Lapi 0 Zgłoś post Napisano Sierpień 27, 2007 Witam, Chciałbym przejść na coś lepszego niż serwery.pl - na coś lepszego pod wzgledem bezpieczeństwa. Dowiedziałem się że na serwery.pl nie ma zainstalowanego mod_security. Na efekty nie trzeba byłu długo czekać - włamanie na dwa fora Przemo oraz jedno IPB (podejrzewam że to własnie wina braku mod_security). Dlatego czy moglibyście polecić jakąś dobrą firmę hostingową, najlepiej z supportem 24h (tak jak w home)? Rozważałem kupno serwera dedykowanego, jednak nie znam się na administracji i musiałbym zatrudnić kogoś do tego (a to już dodatkowy koszt). Tak więc pozostaje kupno "gotowego już" hostingu, tylko jakiego? Z góry bardzo dziękuję za pomoc. Udostępnij ten post Link to postu Udostępnij na innych stronach
Relayed 0 Zgłoś post Napisano Sierpień 27, 2007 Do administracji polecam jkopacze tani i sprawny Udostępnij ten post Link to postu Udostępnij na innych stronach
blackfire 185 Zgłoś post Napisano Sierpień 27, 2007 Witam,Chciałbym przejść na coś lepszego niż serwery.pl - na coś lepszego pod wzgledem bezpieczeństwa. Dowiedziałem się że na serwery.pl nie ma zainstalowanego mod_security. Na efekty nie trzeba byłu długo czekać - włamanie na dwa fora Przemo oraz jedno IPB (podejrzewam że to własnie wina braku mod_security). No nie ma. Widziałem, że jest natomiast suhosin. To takie rozszerzenie do PHP, które robi co może, żeby uchronić "programistów" PHPowych przed nimi samymi. Jak widać takiemu Przemowi nawet suhosin nie podskoczy A poważnie, to cały soft jaki trzymasz w miejscu, z którego widać Internet, musi być na bieżąco aktualizowany i nie ma przeproś. Protezy a'la suhosin czy mod_security nigdy nie będą stuprocentowym rozwiązaniem, bo nie ma możliwości, żeby automat jednoznacznie stwierdził, czy dany request jest zagrożeniem, czy też nie. Wszystko zależy od kontekstu, a ten zna tylko konkretna aplikacja. Np. czy <script src="..."> wewnątrz POSTa to atak XSS, czy webmaster aktualizujący design przez jakiś panel? mod_security nie znam z bliska, więc nie wiem, jak precyzyjnie można go skonfigurować, ale zamiast tracić na to czas, może lepiej po prostu poprawić aplikację? Puszczając wodze fantazji, fajnie by było, gdyby wszyscy (liczący się) hosterzy *wyłączyli* wszelkiego rodzaju poprawiacze samopoczucia a'la suhosin, a dziurawe aplikacje wywalali z serwerów na zbity pysk, bo to co jest w tym momencie to paranoja i błędne koło. Udostępnij ten post Link to postu Udostępnij na innych stronach
Prohost 345 Zgłoś post Napisano Sierpień 27, 2007 U nas używamy mod security ale jak skrypty maja dziury to nic nie pomoże - w jakimś stopniu ogranicza ale radzę jak poprzednik updejt skryptu zrobić. A najlepiej wziąć logi lub poprosić admina z serwery aby poszukał jak zostało co zhakowane i przez kogo - będzie wiadomo gdzie jest dziura i to jest podstawa rozwiązania problemu. Udostępnij ten post Link to postu Udostępnij na innych stronach
Lapi 0 Zgłoś post Napisano Sierpień 27, 2007 U nas używamy mod security ale jak skrypty maja dziury to nic nie pomoże - w jakimś stopniu ogranicza ale radzę jak poprzednik updejt skryptu zrobić. A najlepiej wziąć logi lub poprosić admina z serwery aby poszukał jak zostało co zhakowane i przez kogo - będzie wiadomo gdzie jest dziura i to jest podstawa rozwiązania problemu. Skrypt jest zawsze aktualny, więc raczej ta droga ataku odpada. Serwery.pl to niby porządna firma, jednak już tydzień temu prosiłem admina o pomoc w wykryciu przyczyny ataku. Jak na razie bez skutku. Jutro napisze jeszcze jednego maila z informację że użytkownicy WHT poradzili mi aby szukac pomocy u admina - może to ich ruszy. A wracając do tematu, czy znacie jakiś dobry polski serwer (znana i sprawdzona firma) z mod_security? Udostępnij ten post Link to postu Udostępnij na innych stronach
