|
|
Инструкции по vBulletin Всевозможные мануалы, FAQ и инструкции по vBulletin |
|
Опции темы | Поиск в этой теме |
28.01.2010, 01:05 Вверх | #1 | |||
Коварный тип
|
Рекомендации по защите движка форума vBulletin
Рекомендации по защите движка форума vBulletin
В интернете есть различная информация по защите скрипта. Что тут можно сказать, хоть и говорят что скрипт обладает высокой защищенностью, но турки это опровергают. Не буду скрывать, наш форум так взламывали аж 2 раза и каким то макаром умудрились залить шел. Ну да бог с ним ... ) Итак, начну по порядку: 1. Что нужно сделать после установки скрипта - это удалить папку install из файловой системы форума (так же имеет смысл удалить файл validator.php и checksum.md5 - если они есть в корневой папке), переименовать папку панели администратора (admincp) и папку панели модератора (modcp) в произвольные имена, которые не забыть вписать в файл includes/config.php вот в этом месте: Код:
// ****** PATH TO ADMIN & MODERATOR CONTROL PANELS ****** // This setting allows you to change the name of the folders that the admin and // moderator control panels reside in. You may wish to do this for security purposes. // Please note that if you change the name of the directory here, you will still need // to manually change the name of the directory on the server. $config['Misc']['admincpdir'] = 'admincp'; $config['Misc']['modcpdir'] = 'modcp'; Выставляем права на папки и файлы: папки форума: 755 файлы: 644 на файлы: .htaccess - 444 2. Устанавливаем на свою учетную запись "ядренный пароль", который трудно будет взломать перебором. Так же рекомендуется устанавливать сложный пароль на базу данных, иногда взлом производят непосредственно через нее следующим образом. У примеру Вы хоститесь у компании альфа и используете виртуальный хостинг, для взлома злоумышленник покупает хостинг у той же компании что и Ваша и начинает вызнавать имя Вашей базы (т.к. обычно юзеры используют общий мускул в котором хранятся все базы) и естественно зная логин и пароль к ней можно ее слить или просто стереть все данные. 3. Заменяем папку панели администратора (admincp) на ложную админку (Fake AdminCP), это позволит всем любознательным варварам пытающимся попасть в панель админа "утереть нос". А вообще для полной надежности я бы порекомендовал установить на папку с ложной админкой и настоящей админкой пароль через файл .htpasswd. (Для тех кто не в курсе что это такое возможно выложу инструкцию при наличии времени, но могу точно сказать что в интернете по данной теме Вы найдете массу информации). Это может ввести в заблуждение человека который подумает что дополнительный пароль стоит скорее всего на настоящей админке, а если он его и взломает, то все равно останется с носом. Если Вы имеете постоянный IP адрес в интернете, то имеет смысл установить на админку запрет входа в админку для всех IP кроме Вашего, делается это простым закидыванием в папку с админкой файла .htaccess с содержимым: Код:
Order Deny,Allow Deny from all Allow from 192.168.1.1 4. В целях безопасности имеет смысл хранить все аватары, вложения и изображения в базе данных, чтобы на них нельзя было давать прямых ссылок и нельзя было залить шел в папки с картинками. Но это может существенно повлиять на производительность системы если вес базы будет очень большой. Если Вы всё таки решите хранить файллы в директории форума, то на нее нужно будет выставить права 0777, а для защиты этой директории залейте туда файл .htaccess с содержимым: Код:
