Бормотухи.НЕТ

Вернуться   Бормотухи.НЕТ > Web-мастеру > vBulletin 3.х > Инструкции по vBulletin
Расширенный поиск

Инструкции по vBulletin Всевозможные мануалы, FAQ и инструкции по vBulletin

Ответ
 
Опции темы Поиск в этой теме
Старый 28.01.2010, 01:05 Вверх   #1
Коварный тип
 
Аватар для Serberg
Serberg вне форума
Доп. информация
Восклицание Рекомендации по защите движка форума vBulletin

Рекомендации по защите движка форума vBulletin

В интернете есть различная информация по защите скрипта. Что тут можно сказать, хоть и говорят что скрипт обладает высокой защищенностью, но турки это опровергают. Не буду скрывать, наш форум так взламывали аж 2 раза и каким то макаром умудрились залить шел. Ну да бог с ним ... )


Итак, начну по порядку:
1. Что нужно сделать после установки скрипта - это удалить папку install из файловой системы форума (так же имеет смысл удалить файл validator.php и checksum.md5 - если они есть в корневой папке), переименовать папку панели администратора (admincp) и папку панели модератора (modcp) в произвольные имена, которые не забыть вписать в файл includes/config.php вот в этом месте:

Код:
    //    ****** PATH TO ADMIN & MODERATOR CONTROL PANELS ******
    //    This setting allows you to change the name of the folders that the admin and
    //    moderator control panels reside in. You may wish to do this for security purposes.
    //    Please note that if you change the name of the directory here, you will still need
    //    to manually change the name of the directory on the server.
$config['Misc']['admincpdir'] = 'admincp';
$config['Misc']['modcpdir'] = 'modcp';
Не забываем в config.php указать в строчке undeletable user свой ID, чтобы Ваш профиль нельзя было удалить и изменить.

Выставляем права на папки и файлы:
папки форума: 755
файлы: 644
на файлы: .htaccess - 444

2. Устанавливаем на свою учетную запись "ядренный пароль", который трудно будет взломать перебором. Так же рекомендуется устанавливать сложный пароль на базу данных, иногда взлом производят непосредственно через нее следующим образом. У примеру Вы хоститесь у компании альфа и используете виртуальный хостинг, для взлома злоумышленник покупает хостинг у той же компании что и Ваша и начинает вызнавать имя Вашей базы (т.к. обычно юзеры используют общий мускул в котором хранятся все базы) и естественно зная логин и пароль к ней можно ее слить или просто стереть все данные.

3. Заменяем папку панели администратора (admincp) на ложную админку (Fake AdminCP), это позволит всем любознательным варварам пытающимся попасть в панель админа "утереть нос". А вообще для полной надежности я бы порекомендовал установить на папку с ложной админкой и настоящей админкой пароль через файл .htpasswd. (Для тех кто не в курсе что это такое возможно выложу инструкцию при наличии времени, но могу точно сказать что в интернете по данной теме Вы найдете массу информации). Это может ввести в заблуждение человека который подумает что дополнительный пароль стоит скорее всего на настоящей админке, а если он его и взломает, то все равно останется с носом.

Если Вы имеете постоянный IP адрес в интернете, то имеет смысл установить на админку запрет входа в админку для всех IP кроме Вашего, делается это простым закидыванием в папку с админкой файла .htaccess с содержимым:

Код:
Order Deny,Allow
Deny from all
Allow from 192.168.1.1
Где 192.168.1.1 - это Ваш IP.

4.
В целях безопасности имеет смысл хранить все аватары, вложения и изображения в базе данных, чтобы на них нельзя было давать прямых ссылок и нельзя было залить шел в папки с картинками. Но это может существенно повлиять на производительность системы если вес базы будет очень большой.

Если Вы всё таки решите хранить файллы в директории форума, то на нее нужно будет выставить права 0777, а для защиты этой директории залейте туда файл .htaccess с содержимым:

Код:
RemoveHandler .phtml
RemoveHandler .php
RemoveHandler .php3
RemoveHandler .php4
RemoveHandler .php5
RemoveHandler .cgi
RemoveHandler .exe
RemoveHandler .pl
RemoveHandler .asp
RemoveHandler .aspx
RemoveHandler .shtml

<Files ~ "\.php|\.phtml|\.cgi|\.exe|\.pl|\.asp|\.aspx|\.sht ml">
Order allow,deny
Deny from all
</Files>
.

Если нужно, то можно добавить свои расширения файлов, которые будут запрещены к выполнению в данной папке.

5. Закрываем доступ в папку includes путем заливки туда файла .htaccess с содержимым:

Код:
order allow, deny
deny from all
.

