allzdorovie

Защита админки через IP

Рекомендуемые сообщения

allzdorovie    0

Здравствуйте!

При защите админки через ip доступ - злоумышленнык может проникнуть на сайт?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
buslikdrev    37

Может, если варез установите (и злоумышленник предусмотрел, что такая защита может быть включена и её нужно отключить) или через хостинг взломает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
bitrixlviv    69
17 минут назад, buslikdrev сказал:

Может, если варез установите (и злоумышленник предусмотрел, что такая защита может быть включена и её нужно отключить) или через хостинг взломает.

это врятли

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
buslikdrev    37
7 минут назад, bitrixlviv сказал:

это врятли

Вряд ли взломает или предусмотрит? 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AWARO    589
34 минуты назад, bitrixlviv сказал:

это врятли

типа иди качай варез?
Я тебе больше скажу, всё что есть в сети всё можно сломать
Причем риск увеличивается в сотни раз взломать то где используется варез!

Отвечайте более развёрнуто а не по типу как хотите так и понимайте. будьте добры.
а то что вы ляпнули это вообще не ответ - типа как хотите так и понимайте..
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
allzdorovie    0

объясните пожалуйста для чайника - что такое варез

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
buslikdrev    37
2 часа назад, allzdorovie сказал:

объясните пожалуйста для чайника - что такое варез

Варез - это когда вашу программу купили, убрали привязку к домену + по своему желанию вставили дыру (возможность получить доступ к админке вашего магазина), потом выставляют модуль бесплатно или за копейки. Вы покупаете или скачиваете, потом устанавливаете, начиная пользоваться (например, нажали активировать) - автоматом даёте злоумышленнику доступ.

Из википедии:

Ва́рез (англ. warez — сленговая версия «wares», сокращённого множественного числа от «software» — «программное обеспечение» ) — коммерческая программа, распространяемая бесплатно (реже — на носителях за символическую плату) незаконным путем без разрешения автора.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
bitrixlviv    69
15 часов назад, AWARO сказал:

типа иди качай варез?
Я тебе больше скажу, всё что есть в сети всё можно сломать
Причем риск увеличивается в сотни раз взломать то где используется варез!

Отвечайте более развёрнуто а не по типу как хотите так и понимайте. будьте добры.
а то что вы ляпнули это вообще не ответ - типа как хотите так и понимайте..
 

Я против варезов! Все модуля для себя и своих клиентов покупаю здесь или на оф сайте, иногда на лайвопекарт.

А вот за дополнительную защиту с привязкой айпи я за. 

Взломать можно все. Согласен!

Ведь согласитесь чем больше разных вариантов защиты тем лучше!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
bitrixlviv    69
15 часов назад, buslikdrev сказал:

Вряд ли взломает или предусмотрит? 

Вряд ли взломает, еще можно паку админки запаролить, + капча, + гугл аунтификатор можно,

Защиты много не бывает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
allzdorovie    0

еще можно паку админки запаролить, + капча, + гугл аунтификатор можно,

 

Подскажите, как это всё сделать - подробнее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sitecreator    520
В 07.08.2017 в 21:03, allzdorovie сказал:

При защите админки через ip доступ - злоумышленнык может проникнуть на сайт?

 

такая защита полезна.

И она не только снижает возможности взлома многократно, но и позволяет бороться с ddos атаками.

Методом грубой силы (перебор паролей)  можно создать очень сильную нагрузку на ваш сайт. Но закрытие доступа к админке по всем IP, кроме разрешенных,  лишает злоумышленников возможности вас  ddos -ить через админку. 

Сталкивался с такой проблемой (ddos ) на реальных проектах опенкарт.

 

Так что,  полезно будет всегда.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sitecreator    520
В 08.08.2017 в 21:17, allzdorovie сказал:

+ капча, + гугл аунтификатор можно

 

это все лишнее если у вас доступ только во вашему IP. 

Вам лишь будет мешать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
snastik    824
В 07.08.2017 в 21:38, bitrixlviv сказал:

это врятли

Вы простите за выражение, но что вы несете?
Достаточно пары строк кода, практически в любом файле движка, для того чтобы парой волшебных манипуляций, целиком получить доступ к проекту.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
snastik    824
В 10.08.2017 в 20:27, sitecreator сказал:

 

такая защита полезна.

И она не только снижает возможности взлома многократно, но и позволяет бороться с ddos атаками.

