CPS (Code Protection System)

[Dr.Chip]

2Wicked

В системе есть возможность указания исключаемых директорий и файлов, а также задания расширений файлов для учета.

2All

Что вы все заказчик, да заказчик? Я где-нибудь обмолвился насчет заказчика! Система предназначена для админов небольших сайтов для контроля за файлами на сервере и моментальном оповещении по е-маил о любых изменениях. Ничего сверх-естественного!

Для всех, кому еще не понятно назначаение данной системы привожу ее более подробное описание:
----------------------------------------------------------------
Вторая версия системы CPS (Code Protection System) является более функциональной, удобной и защищенной.
Теперь данные защищены пользовательским секретным ключом и хранятся в отдельном файле-базе.
Появилась возможность автоматического поиска измененных и новых файлов на веб-сервере, а также возможность отсылки результатов сканирования на Ваш e-mail (отдельный скрипт).
Авторизация надежно ограничит доступ к системе, и оповестить Вас в случае несанкционированного доступа к системе.
Данная система является эффективным средством оповещения о несанкционированных действиях с файлами на Вашем веб-сервере.

Возможности:
-----------
- Файловый менеджер с возможностью редактирования и удаления файлов.
- Сканнер изменений на веб-сервере.
- Модуль авторизации с возможностью оповещения в случае несанкционированного доступа.
- Модуль отсылки отчетов с результатами сканирования на Ваш e-mail.
- Шифрование данных пользовательским секретным ключом.
- Создание временной точки контроля.
- Список исключаемых директорий и файлов
- Список расширений файлов для учета.

Установка
---------
Для установки системы необходимо выполнить следующие действия в порядке их перечисления:

1. Загрузить php-скрипт самой системы, скрипт mail-модуля и файл-базу cps.dat.
2. Выставить следующим образом права на файлы:
- скрипт системы, скрипт mail-модуля - 555 (чтение и выполнение);
- файл базы (cps.dat) - 666 (чтение и запись).
Очень важно не ошибиться на данном этапе, особенно при установке прав на php-скрипты системы.
3. В настройках системы (начало скрипта) установить свои логин и пароль, секретный ключ, а также другие параметры.
4. Запустить скрипт и установить первую временную точку контроля.
5. После того как первая врменная точка создана, назначить значение переменной $installed = 1;

Для использования mail-модуля необходимо также настроить его параметры (в начале скрипта) и запускать его следующими способами:
- кроном - лучший вариант (в основном на платном хостинге);
- подключать функцией "include" в главной странице Вашего сайта.
--------------------------------------------------

Вот собственно и все!

 

[Romantik]

реально было, когда заказчик схватил троян и у злоумышленника был доступ к ФТП. Очень долго и аккуратно он действовал, пока хостер не предоставил логи.

 

[HraKK]

Возможности:
-----------
- Файловый менеджер с возможностью редактирования и удаления файлов.

Вот это убери 100% а то получат доступ к твоей CPS и хана сайту))

 

[Dr.Chip]

Автор оригинала: HraKK
Вот это убери 100% а то получат доступ к твоей CPS и хана сайту))

Через веб получить доступ к системе, не зная логина и пароля, невозможно! Я уверен! Если докажешь обратное, я очень сильно удивлюсь и поблагодарю тебя за тестирования системы!

-~{}~ 31.07.06 15:26:

Автор оригинала: Romantik
реально было, когда заказчик схватил троян и у злоумышленника был доступ к ФТП. Очень долго и аккуратно он действовал, пока хостер не предоставил логи.

Может я не правильнообъясняюсь?! Назначение моей системы абсолютно другое.

 

[Romantik]

Dr.Chip
Я написал, где реально возникла проблема, где может пригодится твой скрипт.

 

[HraKK]

Dr.Chip
Ты настолько грамотный специалист что можешь дать 100% гарантию что нельзя взломать твою систему?

Если ответишь да, я даже поищю там дыры.
Но не советую.

 

[Dr.Chip]

Автор оригинала: HraKK
Dr.Chip
Ты настолько грамотный специалист что можешь дать 100% гарантию что нельзя взломать твою систему?

Если ответишь да, я даже поищю там дыры.
Но не советую.

ДА!!! Конечно, все бывает, я сам много чего наломал, но насчет своей системы уверен!

 

[MadGreen]

сломать можно вообще все, вопрос смысла...
смысла всего этого... соотношение затрат усилий и ценности защищаемых данных имхо отрицательное

 

[Dr.Chip]

Автор оригинала: Romantik
Dr.Chip
Я написал, где реально возникла проблема, где может пригодится твой скрипт.

Извини, теперь я тебя не понял!