6. Установите плагин Инспектор файлов с помощью которого Вы сможете отслеживать изменения в файловой системе форума.

7. Защищаем форум от брута аккаунтов, делается это довольно просто. Устанавливаем хак Advanced Login System v.1.0, который после ввода данных аккаунта перенаправляет на страницу ввода капчи. Таким макаром брут аккаунтов существенно усложняется.

8. Так же стоит подумать о запрете листинга каталогов (листинг - это просмотр в браузере содержимого папок форума). Если листинг на форуме разрешен, то злоумышленник без проблем сможет увидеть названия папок вашей админки (это не самое страшное). Для того чтобы запретить листинг во всех каталогах форума нужно в корневом файле .htaccess прописать директиву:

Options -Indexes

Сохраняем изменения.

9. [Не обязательно!!!] Еще одной мерой защиты является переименование конфигурационного файла config.php и изменение его местоположения. Это затруднит злоумышленникам поиск информации о подключении к базе данных. Смотрим инструкцию Как переименовать конфигурационный файл config.php

Это пока все, если кто-то найдет дополнительные материалы по защите vBulletin отписывайтесь в теме.


Статья собрана из материалов взятых на различных сайтах, но в основном на vbsupport.org и nulled.ws.
При перепечатывании материалов статьи ссылка на данную тему обязательна.

Последний раз редактировалось Serberg; 16.03.2012 в 19:04.. Причина: обновлено
  Ответить с цитированием
Старый 27.05.2010, 10:32 Вверх   #2
Опытный пользователь
 
Аватар для ollubim
ollubim вне форума
Доп. информация
По умолчанию

переименовать папку панели администратора (admincp) и папку панели модератора (modcp) в произвольные имена, которые не забыть вписать в файл config.php
Все сделала, но при при попытке любого действия модератора форум по прежнему ищет папки с modcp. У меня 4. 02, может еще что-то нужно обновить или вписать?
Или это нужно на чистом форуме делать, где еще нет модераторов?
  Ответить с цитированием
Старый 27.05.2010, 11:34 Вверх   #3
Уважаемая личность
 
Аватар для Heon
Heon вне форума
Доп. информация
По умолчанию

Куки не пробывали чистить?
  Ответить с цитированием
Старый 27.05.2010, 11:56 Вверх   #4
Опытный пользователь
 
Аватар для ollubim
ollubim вне форума
Доп. информация
По умолчанию

Уже догадалась, спасибо
  Ответить с цитированием
Старый 30.05.2010, 13:25 Вверх   #5
Коренной житель
 
Аватар для Stelax
Stelax вне форума
Доп. информация
По умолчанию

Поставил хак Fake AdminCP v1.0.rar ложной админки.....
Решил проверить. Захожу а там на админку не похоже просто надписи на белом фоне.
Скриншот:


Подскажите как сделать, чтоб эта страничка была в стиле настоящей админки......
  Ответить с цитированием
Старый 30.05.2010, 14:33 Вверх   #6
Коварный тип
 
Аватар для Serberg
Serberg вне форума
Доп. информация
По умолчанию

JaGuaRUS 69, права на папки и файлы правильные стоят? Залил папку нормально ? Вот пример тебе fake admin.
  Ответить с цитированием
2 пользователя(ей) сказали cпасибо:
Старый 30.05.2010, 14:55 Вверх   #7
Коренной житель
 
Аватар для Stelax
Stelax вне форума
Доп. информация
По умолчанию

Serberg, у меня форум локальный, ну я обыкновенную админку переменовал и залил Fake AdminCP, вот мне так и нужно как у тебя))) мож твою дать тогда эту ложную админку???
  Ответить с цитированием
Старый 30.05.2010, 14:55 Вверх   #8
Грамотный форумчанин
 
Аватар для kadet
kadet вне форума
Доп. информация
По умолчанию

Оффтоп
  Ответить с цитированием
Старый 30.05.2010, 18:17 Вверх   #9
Коварный тип
 
Аватар для Serberg
Serberg вне форума
Доп. информация
По умолчанию

Цитата Сообщение от JaGuaRUS 69 Посмотреть сообщение
мож твою дать тогда эту ложную админку???
Fake AdminCP
  Ответить с цитированием
Старый 08.11.2010, 01:14 Вверх   #10
Коренной житель
 
Аватар для Zum07
Zum07 вне форума
Доп. информация
По умолчанию

А как поставить запрет просмотра каталогов и какие каталоги надо запретить

Последний раз редактировалось Zum07; 08.11.2010 в 01:35..
  Ответить с цитированием
Старый 08.11.2010, 07:14 Вверх   #11
Старший модератор
 