Методом грубой силы (перебор паролей)  можно создать очень сильную нагрузку на ваш сайт. Но закрытие доступа к админке по всем IP, кроме разрешенных,  лишает злоумышленников возможности вас  ddos -ить через админку. 

Сталкивался с такой проблемой (ddos ) на реальных проектах опенкарт.

 

Так что,  полезно будет всегда.

 

Что???? Нагрузка на сайт через амдинку...
Вы правда это написали?

Да при желании можно найти вагон и маленькую тележку ссылок на которые ддос будет на порядок эффективнее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
snastik    824
В 08.08.2017 в 13:46, bitrixlviv сказал:

Вряд ли взломает, еще можно паку админки запаролить, + капча, + гугл аунтификатор можно,

Защиты много не бывает.

Если захотят - взломают любой проект.
Лучшая защита - это таки блокировка доступа по ip в admin, а еще лучше вынести admin на отдельный сервер без доступа из мира через dns-домен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Yoda    435
В 10.08.2017 в 20:27, sitecreator сказал:

 

такая защита полезна.

И она не только снижает возможности взлома многократно, но и позволяет бороться с ddos атаками.

Методом грубой силы (перебор паролей)  можно создать очень сильную нагрузку на ваш сайт. Но закрытие доступа к админке по всем IP, кроме разрешенных,  лишает злоумышленников возможности вас  ddos -ить через админку. 

Сталкивался с такой проблемой (ddos ) на реальных проектах опенкарт.

 

Так что,  полезно будет всегда.

 

Наш вовсевовпросыответ-герой выучил новое слово DDOS атаки. 
Скажите вы не устаете от своей бесконечной клоунады сами?
Какой ДДОС на админку?

На админку может быть брутфорс!
А укладывать магазины через админку - фу фу... Можно же применить более изощренные методы, которые известны школьникам, а вы про них даже не догадываетесь!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Designer    67
В 07.08.2017 в 21:03, allzdorovie сказал:

Здравствуйте!

При защите админки через ip доступ - злоумышленнык может проникнуть на сайт?

 

Поставьте капчу и все на этом.

Не нужно быть на столько параноиком, чтобы так думать о безопасности своего сайта, который не кому не будет нужен.
Максимум по шпилить могут арабы залетные, для галочки или какая нибудь школота, посмотревшая видео на ютубе по перебору паролей.
Установите сложный пароль, а не qwerty и все будет нормально. Если уж совсем паранойя, смените название директории панель администратор.

 

Хорошенько от ДДосить :-D Вас могут, только в том случае, если в Вашем бизнесе, есть хорошие конкуренты, которому Вы мешаете вести бизнес, случай не так распространен, так как дорого обходиться. Вас это точно не касается...

Комариных атак бояться не стоит, с ними справиться и настроенный iptables

 

Чаще всего, доступ к данным ресурса можно получить из-за ошибок и халатному отношению наемных разработчиков и из-за Ваших ошибок.

 

Поверьте, компетентному человеку в вопросе взлома вашего ресурса панель администратора не нужен.

Доступ к БД или к серверу, он получит совершенно другими методами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sitecreator    520
19 минут назад, snastik сказал:

Что???? Нагрузка на сайт через амдинку...
Вы правда это написали?

 

Спасибо, что вы с партнером уделяете так много времени улучшению нашего форума, поддержанию на нем доброжелательности и поднятию вашего чувства собственной важности.

Что ни слово ваше, то золото или... может быть затычка к каждой бочке?

 

Ни на миг не допускаете, что можете ошибаться?

Ваше "не может быть", основанное на теоретических представлениях не обязано совпадать с действительностью.

 

Кстати, вы не умеете пользоваться такими словосочетаниями как "вы ошибаетесь"  или "вот тут я с вами не согласен"? К чему ваш высокомерный стиль, временами переходящий в откровенное хамство?

 

Специалисты ispserver занимались данным вопросом. И добились результата благодаря именно такой вот банальной вещи как закрытие админки по ip.

Поговорите на одном языке и объясните им насколько они, возможно, далеки от истины. А, может быть, и сами что-то новое узнаете.

 

И практика - штука упертая, да и критерий истины.  У заказчика исчезли проблемы.

Хостер проанализировал ситуацию, в том числе по логам, сделал вывод, принял меры, отчитался.  Проблема решена.

Я сделал вывод не на пустом месте, что метод работает.