-~{}~ 31.07.06 16:48:

В связи с временными проблемами на хостинге мой сайт пока не работает. Так что, качайте кому надо вторую версию системы здесь:

http://www.vladikavkaz.by.ru/cps_v2.0.rar

 

[mani13]

Есть такое предположение, что все, на кого автор так упорно ориентируют свой скрипт, имеют под рукой 2 таких замечательных средства: bash и cron.
А, соответственно, могли накалякать что-то вроде: http://phpclub.ru/paste/1329

 

[Dr.Chip]

Mani13

Для использования моей системы можно и без крона обойтись! Не совсем понимаю, что ты делаешь этим bash'om?

 

[uliss]

ИМХО:
Если проект серьезный - tripwire
Если чуть менее - cron и bash, как mani13 описал
А в простом случае она не очень-то нужна

-~{}~ 01.08.06 12:35:

Dr.Chip
Он вычисляет чек суммы файлов, а потом проверяет их со старыми значениями

 

[Dr.Chip]

Автор оригинала: uliss
Он вычисляет чек суммы файлов, а потом проверяет их со старыми значениями

В моей системе создается временная точка контроля, скрипт проверяет нет ли файлов созданных после этой врмеменной точки. Есть 2 режима:

- с интерфейсом (сканер изменений - выводит изменившиеся файлы, файловый менеджер и т.д.)
- mail-модуль (отдельный скрипт) - отсылает отчет сканирования на e-mail

 

[uliss]

Dr.Chip его скрипт это тоже делает
Также просто в его скрипт добавить несколько строк - и он будет отсылать e-mail

На это Мастер Фу ответил: "Это так. Тем не менее, в одной строке shell-сценария
больше духа UNIX, чем в десяти тысячах строк С!"

Эрик Реймонд. Unix-коаны мастера Фу

 

[mani13]

файловый менеджер

Понимаешь в чём фишка.
Я готов спорить с тобой, что имея под рукой твой файловый менеджер и ssh, тот, на кото ты рассчитываешь, как на потребителя, выберет второе.

 

[Dr.Chip]

Автор оригинала: mani13
Понимаешь в чём фишка.
Я готов спорить с тобой, что имея под рукой твой файловый менеджер и ssh, тот, на кото ты рассчитываешь, как на потребителя, выберет второе.

Причем тут файловый менеджер вообще!

-~{}~ 01.08.06 16:51:

Автор оригинала: uliss
Dr.Chip его скрипт это тоже делает
Также просто в его скрипт добавить несколько строк - и он будет отсылать e-mail


Эрик Реймонд. Unix-коаны мастера Фу

А что делать тем, кто не может использовать bash?

 

[uliss]

А что делать тем, кто не может использовать bash?

Ok.
Но мое мнение (и не только мое) программа должна хорошо делать одну вещь. Хорошо, у тебя программа
отлично стравляется со своей задачей - выявляет изменения файлов и оповещает об этом.
Но зачем же ей файловый менеджер?

Хороший пример - tripwire - возможности задания проверок, шифрование своей базы данных, оповещение по email и т.д.
но файловый менеджер они же не включают в поставку

 

[mani13]

А что делать тем, кто не может использовать bash?

Из обозначенной целевой аудитории, под этот критерий попадают только windows-администраторы(bash был указан приблизительно, в скрипте нет ничего, что не позволял бы любой другой shell, а уж, чтобы его не было -- надо постараться)). В таком случае... А почему PHP? Винде - виндовое, никсам - никсовое, так что на win-сервере врядли будет стоять PHP)
К тому же, всё это не имеет смысла, если нет пользователя с более высокими привилегиями, от имени которого это всё и будет исполняться.

 

[uliss]

	case 'del':
	$from = @$HTTP_GET_VARS['from'];
	$file2Del = @$HTTP_GET_VARS['file'];
	if(is_file($file2Del)){
		unlink($file2Del);
        }

Вот код из твоего файлового менеджера ....
Это дыра...

Файлы нужно разрешить удалять только к определенных директориях

 

[Dr.Chip]

Автор оригинала: uliss Но зачем же ей файловый менеджер?

Файловый менеджер включил только для того, чтобы при выявлении измений в скриптах и появлении новых посторонних файлов исправить код или удалить опред. файлы и затем залатать дыры. На мой взгляд, это необходимая опция для систем такого рода.
Теперь, что касается tripwire...

Во-первых, размеры, согласись, не сопоставимы, CPS - 10 Кб, tripwire - 25 Мб
Моя система - написана на php, а tripwire, насколько я понял ПО под Линукс, т.е те, кто не знаком с линуксом или не имеет собственного сервака не смогут им воспользоваться.
Ну и хочу еще сказать, что альернативы на php в открытом доступе пока не существует!

-~{}~ 01.08.06 17:39:

Автор оригинала: uliss
Файлы нужно разрешить удалять только к определенных директориях

Не согласен, с тем, что это дыра! Во-первых, попробуй получи сначала доступ к системе, не зная пароля. Во-вторых, почему только из опред. директорий, если основной пользователь - это админ сайта, то к чему эти излишняие ограничения?