms.ru с этим все нормально - доступ запрещен (ошибка 403).

Forbidden

You don't have permission to access /admin/modules/ on this server.

Права на папки стоят 755, на файлы 644 как установила система во время установки.

Отсюда у меня возникли два вопроса: Как защитить сайт и выдать ошибку 403? И какие файлы и директории должны быть защищены?

Заранее спасибо.

Модератор 18 апреля 2012 г.

Re: Безопасность админки и модулей системы

onlinestudio писал(а):

Участились случаи изменения/добавления вирусов и файлов на сайт.

Описанная Вами проблема с выводом web-сервером списка директорий не имеет никакого отношения к заражению файлов вирусами. Анализ механизма заражения сайтов показывает, что файлы меняются посредством легального (!) FTP-подключения, т.е. никакого взлома сайта не производилось, а всего лишь осуществлялся FTP-вход по логину/паролю и последующая модификация файлов сайта.
http://www.hostcms.ru/forums/17/2696/
http://www.hostcms.ru/forums/17/2362/
http://www.hostcms.ru/forums/17/2406/

Чтобы не выводился список файлов в директории, в .htaccess в корне внесите в начало строку

Options -Indexes

Авторизация