 

Вопреки вашим "фу фу" примитивная атака достигала своей цели - страницы были недоступны  по несколько секунд.  Детсадовцам, еще не ставшим школьниками,  вполне хватило  нехитрых способов чтобы положить сайт.  Даже к "поиску" не стучались. Ну что поделать, не научил их йода изощренным методам, а потому как могли, так и добились результата.  Такие вот детсадовцы....

 

Да и вообще то в админку стучатся далеко не только с целью перебора пароля.

В папке admin очень часто лежат всевозможные файлы, нередко не требующие ключа для запуска и обычно предназначенные для запуска по расписанию. Начиная от разных импорт-экспорт и заканчивая отслеживанием продвижения отправлений.

И таких модулей предостаточно на нашем форуме.

И в этом случае закрытие по ip работает.

Или вы такой момент вообще не рассматриваете?

 

 

2 часа назад, Yoda сказал:

Скажите вы не устаете от своей бесконечной клоунады сами?

 

Молодой человек, а вы с какой целью задаете вопросы именно в таком стиле? Это как-то настраивает вас на конструктивный стиль общения? Или желаете услышать "сам дурак"? Так мне воспитание не позволит спуститься на ваш уровень.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Yoda    435
37 минут назад, sitecreator сказал:

 

Спасибо, что вы с партнером уделяете так много времени улучшению нашего форума, поддержанию на нем доброжелательности и поднятию вашего чувства собственной важности.

Что ни слово ваше, то золото или... может быть затычка к каждой бочке?

 

Ни на миг не допускаете, что можете ошибаться?

Ваше "не может быть", основанное на теоретических представлениях не обязано совпадать с действительностью.

 

Кстати, вы не умеете пользоваться такими словосочетаниями как "вы ошибаетесь"  или "вот тут я с вами не согласен"? К чему ваш высокомерный стиль, временами переходящий в откровенное хамство?

 

Специалисты ispserver занимались данным вопросом. И добились результата благодаря именно такой вот банальной вещи как закрытие админки по ip.

Поговорите на одном языке и объясните им насколько они, возможно, далеки от истины. А, может быть, и сами что-то новое узнаете.

 

И практика - штука упертая, да и критерий истины.  У заказчика исчезли проблемы.

Хостер проанализировал ситуацию, в том числе по логам, сделал вывод, принял меры, отчитался.  Проблема решена.

Я сделал вывод не на пустом месте, что метод работает.

 

Вопреки вашим "фу фу" примитивная атака достигала своей цели - страницы были недоступны  по несколько секунд.  Детсадовцам, еще не ставшим школьниками,  вполне хватило  нехитрых способов чтобы положить сайт.  Даже к "поиску" не стучались. Ну что поделать, не научил их йода изощренным методам, а потому как могли, так и добились результата.  Такие вот детсадовцы....

 

Да и вообще то в админку стучатся далеко не только с целью перебора пароля.

В папке admin очень часто лежат всевозможные файлы, нередко не требующие ключа для запуска и обычно предназначенные для запуска по расписанию. Начиная от разных импорт-экспорт и заканчивая отслеживанием продвижения отправлений.

И таких модулей предостаточно на нашем форуме.

И в этом случае закрытие по ip работает.

Или вы такой момент вообще не рассматриваете?

 

 

 

Молодой человек, а вы с какой целью задаете вопросы именно в таком стиле? Это как-то настраивает вас на конструктивный стиль общения? Или желаете услышать "сам дурак"? Так мне воспитание не позволит спуститься на ваш уровень.

 

 

Вы знаете, не в обиду будет сказано гомосексуалистам, но в их среде бытует мнение что массаж простаты - это некая божья благодать, и всем пренепременно необходимо прочувствовать всю глубину глубин сего волшебного действа. К счастью, гомосексуальных особей в любой популяции не больше 4%. К сожалению ваши вопли, попытки возмущаться, строить из себя суперспециалиста, и аппелировать к неким спецам из ISP в безвыходной ситуации, мною воспринимаются не более, чем хвальба массажа простаты четырьмя процентами популяции. Уж простите, но такой имидж у вас сформировался в моих глазах, в глазах моего подельника, и я думаю что не только у нас такое стойкое мнение.

Поэтому, прежде чем задавать мне вопросы подобного толка, разберитесь в себе, почему создается устойчивое впечатление, что вы вы апологет массажа простаты. Возможно все-таки у вас есть малюсенький шанс изменить свою ориентацию, ну или по крайней мере, научиться перестать навязывать ее проявления другим.

