Contra intrometidos (II)...
Nomenclatura de ficheiros a evitar nos servidores: nunca nomear ficheiros (.bak, .zip, .rar, .tar, .7z, .bz, .gz, .tar.gz, .tgz, etc) antes da extensom como
Palavras óbvias, a proibir combinadas coas extensões precedentes (p. ex. old.rar), porque é como vam procurar imediatamente de modo automático se as permissões nom lho impedem:
Devem-se evitar ficheiros que se chamem como a sua extensom, tipo zip.zip ou rar.rar
Tampouco se gerarám ficheiros privados que se chamem igual que diretórios públicos,
p. ex. se tens um www.nomedodominio.com/dados/informeanual nom gerarás um informeanual.tar.gz que for de caráter privado.
Quanto a diretórios, nomes óbvios a evitar por questom de ataques som:
Finalmente, considera que vam buscar estes diretórios e ficheiros:
wp-includes/ merece capítulo à parte, aí solicitarám entre outros:
tamém wp-admin/style.php
wp-content/ igual, dentro del vam querer:
Evidentemente nom é nada recomendável deixar ficheiros comprimidos e agregados em diretórios mais ou menos aleatórios de servidores públicos. Porém, tenho-o visto fazer tantas vezes (e com nomes como os procurados polos maus! XD) que nom me surpreende que tentem atacar por aí.
- 1, 12, 123, 1234, etc., p. ex. 123.7z
- AAAA, p. ex. 2023.bak
Palavras óbvias, a proibir combinadas coas extensões precedentes (p. ex. old.rar), porque é como vam procurar imediatamente de modo automático se as permissões nom lho impedem:
- admin
- app
- assets
- backup, backups
- blog
- cgi-bin
- code
- data
- db
- home
- htdocs, httpdocs,
- httpd
- html
- log
- master
- my
- new
- old
- pack
- php
- public
- public_html
- site, sites
- test
- website
- wp
- wp-admin
- wp-content
- wp-includes
- www
- www_nomedodominio.com
- wwwroot
Devem-se evitar ficheiros que se chamem como a sua extensom, tipo zip.zip ou rar.rar
Tampouco se gerarám ficheiros privados que se chamem igual que diretórios públicos,
p. ex. se tens um www.nomedodominio.com/dados/informeanual nom gerarás um informeanual.tar.gz que for de caráter privado.
Quanto a diretórios, nomes óbvios a evitar por questom de ataques som:
- .env
- home
- main
- new
- old
- pma
- sitemap
- test
- testing
- wordpress
- wp
- phpMyAdmin, phpmyadmin, myadmin, phpadmin, phpmdm e todas as variações que se che ocorram
- assim como cgialfa, ALFA_DATA, alfacgiapi e variantes.
Finalmente, considera que vam buscar estes diretórios e ficheiros:
- .DS_Store
- .git/config
- .well-known/traffic-advice
- css.php
- public/_ignition/health-check/
- sitemap.xml
- wp-login.php
wp-includes/ merece capítulo à parte, aí solicitarám entre outros:
- wlwmanifest.xml
- css/wp-config.php
- wp-atom.php
tamém wp-admin/style.php
wp-content/ igual, dentro del vam querer:
- db-cache.php
- mu-plugins/db-safe-mode.php
- plugins/anttt/simple.php
- plugins/core-stab/index.php
- plugins/ioptimization/IOptimize.php
- plugins/TOPXOH/OH.php
- plugins/TOPXOH/wDR.php
- plugins/w0rdpr3ssnew/wp-login.php
- themes/classic/inc/index.php
- themes/seotheme/db.php
- updates.php
- e similares
Evidentemente nom é nada recomendável deixar ficheiros comprimidos e agregados em diretórios mais ou menos aleatórios de servidores públicos. Porém, tenho-o visto fazer tantas vezes (e com nomes como os procurados polos maus! XD) que nom me surpreende que tentem atacar por aí.