As instruções abaixo são essenciais para eliminar as principais vulnerabilidades de seu sistema. Sugiro seguir estes passos logo após a instalação.
- 1. install.php
A primeira medida é certificar-se que o arquivo install.php foi excluído. Se você leu com atenção todos os passos da instalação, deve ter percebido que há esta informação seguida de um link que já faz o trabalho pra você. Se você não lembra se fez isto ou não sabia, acesse seus arquivos no provedor e remova manualmente o arquivo install.php.
Por quê?
Se o arquivo permanecer lá depois da instalação, algum malandrinho poderá acessá-lo e isto será uma terrível falha de segurança em seu site.
- 2. admin
Ao término de toda instalação do PHP Classifieds, será informado que seu login e senha são admin. É extremamente importante que você troque a senha já no primeiro login. Há também a possibilidade de alterar o próprio login em Configuration - Administrators.
Por quê?
Há inúmeros sites que não trocaram esta senha padrão e, claro, a primeira coisa que um internauta mal-intencionado vai tentar é acessar seu painel administrativo com este login e senha.
- 3. Proteção da pasta /admin
Há uma brecha de segurança que atinge a versão 7 do sistema (não deverá existir na nova 7.6) e centenas de sites já foram atacados.
É extramente necessário proteger a pasta /admin com HTACCESS. São dois arquivos, o que vai pedir a autenticação (.htaccess) e o que vai guardar o login e senha (.htpasswd). Os dois podem ser gerados aqui.
Obs: “Path” é o caminho do servidor onde o segundo arquivo estará. Por ex.: /home/username/public_html/phpclassifieds
Por quê?
A falha possibilita que hackers acessem o painel de administração sem precisar saber o usuário e a senha de administrador.
- 4. Permissões das pastas /classifieds e /admin
Após a instalação, verifique as permissões das pastas /classifieds e /admin. Elas devem ser setadas com chmod 644.
Por quê?
Diretórios com 777 permitem que qualquer um tenha acesso a ler, escrever e executar (executar em um diretório significa que pode-se listá-lo).
caramba a solução era só essa? Posso fazer isso pelo próprio Cpanel do site em diretórios protegidos por senha, oh meu pai tomara que seja isso porque já tive problemas demais……
Somente as permissões das pastas para 644 que não deram certo, precisa ser 755 pra poder funfar blz, mas,, espero eu que solicitando senha na pasta admin resolva meu problema, vlw obrigado!!!!
Ah o meu funciona com permissão 755 e agora hein que faço ? ele conseguia listar os arquivos pelo arquivo que upou
Cézar, caso ele esteja enviando os arquivos através de uma conta normal de usuário, vc pode restringir os tipos de arquivos enviados em Options – Document Filetypes allowed uploaded.
Mas creio que não seja assim q ele esteja hackeando… Bom, se vc restringiu seu /admin com .htaccess e mudou as permissões dos arquivos, provavelmente ele não vai conseguir mais nada.
Se ele voltar a atacar, tente descobrir o caminho q ele utilizou para isto. Qualquer coisa avisa aí.
[]s,
Anderson
é quanto aos users eu restringir somente jpg mas, também não acho que seja por lá e sim pelo admin mesmo pois tudo começava por lá e de lá que ele se expandia!
Ah, então acho q ele não vai conseguir mais mesmo.
Nossa meu o hacker voltou a encher o saco :’( add novamente um arquivo bin.php que dá acesso a todas as páginas e add o código novament na index :S e agora meu q faço
a pasta principal não aceita CHMOD 644 só 755
Para qual diretório ele está enviando o arquivo?
Tô achando isso tudo tão estranho… Nunca vi isto acontecer antes com nenhum user do phpc.
Há alguma chance de mais alguém ter acesso à sua conta de hospedagem? Mude todas as suas senhas e entre em contato com seu provedor para saber de que forma eles podem ajudar.
Dê uma olhada nos logs para ver se tem algum rastro de como ele enviou, quando e a partir de qual IP.