 

UPD для администрации. Я готов на бан за этот пост на неделю, месяц, год, но извините Sitecreator со своим "всемогузнаювсеменявсеобижают" уж очень портит ленту форума, и читать его профанские посты в каждой второй теме, и бесконечно опровергать его чушь у меня увы иссякли силы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Yoda    435

А теперь развернуто и по теме, дабы не обвинял меня никто в голословности.

Так как opencart - по своей сути это система для генерации динамического контета, она не может быть абослютно защищена от ДДОС - потому что ключевое слово динамическая.  

Если говорить о том, как сделать действительно работающую защиту, то нужно понимать что она должна быть многослойной.

а) ваш хостер должен вас защищать от UDP и sin флуда. 

б) у вас должен быть оооочень быстрый магазин с запасом ресрурсов в 500-1000%.

в) в вашей системе должен быть настроен мониторинг нагрузки 

г) у вас должны быть настроены инструменты оперативного реагирования на нестандартные всплески.

д) ни один глобальный кешер вас никогда не спасет - так как подделать post-данные и сформировать реальную сессию пользователя, которую невозможно кешировать - это задача для школьника.

е) капчи не спасают, китайцы все еще едят лапшу в горных пещерах и сервисы по обходу каптч безумно дешевы.

ж) вышевысказавшийся персонаж рассказывает про ISP и запароливание админки через htpass, должен расстроить дважды. Во первых htpass - техника придуманная во времена, когда ips еще в памперсы мочилась, во вторых они ввели фичу паролирования директорий, не потому что 

Цитата

Специалисты ispserver занимались данным вопросом. И добились результата благодаря именно такой вот банальной вещи как закрытие админки по ip.

А потому что это нормальная практика в принципе. 
Но более нормальная практика, держать на продкашене только фронтенд, если мы говорим о том "как надо" и практиках.

з) И реально господа, вот вы когда создаете подобные темы, вас же вроде в гугле не забанили. Это очень обширный вопрос, который в рамки форума никак не помещается.
И то что можно сделать средствами движка - это скажем 10-20-30%. Все остальное это серверно-админские технологии, по которым советов и рекомендаций в гугле читать можно на пару месяцев.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
allzdorovie    0
15 часов назад, Designer сказал:

 

Поставьте капчу и все на этом.

Не нужно быть на столько параноиком, чтобы так думать о безопасности своего сайта, который не кому не будет нужен.
Максимум по шпилить могут арабы залетные, для галочки или какая нибудь школота, посмотревшая видео на ютубе по перебору паролей.
Установите сложный пароль, а не qwerty и все будет нормально. Если уж совсем паранойя, смените название директории панель администратор.

 

Хорошенько от ДДосить :-D Вас могут, только в том случае, если в Вашем бизнесе, есть хорошие конкуренты, которому Вы мешаете вести бизнес, случай не так распространен, так как дорого обходиться. Вас это точно не касается...

Комариных атак бояться не стоит, с ними справиться и настроенный iptables

 

Чаще всего, доступ к данным ресурса можно получить из-за ошибок и халатному отношению наемных разработчиков и из-за Ваших ошибок.

 

Поверьте, компетентному человеку в вопросе взлома вашего ресурса панель администратора не нужен.

Доступ к БД или к серверу, он получит совершенно другими методами.

Поймите меня правильно - я сделала сайт на мадженто правда старой версии по урокам, обновить мадженто для меня до новой версии было не реально. Сайт побыл пару недель и его взломали, 3 раза взламывали - я восстанавливала с копии базы данных и как результат - сайт не отправляет писем ни мне как администратору ни пользователю.

 

Исходя из такой ситуации - я хочу максимально защитить свой сайт, сделанный уже на опенкарт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Designer    67

Так вы уверены, что взломали именно через админку? Вы смотрели логи сервера, после того, как решили для себя, что Вас взломали. Или пароль был admin / admin и после восстановления так же не сменили логин. Либо оставили жить своей жизнью папку install. А может куда хуже, на Вашем сервере уева туча сайтов и даже на те, которые работают на WP

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
allzdorovie    0

да, потому что я в третий раз пыталась зайти по своему паролю (все предыдущие разы меняла пароль на админку) - и не могла зайти по своему паролу, восстановила сайт из бекапа, опять поменяла пароль и уже не взламывали

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
allzdorovie    0

логин admin а пароль сложный - буквы, цифры

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
allzdorovie    0

на хостинге помимо меня ещё 3 сайта - я смотрела

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти


  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу