И еще один: Вот залил я сайтец написанный на ядре от ирбиса на хост. У меня стоит 777 на setup и все файлы. Обратившись напрямую к ним, например www.site.ru/setup/ip.txt все открывается, а это мне не нравится, как поставить запрет так, чтобы запись также производилась?
Спустя 15 минут, 18 секунд (26.02.2011 - 21:39) alex12060 написал(а):
| Цитата |
| Вопрос следующий: Возможно-ли написать такого паучка чтобы он просканировал все дирректории сайта и выдал структуру, названия дирректории и файлов, может быть проверил на расшариваемость, в общем меня интересует максимальные возможности такого вида атак. |
такое дело делается 2-мя способами:
Внешняя атака: Сканиннг с помщью отправки на сервак общеизвестных ссылок: phpmyadmin, phpadmin, admin, administrator etc...
Перловский (чаще всего использующийся в данном случае) скрипт получает ответ, обрабатывает код (200, 400, 403, 404) и пишет в лог, что есть, что нет.
Внутренняя атака: Сканнинг непосредственно с помщью скрипта внутри. Заливается при помощь инъеков, инклудов, загрузки с плохой проверкой. Сканирует каталог, отправляет злоумышленнику структуру либо по почте, либо пишет лог в определенный путь, или в корень. Далее хакер смотрит и ломает)
Спустя 2 часа, 8 минут, 27 секунд (26.02.2011 - 23:48) Zerstoren написал(а):
От внешнего Сканинга спасает
Options -Indexes
В .htaccess
Options -Indexes
В .htaccess
Спустя 1 час, 17 минут, 27 секунд (27.02.2011 - 01:05) Andrey65 написал(а):
Спасибо за инфу
Спустя 8 часов, 41 минута, 30 секунд (27.02.2011 - 09:47) Вы можете сами узнать... написал(а):
Вы можете сами узнать что у вас сканируется, ссылку сейчас навскидку не дам, но поищите в гугле, там в паблике достаточно много программ для сканирования сайтов на уязвимости.
Скачайте попробуйте, сами все увидите. Я пробовал.
Скачайте попробуйте, сами все увидите. Я пробовал.
_____________