- Главная
- Отправить заявку
- Knowledgebase
- News
- Загрузки
Live Chat Software by Kayako |

|
Oct 16 |
![]() Как защититься от уязвимости SSLv3 POODLE
Автор Kate Ratniuk на 16 October 2014 01:54 PM
|
|
Как стало известно, в SSLv3 обнаружена вероятность Padding Oracle атаки, которая позволяет злоумышленнику, имеющему возможность отправлять свои данные на сервер по SSLv3 от имени жертвы, расшифровывать по 1 байту за 256 запросов. Причиной уязвимости является то, что в SSLv3 padding не учитывается MAC. Атака может быть реализована на любой сервис, где злоумышленник может влиять на отправные данные. Самый простой вариант - если злоумышленнику необходимо получить Cookie на HTTPS-странице, добавляя свой код на HTTP-страницы, который делает подконтрольные запросы на HTTPS-страницы, и подменяя шифрованные блоки. Чтобы совершить атаку, злоумышленнику необходимо иметь возможность во-первых, прослушивать и подменять трафик атакуемого, а во-вторых, совершать запросы от имени атакуемого с известным атакующему текстом. Чтобы избежать атаки от этой уязвимости, рекумендуем отключить SSLv3 полностью. Воспользуйтесь следующими рекомендациями защиты, если у вас: Firefox (<34): нужно или установить SSL Version Control, или выполнить следующее изменение в конфигурации: about:config → security.tls.version.min=1
Firefox (>34): SSLv3 уже отключен Chrome: добавьте в качестве ключа запуска: --ssl-version-min=tls1 Internet Explorer: уберите галочку с «SSLv3» в настройках безопасности. nginx: ssl_protocols TLSv1 TLSv1.1 TLSv1.2; Apache: SSLProtocol All -SSLv2 -SSLv3 IIS: https://www.digicert.com/ssl-support/iis-disabling-ssl-v3.htm
Подробнее » | |
|
Apr 9 |
![]() Критическая уязвимость в пакете OpenSSL
Автор Микитишин Сергей на 09 April 2014 01:29 PM
|
|
В связи с тем, что была обнаружена уязвимость в пакете OpenSSL (CVE-2014-0160), более детально об уязвимости можно прочитать тут http://heartbleed.com/. Вам необходимо:
Дистрибутивы операционных систем с уязвимой версией OpenSSL:
Проверить установлен ли обновленный пакет с патчем для Centos можно так: # rpm -q --changelog openssl-1.0.1e | grep -B 1 CVE-2014-0160 Проверить установлен ли пакет с патчем для Ubuntu можно так: # aptitude changelog openssl | grep -B 1 CVE-2014-0160 В случае если пакет оказался не обновлен, тогда выполняем обновление в ручном режиме. Ubuntu: Скрипт показывает процессы сервисов, которые необходимо перезапустить: ps uwwp $(find /proc -maxdepth 2 -name maps -exec grep -HE '/libssl\.so.* \(deleted\)' {} \; | cut -d/ -f3 | sort -u) или lsof -n | grep -iE 'del.*(libssl\.so|libcrypto\.so)' Подробнее » | |
|
Aug 6 |
![]() Защита сайта на WordPress от взлома
Автор Инесса Паридуха на 06 August 2013 02:53 PM
|
|
Друзья! Многие из вас уже наверняка слышали о том, что с 2 августа множество сайтов на движке WordPress и некоторые на движке Joomla подвергаются массовой атаке ботов. Используя большое количество ботов, злоумышленники подбирают пароли к админке сайта методом брутфорса. Естественно, серверы не выдерживают такой нагрузки, потому тех. поддержка делает все, чтобы блокировать или отфильтровать ботов. Позаботьтесь о своих сайтах. Если вы используете CMS движок для вашего сайта, то убедитесь, что пароль в админку устойчив для подбора, а также постарайтесь обезопасить свой сайт. Советы по защите от Brute Force атак, которые приводит сам Wordpress: 1. Не используйте имя пользователя "admin". Если вы не меняли имя после создания своего аккаунта на WordPress, то создайте новый аккаунт с другим именем, перенесите туда все посты и измените имя пользователя "admin" (или вообще его удалите). Кроме того, вы можете использовать плагин Admin Renamed Extended, который позволяет быстро поменять имя пользователя. 2. Используйте сложный пароль. Для генерации пароля можно использовать автоматические системы генерации паролей. Придумывая пароль, не используйте в нем имена, название вашей компании или сайта, не используйте словарные слова, только буквы или только цифры, избегайте коротких паролей. Сложный пароль защитит не только содержимое сайта. Получив доступ в админ-панель сайта, хакер может установить различные скрипты, которые могут нанести вред всему серверу. 3. Вы можете использовать следующие плагины, которые ограничивают количество попыток входа или блокируют тех, кто пытаются получить доступ к wp-admin:
# Block access to wp-admin.
order deny,allow
allow from x.x.x.x
deny from all
x.x.x.x – ваш IP адрес (узнать свой IP адрес). Для Nginx вы можете добавить следующий блок, который работает так же, как и приведенный выше.
SetEnvIf Remote_Addr х.х.х.х realremoteaddr order deny,allow allow from env=realremoteaddr deny from allЕсли необходимо добавить еще один IP адрес доступа, то прописываем аналогичную строку с другим адресом под указанной. Если темы или плагины вашего сайта используют AJAX, в файл .htaccess необходимо добавить следующую информацию. # Allow acces to wp-admin/admin-ajax.php
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>
Сохраните файл и загрузите его в вашу папку wp-admin. Если вы ограничиваете доступ к wp-admin в Nginx и используете AJAX, вы должны добавить в файл следующую запись
location /wp-admin/admin-ajax.php {
allow all;
}
Дополнительную информацию по защите вашего сайта на Wordpress от взлома вы можете прочесть здесь. Позаботьтесь о защите содержимого ваших сайтов.Подробнее » | |
|
Jun 4 |
![]() Информация для владельцев сайтов CMS Joomla и WordPress.
Автор Микитишин Сергей на 04 June 2013 04:44 PM
|
|
Добрый день! Подробнее » | |
|
Jan 16 |
![]() Обновление системы запросов.
Автор Роман Локотей на 16 January 2013 09:38 PM
|
|
Сообщаем Вам, что 16.01.2013 будет произведено обновление нашей системы запросов. Работы по обновлению начнутся вечером и могут продлится несколько часов. Просьба все запросы в этот период направлять на почтовый адрес support@hostpro.ua Приносим извинения за предоставленные неудобства.
Подробнее » | |