RemoveHandler .phtml RemoveHandler .php RemoveHandler .php3 RemoveHandler .php4 RemoveHandler .php5 RemoveHandler .cgi RemoveHandler .exe RemoveHandler .pl RemoveHandler .asp RemoveHandler .aspx RemoveHandler .shtml <Files ~ "\.php|\.phtml|\.cgi|\.exe|\.pl|\.asp|\.aspx|\.sht ml"> Order allow,deny Deny from all </Files> Если нужно, то можно добавить свои расширения файлов, которые будут запрещены к выполнению в данной папке. 5. Закрываем доступ в папку includes путем заливки туда файла .htaccess с содержимым: Код:
order allow, deny deny from all 6. Установите плагин Инспектор файлов с помощью которого Вы сможете отслеживать изменения в файловой системе форума. 7. Защищаем форум от брута аккаунтов, делается это довольно просто. Устанавливаем хак Advanced Login System v.1.0, который после ввода данных аккаунта перенаправляет на страницу ввода капчи. Таким макаром брут аккаунтов существенно усложняется. 8. Так же стоит подумать о запрете листинга каталогов (листинг - это просмотр в браузере содержимого папок форума). Если листинг на форуме разрешен, то злоумышленник без проблем сможет увидеть названия папок вашей админки (это не самое страшное). Для того чтобы запретить листинг во всех каталогах форума нужно в корневом файле .htaccess прописать директиву: Options -Indexes Сохраняем изменения. 9. [Не обязательно!!!] Еще одной мерой защиты является переименование конфигурационного файла config.php и изменение его местоположения. Это затруднит злоумышленникам поиск информации о подключении к базе данных. Смотрим инструкцию Как переименовать конфигурационный файл config.php Это пока все, если кто-то найдет дополнительные материалы по защите vBulletin отписывайтесь в теме. Статья собрана из материалов взятых на различных сайтах, но в основном на vbsupport.org и nulled.ws. При перепечатывании материалов статьи ссылка на данную тему обязательна. |
|||
Последний раз редактировалось Serberg; 16.03.2012 в 19:04.. Причина: обновлено |
||||
54 пользователя(ей) сказали cпасибо: | Ach1les, alenapike, Alien214, banditBOROV, bbegles, bulkinnic1, cassper, cisco, dhonchik, dimsik, DJ NIKOLAY-D, Dobry, dotka2ru, Electro*Boy, Excalibur, fr1stok, Glazz, Glebon, GoldenBest, himichcom, igoris26, IRIDON, kadet, KaZaX, kep, LEXS, Melaf, mrRadik, ollubim, Overburn, Palamar, PaSaD, Prizrak_xxx, Prometej, Rak, ROMIX, romul, Samir-05, sber, Singer, Soap, soleg, spenfor, starichenko, Stelax, stepan83, TAIFUN, Terminator, Vandal, vitas1987, vkams, weka, westbam, WinWoolF |
27.05.2010, 10:32 Вверх | #2 | |||
Опытный пользователь
|
Или это нужно на чистом форуме делать, где еще нет модераторов? |
|||
30.05.2010, 14:33 Вверх | #6 | |||
Коварный тип
|
JaGuaRUS 69, права на папки и файлы правильные стоят? Залил папку нормально ? Вот пример тебе fake admin.
|
|||
30.05.2010, 14:55 Вверх | #7 | |||
Коренной житель
|
Serberg, у меня форум локальный, ну я обыкновенную админку переменовал и залил Fake AdminCP, вот мне так и нужно как у тебя))) мож твою дать тогда эту ложную админку???
|
|||
30.05.2010, 18:17 Вверх | #9 | |||
Коварный тип
|
|
|||
08.11.2010, 07:14 Вверх | #11 | |||
Старший модератор
|
Не совсем понял тебя: вообще, запрет доступа в какие либо каталоги делается без всяких хаков через права групп. Особенно мне не понятна вторая часть твоего вопроса: какие каталоги запретить?
