كايروكي - يا أبيض يا أسود via Nostalgia (2022)
Contra intrometidos (II)...
Nomenclatura de ficheiros a evitar nos servidores: nunca nomear ficheiros (.bak, .zip, .rar, .tar, .7z, .bz, .gz, .tar.gz, .tgz, etc) antes da extensom como
Palavras óbvias, a proibir combinadas coas extensões precedentes (p. ex. old.rar), porque é como vam procurar imediatamente de modo automático se as permissões nom lho impedem:
Devem-se evitar ficheiros que se chamem como a sua extensom, tipo zip.zip ou rar.rar
Tampouco se gerarám ficheiros privados que se chamem igual que diretórios públicos,
p. ex. se tens um www.nomedodominio.com/dados/informeanual nom gerarás um informeanual.tar.gz que for de caráter privado.
Quanto a diretórios, nomes óbvios a evitar por questom de ataques som:
Finalmente, considera que vam buscar estes diretórios e ficheiros:
wp-includes/ merece capítulo à parte, aí solicitarám entre outros:
tamém wp-admin/style.php
wp-content/ igual, dentro del vam querer:
Evidentemente nom é nada recomendável deixar ficheiros comprimidos e agregados em diretórios mais ou menos aleatórios de servidores públicos. Porém, tenho-o visto fazer tantas vezes (e com nomes como os procurados polos maus! XD) que nom me surpreende que tentem atacar por aí.
- 1, 12, 123, 1234, etc., p. ex. 123.7z
- AAAA, p. ex. 2023.bak
Palavras óbvias, a proibir combinadas coas extensões precedentes (p. ex. old.rar), porque é como vam procurar imediatamente de modo automático se as permissões nom lho impedem:
- admin
- app
- assets
- backup, backups
- blog
- cgi-bin
- code
- data
- db
- home
- htdocs, httpdocs,
- httpd
- html
- log
- master
- my
- new
- old
- pack
- php
- public
- public_html
- site, sites
- test
- website
- wp
- wp-admin
- wp-content
- wp-includes
- www
- www_nomedodominio.com
- wwwroot
Devem-se evitar ficheiros que se chamem como a sua extensom, tipo zip.zip ou rar.rar
Tampouco se gerarám ficheiros privados que se chamem igual que diretórios públicos,
p. ex. se tens um www.nomedodominio.com/dados/informeanual nom gerarás um informeanual.tar.gz que for de caráter privado.
Quanto a diretórios, nomes óbvios a evitar por questom de ataques som:
- .env
- home
- main
- new
- old
- pma
- sitemap
- test
- testing
- wordpress
- wp
- phpMyAdmin, phpmyadmin, myadmin, phpadmin, phpmdm e todas as variações que se che ocorram
- assim como cgialfa, ALFA_DATA, alfacgiapi e variantes.
Finalmente, considera que vam buscar estes diretórios e ficheiros:
- .DS_Store
- .git/config
- .well-known/traffic-advice
- css.php
- public/_ignition/health-check/
- sitemap.xml
- wp-login.php
wp-includes/ merece capítulo à parte, aí solicitarám entre outros:
- wlwmanifest.xml
- css/wp-config.php
- wp-atom.php
tamém wp-admin/style.php
wp-content/ igual, dentro del vam querer:
- db-cache.php
- mu-plugins/db-safe-mode.php
- plugins/anttt/simple.php
- plugins/core-stab/index.php
- plugins/ioptimization/IOptimize.php
- plugins/TOPXOH/OH.php
- plugins/TOPXOH/wDR.php
- plugins/w0rdpr3ssnew/wp-login.php
- themes/classic/inc/index.php
- themes/seotheme/db.php
- updates.php
- e similares
Evidentemente nom é nada recomendável deixar ficheiros comprimidos e agregados em diretórios mais ou menos aleatórios de servidores públicos. Porém, tenho-o visto fazer tantas vezes (e com nomes como os procurados polos maus! XD) que nom me surpreende que tentem atacar por aí.
In Galician we don't say "No se podía saber", we say "Quem contava" and I think that's beautiful.
Information is power. But like all power, there are those who want to keep it for themselves.
Aaron Swartz (1986-2013)
Mais de um semblante, onde scintillava talento, se toldou de nuvens...
Viagens na Galliza
I. F. Silveira da Mota (1889)
Do latim scintillare, escintilar (que significa brilhar) é umha palavra viva no galego que curiosamente o Priberam parece nom recolher.
As pizzas nom som empadas sem cobertura.
Sigam-me para mais dicas de haute cuisine.
Sigam-me para mais dicas de haute cuisine.
~♡ Deus abençoe esta casa ♡~