Аватар для Prometej
Prometej вне форума
Доп. информация
По умолчанию

Не совсем понял тебя: вообще, запрет доступа в какие либо каталоги делается без всяких хаков через права групп. Особенно мне не понятна вторая часть твоего вопроса: какие каталоги запретить?
Да какие хочешь, хоть весь форум, если тебе это нужно:)
А если без шуток - учись формулировать свой вопрос как можно чётче. И помни: чем яснее вопрос сформулирован, тем точнее тебе буден дан ответ.
  Ответить с цитированием
Старый 08.11.2010, 13:59 Вверх   #12
Коренной житель
 
Аватар для Zum07
Zum07 вне форума
Доп. информация
По умолчанию

Я говорю ещё к каким папкам кроме includes надо закрывать доступ
  Ответить с цитированием
Старый 08.11.2010, 15:11 Вверх   #13
::.V.I.P.::
 
Аватар для boxx
boxx вне форума
Доп. информация
По умолчанию

Цитата Сообщение от Zum07 Посмотреть сообщение
Я говорю ещё к каким папкам кроме includes надо закрывать доступ
Админку нужно спрятать и Include запретить. Больше ничего опасного на форуме особо нет.
  Ответить с цитированием
Старый 22.11.2010, 09:59 Вверх   #14
Коренной житель
 
Аватар для Demon572
Demon572 вне форума
Доп. информация
По умолчанию

Есть что-нибудь по защите 4 серии vB? Инспектор файлов в ней не работает, Advanced Login System v.1.0, работает не корректно и с глюками...
  Ответить с цитированием
Старый 27.01.2011, 20:53 Вверх   #15
Новичок
 
Аватар для igorhik
igorhik вне форума
Доп. информация
По умолчанию

Итак, начну по порядку:
1. Что нужно сделать после установки скрипта - это удалить папку install из файловой системы форума (так же имеет смысл удалить файл validator.php и checksum.md5 - если они есть в корневой папке), переименовать папку панели администратора (admincp) и папку панели модератора (modcp) в произвольные имена, которые не забыть вписать в файл config.php вот в этом месте:


$config['Misc']['admincpdir'] = 'admincp';
$config['Misc']['modcpdir'] = 'modcp';

Как только я сделал рекомендуемое , фрум сразу стал недоступен и все мои пляски ни че не увенчались, и обратно меня и пипец, переустанавливать собираюсь, версия с этого форума vBulletin v3.8.6 Final NulleD By FintMax + Patch PL1
Может кто знает в чем дело?
  Ответить с цитированием
Старый 27.01.2011, 21:28 Вверх   #16
Знаток
 
Аватар для Inferno
Inferno вне форума
Доп. информация
По умолчанию

Значит сделал что-то не то.. Верни все на место, по ftp или через панель admincp и modcp, конфигу тоже пропиши.

Последний раз редактировалось Inferno; 27.01.2011 в 21:31..
  Ответить с цитированием
Старый 27.01.2011, 21:56 Вверх   #17
Новичок
 
Аватар для igorhik
igorhik вне форума
Доп. информация
По умолчанию

Цитата Сообщение от Inferno Посмотреть сообщение
Значит сделал что-то не то.. Верни все на место, по ftp или через панель admincp и modcp, конфигу тоже пропиши.
Так уже пытался вернуть, через ftp опять все поменял, толку нет
  Ответить с цитированием
Старый 27.01.2011, 22:04 Вверх   #18
Знаток
 
Аватар для Inferno
Inferno вне форума
Доп. информация
По умолчанию

Цитата Сообщение от igorhik Посмотреть сообщение
толку нет
А /includes/config.php поправил?!
  Ответить с цитированием
Старый 27.01.2011, 23:13 Вверх   #19
Новичок
 
Аватар для igorhik
igorhik вне форума
Доп. информация
По умолчанию

Цитата Сообщение от Inferno Посмотреть сообщение
А /includes/config.php поправил?!
Ну да, я так понял там долны быть те же названия папок что и на сервере, так?