Prohost 345 Zgłoś post Napisano Sierpień 27, 2007 Skrypt jest zawsze aktualny, więc raczej ta droga ataku odpada. Serwery.pl to niby porządna firma, jednak już tydzień temu prosiłem admina o pomoc w wykryciu przyczyny ataku. Jak na razie bez skutku. Jutro napisze jeszcze jednego maila z informację że użytkownicy WHT poradzili mi aby szukac pomocy u admina - może to ich ruszy. A wracając do tematu, czy znacie jakiś dobry polski serwer (znana i sprawdzona firma) z mod_security? Może jakieś mody, galeria itp dodatkowo sa poinstalowane - może być dziura. Jakbyś podał szczegóły adminowi co do czasu zajścia włamania i objawów to powinien szybko się zorientować co i jak. To, że jest aktualny to też nie znaczy, że nie ma dziury. Musi mieć bo jak inaczej ktoś by się włamał. Udostępnij ten post Link to postu Udostępnij na innych stronach
T 6 Zgłoś post Napisano Sierpień 28, 2007 Chciałbym przejść na coś lepszego niż serwery.pl - na coś lepszego pod wzgledem bezpieczeństwa.Dowiedziałem się że na serwery.pl nie ma zainstalowanego mod_security.Na podstawie obecności tego modułu oceniasz bezpieczeństwo serwera? Skrypt jest zawsze aktualny, więc raczej ta droga ataku odpada.To, że jest "aktualny" nie oznacza, że nie ma błędów.Serwery.pl to niby porządna firma, jednak już tydzień temu prosiłem admina o pomoc w wykryciu przyczyny ataku. Jak na razie bez skutku.Jutro napisze jeszcze jednego maila z informację że użytkownicy WHT poradzili mi aby szukac pomocy u admina - może to ich ruszy.No bez żartów... wymagasz darmowego audytu bezpieczeństwa swoich skryptów? Udostępnij ten post Link to postu Udostępnij na innych stronach
alien 345 Zgłoś post Napisano Sierpień 28, 2007 Ja dodam jeszcze jeden aspekt sprawy. Mod_security to filtry, filtry i jeszcze raz filtry. Bez tego jest bezsilny. Nie wiem czy sa na necie "gotowce" dla phpBB oraz IPB (mozliwe, ze sa), ale wiekszosc uzytkownikow ma czesto na kontach jakies mniej znane skrypty dodatkowe, takze nawet nie wiedzieliby w jaki sposob sie zabrac do konfiguracji tego moda.... Inna sprawa, ze to, ze ktos wprowadzi moda do konfiguracji pewnie niczemu nie szkodzi. Ale... jak go nie ma... mod_rewrite takze pozwala zaimplementowac prosta filtracje zapytan wejsciowych (w ramach metody GET). Takze dla chcacego nic trudnego ;-). A tak naprawde dobre skrypty powinny miec taka filtracje wbudowana wewnetrznie. Udostępnij ten post Link to postu Udostępnij na innych stronach
Artur Pajkert 39 Zgłoś post Napisano Sierpień 28, 2007 Hej, a co do hostingu, to moim zdaniem trzeba iść na jakość, bo przenoszenie potem swojego biznesu, jak serwer się sypie, w panice, bywa bolesne. Warto zwrócić uwagę na: 1. Zasilanie awaryjne 2. Łącza od 2 operatorów z BGP 3. Markowy sprzęt - osobiście mam zaufanie do IBM'a Moim zdaniem bez tych czynników nie ma mowy o dobrym hostingu, jak ktoś o tym nie myśli, to o bezpieczeństwie już na pewno. Moe moja uwaga jest nieco filozoficzna, ale największy poziom bezpieczeństwa dostaniesz na dedyku lkub VPS, ponieważ tam całe środowisko będzie mogło być skonfigurowane wyłącznie pod Twoje potrzeby. I w tym wypadku raczej polecam lepszy VPS niż gorszy dedyk, do tego porządny panel administracyjny. Na pewno w shared hostingu często napotkasz problemy z konfiguracją pod Twoje potrzeby. Zaprasam do zainteresowanie się na przykład naszymi VPS'ami: http://www.sisco.com.pl/hosting-vps.html Udostępnij ten post Link to postu Udostępnij na innych stronach