Abraços,
Anderson
Rapaz por FTP não é a host já está de olho, aumentaram o delay dos logs mas não constata nada, tinham 2 arquivos o bin.txt.1 e o bin.php acredito que ele consiga enviar 1º o .txt e de alguma maneira renomeia para bin.php só Deus sabe como…. Bloqueeio todo o classificados agora está fora do ar e pede senha aos usuários que tentarem acessar se tornar a acontecer aí o problema não é mais por lá, verifiquei todas as pastas e não vi arquivo algum estranho o que preciso é verificar arquivo por arquivo do classificados e testar onde ele consegue fazer isso, quanto à senhas ninguém mais tem sempre altero.
não deveria fazer alguma atualização do meu sistema?
Ah encontrie pelo admin do classificados em:
CHMOD Permission
Set what permission writeable directories/files should have. On phpsuexec sites, this needs to be chmod 755, all others use chmod 777
Estava 755 coloquei para 644 e funcionou, não sei se terá algum efeito no site mas irei testar, liberei novamente para usuário e o admin continua com bloqueio e já alterei a senha…
Ok, vamos ver…
Dá uma pesquisada na net por trechos dos códigos dos arquivos que ele enviou… Tente cruzar informações… Descriptografar o arquivo PHP q ele enviou… O que vc conseguir descobrir já pode ajudar a achar a falha de segurança.
Gente, nao ignorem as medidas de segurança, fassam o teste:
Na tela de login de ADM utilizem;
login : admin ‘ or ‘ 1=1
senha: 111111
O que vai acontecer?
Entra no painel de admin do seu site, podendo acessar “tudo”.
Quem “LEU” as recomendações de segurança já deve ter encontrado isso; bom, no meu site eu mudei o login “admin” para meu nome e claro, uma senha inimaginavél.
Att
Wesley, eu percebi que esta falha de segurança é bem comum ao phpclassifieds
login : admin ‘ or ‘ 1=1
senha: 111111
já encontrei várias páginas usando o phpclassifieds com esta falha. Vc já descobriu como eliminar esta falha ?
Tarek, desculpe pela demora em aprovar seu comentário.
Para eliminar esta falha, basta seguir as recomendações que escrevi neste mesmo post (a do htaccess é primordial). =)
Abs,
Anderson
Olá , não estou conseguindo fazer com o arquivo HTACCESS funcione para proteger a pasta admin , faço tudo conforme explicado porem quando tento acessar a página coloco a senha e usuario que criei e não entra até aparecer uma pagina de acesso não autorizado!
Provavelmente o problema está no caminho incorreto. Reveja esta parte:
”
Obs: “Path” é o caminho do servidor onde o segundo arquivo estará. Por ex.: /home/username/public_html/phpclassifieds
“
Oi Anderson, boa tarde amigo.
Lembra-se de mim? sou o Toninho do site http://www.netcursos.net/classificados
Então Anderson, estou muito grato por toda a ajuda que me deu mas gostaria se possivel que me desse mais uma dica.
Como faço para que nos anuncios as url fiquem com hiperlinks, pois não da para clicar nelas e sendo assim o google não reconhece, tem jeito?
At.
Toninho
Oi, Toninho. Tudo bom?
Acho melhor mandar um exemplo do que precisa, pq nao deixou claro que URL quer que fique com links.
Abs,
Anderson
Olá Anderson,
Certo, vou dar um exemplo.
Entre nesta propaganda de meu classificado.
http://www.netcursos.net/classificados/anuncio-1-curso-mecanica-de-motos.html
Veja que depois da propaganda eu coloquei um link para as pessoas entrarem em meu outro site assim: http://www.netcursos.net/curso-mecanica-motos-p-28.html
Mas este link não da para clicar nele, só copiar e colar.
Eu gostaria de saber se existe alguma configuração no admin ou algum jeito que eu possa deixa-lo ativo.
oi, Toninho.
A única forma de usar links aí é usando o WYSIWYG editor, que só está disponível na versão paga do sistema. Não há outra forma.
abs
KKKKKKKKKK, esse sistema é mais cheio de falhas do que qualquer um que eu já vi, vulnerável a sql injection e a pior de todas, edição de arquivos locais.
samuel, é até normal ver sistemas com falhas como esta. O próprio Wordpress, que é um sistema fantástico, já teve várias correções de falhas de injection.
abs