Добавлено через 25 минут 32 секунды

короче я снес форум и заново за 15 минут поставил, все повторил и работает, так что уж не знаю что я там мудрил первый раз.
тут новый вопрос, стоит ли удалять всю папку install, ведь я когда удалил install.php еще туда ставил патч PL1, а туда ведь кидал новый vbulletin-language.xml , а также далее файлы из патча, не получится ли что снеся всю папку install, я грохну и патч, я просто не особо в php понимаю, поэтому такие вопросы.
  Ответить с цитированием
Старый 28.01.2011, 00:35 Вверх   #20
Новичок
 
Аватар для igorhik
igorhik вне форума
Доп. информация
По умолчанию

Еще ребята вопросы, уж я дотошный, начал выставлять права на папки и файлы копаюсь по полной, у меня все файлы и папки в директории forum, следуя инструкции выставил сначала на все папки и файлы в forum права 644, нифига не открывается, попробовал на файлы все оставить 644, а на папки 750, тоже не работало, сделал на папки 755 , все заработало, а как правильно?
  Ответить с цитированием
Старый 28.01.2011, 00:42 Вверх   #21
Коварный тип
 
Аватар для Serberg
Serberg вне форума
Доп. информация
По умолчанию

Цитата Сообщение от igorhik Посмотреть сообщение
Еще ребята вопросы, уж я дотошный, начал выставлять права на папки и файлы копаюсь по полной, у меня все файлы и папки в директории forum, следуя инструкции выставил сначала на все папки и файлы в forum права 644, нифига не открывается, попробовал на файлы все оставить 644, а на папки 750, тоже не работало, сделал на папки 755 , все заработало, а как правильно?
Файлы 644, папки 755.
Какое это отношение имеет к названию темы ?
  Ответить с цитированием
Старый 28.01.2011, 17:59 Вверх   #22
Новичок
 
Аватар для igorhik
igorhik вне форума
Доп. информация
По умолчанию

Цитата Сообщение от Serberg Посмотреть сообщение
Файлы 644, папки 755.
Какое это отношение имеет к названию темы ?
Ну раз тут мануалы и инструкции обсуждаются, тогда другой вопрос:
скачал хак Fake AdminCP, но как его установить, ведь при импорте через панель, там должен быть файл xml
  Ответить с цитированием
Старый 28.01.2011, 19:24 Вверх   #23
Знаток
 
Аватар для Inferno
Inferno вне форума
Доп. информация
По умолчанию

При чем тут xml?
Открываем файл блокнотом info.txt, читаем..
Нажми для просмотра
Установка...
================
1) Залейте папку admincp в корень форума...
2) Поставьте права записи на ban.list (777)...
================
Для тех кто переименовал админку...
Суть хака глупа и примитивна, делал дл себя так сказать...
Собственно хаком это не назовёшь, это страничка эмитируюшая админку...
При заходе на эту страничку человек банитца и больше туда не попадает...
================

Но перед этим
Цитата Сообщение от igorhik Посмотреть сообщение
переименовать папку панели администратора (admincp) и папку панели модератора (modcp) в произвольные имена, которые не забыть вписать в файл config.php вот в этом месте:
$config['Misc']['admincpdir'] = 'admincp';
$config['Misc']['modcpdir'] = 'modcp';

Последний раз редактировалось Inferno; 28.01.2011 в 19:26..
  Ответить с цитированием
Старый 02.03.2011, 20:38 Вверх   #24
Пользователь
 
Аватар для Slimper
Slimper вне форума
Доп. информация
Вопрос

Вопрос, а как можно в Инспектор файлов исключить из проверки целую папку?

Проблема в том что стоит vB Optimise, и включен Метод кэширования "File Cache", поэтому в папки vboptimise постоянно изменяются файлы, инспектор об этом рапортует, что сбивает с толку.
  Ответить с цитированием
Старый 03.03.2011, 00:29 Вверх   #25
Коварный тип
 
Аватар для Serberg
Serberg вне форума
Доп. информация
По умолчанию

Цитата Сообщение от Slimper Посмотреть сообщение
Вопрос, а как можно в Инспектор файлов исключить из проверки целую папку?
Я этого добиться не смог. Просто снес vboptimise. К стати он особо нагрузку не снижает, уменьшается количество запросов в базу за счет файлового кэширования, которое так же влияет на производительность сервера.
  Ответить с цитированием
Cказали cпасибо:
Ответ

Метки
vbulletin, антихак, защита


Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Как убрать powered by vbulletin в Title форума Serberg Инструкции по vBulletin 45 10.02.2019 02:15
Чем чревато использование пиратского движка vbulletin? Merianae vBulletin 4.x 88 24.10.2013 01:47
Обновление версий движка vBulletin orange0507 vBulletin 3.х 4 14.04.2011 16:57
Сдаю в оренду место для форума vBulletin wolf blan Доска объявлений 2 05.03.2011 16:55
Как разместить PHP код в шаблонах форума vBulletin ? Virus_f vBulletin 3.х 7 01.02.2010 19:10


Текущее время: 01:57. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2024, vBulletin Solutions, Inc. Перевод: zCarot
 

Время генерации страницы 0.23356 секунды с 14 запросами