Да какие хочешь, хоть весь форум, если тебе это нужно:) А если без шуток - учись формулировать свой вопрос как можно чётче. И помни: чем яснее вопрос сформулирован, тем точнее тебе буден дан ответ. |
|||
27.01.2011, 20:53 Вверх | #15 | |||
Новичок
|
Итак, начну по порядку:
1. Что нужно сделать после установки скрипта - это удалить папку install из файловой системы форума (так же имеет смысл удалить файл validator.php и checksum.md5 - если они есть в корневой папке), переименовать папку панели администратора (admincp) и папку панели модератора (modcp) в произвольные имена, которые не забыть вписать в файл config.php вот в этом месте: $config['Misc']['admincpdir'] = 'admincp'; $config['Misc']['modcpdir'] = 'modcp'; Как только я сделал рекомендуемое , фрум сразу стал недоступен и все мои пляски ни че не увенчались, и обратно меня и пипец, переустанавливать собираюсь, версия с этого форума vBulletin v3.8.6 Final NulleD By FintMax + Patch PL1 Может кто знает в чем дело? |
|||
27.01.2011, 21:28 Вверх | #16 | |||
Знаток
|
Значит сделал что-то не то.. Верни все на место, по ftp или через панель admincp и modcp, конфигу тоже пропиши.
|
|||
Последний раз редактировалось Inferno; 27.01.2011 в 21:31.. |
||||
27.01.2011, 23:13 Вверх | #19 | |||
Новичок
|
Ну да, я так понял там долны быть те же названия папок что и на сервере, так?
Добавлено через 25 минут 32 секунды короче я снес форум и заново за 15 минут поставил, все повторил и работает, так что уж не знаю что я там мудрил первый раз. тут новый вопрос, стоит ли удалять всю папку install, ведь я когда удалил install.php еще туда ставил патч PL1, а туда ведь кидал новый vbulletin-language.xml , а также далее файлы из патча, не получится ли что снеся всю папку install, я грохну и патч, я просто не особо в php понимаю, поэтому такие вопросы. |
|||
28.01.2011, 00:35 Вверх | #20 | |||
Новичок
|
Еще ребята вопросы, уж я дотошный, начал выставлять права на папки и файлы копаюсь по полной, у меня все файлы и папки в директории forum, следуя инструкции выставил сначала на все папки и файлы в forum права 644, нифига не открывается, попробовал на файлы все оставить 644, а на папки 750, тоже не работало, сделал на папки 755 , все заработало, а как правильно?
|
|||
28.01.2011, 19:24 Вверх | #23 | |||
Знаток
|
При чем тут xml?
Открываем файл блокнотом info.txt, читаем.. Нажми для просмотра
================ 1) Залейте папку admincp в корень форума... 2) Поставьте права записи на ban.list (777)... ================ Для тех кто переименовал админку... Суть хака глупа и примитивна, делал дл себя так сказать... Собственно хаком это не назовёшь, это страничка эмитируюшая админку... При заходе на эту страничку человек банитца и больше туда не попадает... ================ Но перед этим |
|||
Последний раз редактировалось Inferno; 28.01.2011 в 19:26.. |
||||
02.03.2011, 20:38 Вверх | #24 | |||
Пользователь
|
Вопрос, а как можно в Инспектор файлов исключить из проверки целую папку?
Проблема в том что стоит vB Optimise, и включен Метод кэширования "File Cache", поэтому в папки vboptimise постоянно изменяются файлы, инспектор об этом рапортует, что сбивает с толку. |
|||
Метки |
vbulletin, антихак, защита |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Как убрать powered by vbulletin в Title форума | Serberg | Инструкции по vBulletin | 45 | 10.02.2019 02:15 |
Чем чревато использование пиратского движка vbulletin? | Merianae | vBulletin 4.x | 88 | 24.10.2013 01:47 |
Обновление версий движка vBulletin | orange0507 | vBulletin 3.х | 4 | 14.04.2011 16:57 |
Сдаю в оренду место для форума vBulletin | wolf blan | Доска объявлений | 2 | 05.03.2011 16:55 |
Как разместить PHP код в шаблонах форума vBulletin ? | Virus_f | vBulletin 3.х | 7 | 01.02.2010 19:10 |