@zakodro4
Я крутой

Что делать, если взломали и удалили сайт?

Я скинул ссылку на сайт на оценку в одну кф, и там какая-та крыса взломала его с помощью xss-атаки (взломщик вписывал кусочки кода во все текстовые поля, и создавал много аккаунтов с этим). Поставил он короче редирект, потом по некоторым данным узнал, что взломщик скачал куки, и как-то получил доступ к серверу и к сайты. Дальше он удалил папку с пользователями и всей инфой, а после уже удалил и сам сайт.
Вопрос: Как обезопасить себя от последующего такого взлома? Какие утилиты посоветуете?
P.s:
Сайт на: HTML & PHP, на VDS Ubuntu. У меня есть IP взломщика.
  • Вопрос задан
  • 761 просмотр
Пригласить эксперта
Ответы на вопрос 10
HistoryART
@HistoryART
^Спасибо - отметить ответом
Виндус переустанавливайте. Каждый день, регулярно, ровно в 14:00 МСК.
(Сейчас бы поля банально на символы не фильтровать)
Ответ написан
@NinjaNickName
Web разработчик
Как обезопасить себя от последующего такого взлома?

Запомнить раз и навсегда - нельзя доверять данным которые пришли от клиента.
Это значит, что нужно абсолютно все данные пришедшие от клиента проверять на корректность.
Ответ написан
@Karpion
Хорошо написанный сайт (я чисто про серверную часть) - взломать невозможно. Вот и вся программа.
NedoKoder и Araik всё правильно говорят.
Ответ написан
@NedoKoder
Утилит для этого нет. Просто весь выводимый текст и то что пишется в БД, пропускай через нужные функции. А то что уже удалено, обратись в службу поддержки хостинга. Восстановят бекап. Если конечно в самом хостинге нет встроенного варианта. У моего хостера например есть такая возможность
Ответ написан
php666
@php666
PHP-макака
Подозреваю, что там такой сайт был, что.. туда ему и дорога))
Ответ написан
xmoonlight
@xmoonlight Куратор тега Веб-разработка
https://sitecoder.blogspot.com
regex-фильтр на все входящие запросы и на данные внутри них: неожидаемое - не обрабатываем! (вот и вся защита)
Ответ написан
@poniyur
Все запросы в бд делаете через подготовленные запросы. Не надо никак пользовательский ввод обрабатывать.
Вывод в html делаете через функцию htmlentities(). А вот пользовательский вывод обрабатывать нужно
Ответ написан
@alekssamos
Программист любитель
htmlspecialchars раз, mysql_escape_string два (или %s плейсхолдеры).
Сколько раз уже видел и здесь в вопросах, и на других форумах ... SELECT ... WHERE ID = $_GET['id'] прям так сразу без обработки. Ну нельзя же так!
Ответ написан
@maclien2
Здравствуйте) Лучше всего конечно иметь резервную копию сайта на случай взлома, а также читать различную информацию об различных способах взлома сайта, таким образом вы будете осведомлены и прикроете нужные дыры, вот вам полезная статья на эту тему, изучайте) Защита от XSS атак
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы