|
|
Инструкции по vBulletin Всевозможные мануалы, FAQ и инструкции по vBulletin |
|
Опции темы | Поиск в этой теме |
28.01.2010, 01:05 Вверх | #1 | |||
Коварный тип
|
Рекомендации по защите движка форума vBulletin
Рекомендации по защите движка форума vBulletin
В интернете есть различная информация по защите скрипта. Что тут можно сказать, хоть и говорят что скрипт обладает высокой защищенностью, но турки это опровергают. Не буду скрывать, наш форум так взламывали аж 2 раза и каким то макаром умудрились залить шел. Ну да бог с ним ... ) Итак, начну по порядку: 1. Что нужно сделать после установки скрипта - это удалить папку install из файловой системы форума (так же имеет смысл удалить файл validator.php и checksum.md5 - если они есть в корневой папке), переименовать папку панели администратора (admincp) и папку панели модератора (modcp) в произвольные имена, которые не забыть вписать в файл includes/config.php вот в этом месте: Код:
// ****** PATH TO ADMIN & MODERATOR CONTROL PANELS ****** // This setting allows you to change the name of the folders that the admin and // moderator control panels reside in. You may wish to do this for security purposes. // Please note that if you change the name of the directory here, you will still need // to manually change the name of the directory on the server. $config['Misc']['admincpdir'] = 'admincp'; $config['Misc']['modcpdir'] = 'modcp'; Выставляем права на папки и файлы: папки форума: 755 файлы: 644 на файлы: .htaccess - 444 2. Устанавливаем на свою учетную запись "ядренный пароль", который трудно будет взломать перебором. Так же рекомендуется устанавливать сложный пароль на базу данных, иногда взлом производят непосредственно через нее следующим образом. У примеру Вы хоститесь у компании альфа и используете виртуальный хостинг, для взлома злоумышленник покупает хостинг у той же компании что и Ваша и начинает вызнавать имя Вашей базы (т.к. обычно юзеры используют общий мускул в котором хранятся все базы) и естественно зная логин и пароль к ней можно ее слить или просто стереть все данные. 3. Заменяем папку панели администратора (admincp) на ложную админку (Fake AdminCP), это позволит всем любознательным варварам пытающимся попасть в панель админа "утереть нос". А вообще для полной надежности я бы порекомендовал установить на папку с ложной админкой и настоящей админкой пароль через файл .htpasswd. (Для тех кто не в курсе что это такое возможно выложу инструкцию при наличии времени, но могу точно сказать что в интернете по данной теме Вы найдете массу информации). Это может ввести в заблуждение человека который подумает что дополнительный пароль стоит скорее всего на настоящей админке, а если он его и взломает, то все равно останется с носом. Если Вы имеете постоянный IP адрес в интернете, то имеет смысл установить на админку запрет входа в админку для всех IP кроме Вашего, делается это простым закидыванием в папку с админкой файла .htaccess с содержимым: Код:
Order Deny,Allow Deny from all Allow from 192.168.1.1 4. В целях безопасности имеет смысл хранить все аватары, вложения и изображения в базе данных, чтобы на них нельзя было давать прямых ссылок и нельзя было залить шел в папки с картинками. Но это может существенно повлиять на производительность системы если вес базы будет очень большой. Если Вы всё таки решите хранить файллы в директории форума, то на нее нужно будет выставить права 0777, а для защиты этой директории залейте туда файл .htaccess с содержимым: Код:
RemoveHandler .phtml RemoveHandler .php RemoveHandler .php3 RemoveHandler .php4 RemoveHandler .php5 RemoveHandler .cgi RemoveHandler .exe RemoveHandler .pl RemoveHandler .asp RemoveHandler .aspx RemoveHandler .shtml <Files ~ "\.php|\.phtml|\.cgi|\.exe|\.pl|\.asp|\.aspx|\.sht ml"> Order allow,deny Deny from all </Files> Если нужно, то можно добавить свои расширения файлов, которые будут запрещены к выполнению в данной папке. 5. Закрываем доступ в папку includes путем заливки туда файла .htaccess с содержимым: Код:
order allow, deny deny from all 6. Установите плагин Инспектор файлов с помощью которого Вы сможете отслеживать изменения в файловой системе форума. 7. Защищаем форум от брута аккаунтов, делается это довольно просто. Устанавливаем хак Advanced Login System v.1.0, который после ввода данных аккаунта перенаправляет на страницу ввода капчи. Таким макаром брут аккаунтов существенно усложняется. 8. Так же стоит подумать о запрете листинга каталогов (листинг - это просмотр в браузере содержимого папок форума). Если листинг на форуме разрешен, то злоумышленник без проблем сможет увидеть названия папок вашей админки (это не самое страшное). Для того чтобы запретить листинг во всех каталогах форума нужно в корневом файле .htaccess прописать директиву: Options -Indexes Сохраняем изменения. 9. [Не обязательно!!!] Еще одной мерой защиты является переименование конфигурационного файла config.php и изменение его местоположения. Это затруднит злоумышленникам поиск информации о подключении к базе данных. Смотрим инструкцию Как переименовать конфигурационный файл config.php Это пока все, если кто-то найдет дополнительные материалы по защите vBulletin отписывайтесь в теме. Статья собрана из материалов взятых на различных сайтах, но в основном на vbsupport.org и nulled.ws. При перепечатывании материалов статьи ссылка на данную тему обязательна. |
|||
Последний раз редактировалось Serberg; 16.03.2012 в 19:04.. Причина: обновлено |
||||
54 пользователя(ей) сказали cпасибо: | Ach1les, alenapike, Alien214, banditBOROV, bbegles, bulkinnic1, cassper, cisco, dhonchik, dimsik, DJ NIKOLAY-D, Dobry, dotka2ru, Electro*Boy, Excalibur, fr1stok, Glazz, Glebon, GoldenBest, himichcom, igoris26, IRIDON, kadet, KaZaX, kep, LEXS, Melaf, mrRadik, ollubim, Overburn, Palamar, PaSaD, Prizrak_xxx, Prometej, Rak, ROMIX, romul, Samir-05, sber, Singer, Soap, soleg, spenfor, starichenko, Stelax, stepan83, TAIFUN, Terminator, Vandal, vitas1987, vkams, weka, westbam, WinWoolF |
20.12.2012, 13:31 Вверх | #104 | |||
Знаток
|
|
|||
04.02.2013, 12:31 Вверх | #106 | |||
Уважаемая личность
|
Ребят, такой вопрос: в последнее время, очень часто, начали в файлы index.php и регистрации внедрять такой код:
PHP код:
Как закрыться? Инспектор хоть и предупреждает, но не всегда могу вовремя среагировать. |
|||
04.02.2013, 16:14 Вверх | #110 | |||
Просто блондинка
|
Vandal, во-первых, стоит уязвимая версия "простых страниц" - бегом фиксить
после этого принудительно сменить пароли всему админско-модерскому составу проверить на наличие "левых" модулей, особенно на аяксе и на факе искать шелла - он точно есть |
|||
Cказали cпасибо: |
14.02.2013, 13:03 Вверх | #114 | |||
Просто блондинка
|
интересный вопрос...
ещё более интересный вопрос...)) === насколько мне известно, в языковом пакете нет фразы о слишком длинном пароле кроме того, надо понимать, как вообще работает сохранение пароля в вобле 1. нет никакой разницы, чей это пароль, админский, модерский или юзерский 2. при регистрации или смене пароля движок производит некоторые манипуляции с введенным паролем - заворачивает его в мд5, добавляет соль и снова заворачивает в мд5 в результате этих манипуляций получается 32-х символьный хеш, который и записывается в поле password в таблице user таким образом, не имеет значения, был пароль 111 или первая глава "Войны и мира" - в таблицу запишется 32 символа хеша, не больше |
|||
11.03.2013, 00:37 Вверх | #116 | |||
Новичок
|
Поставил Advanced_login_system(Капча при входе) Наверное кодировкой ошибся,теперь я никак не могу зайти на форум,даже в админ панель,чтобы выключить.Подскажите пожалуйста,что делать?
|
|||
17.12.2013, 23:25 Вверх | #120 | |||
Пользователь
|
|
|||
Метки |
vbulletin, антихак, защита |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Как убрать powered by vbulletin в Title форума | Serberg | Инструкции по vBulletin | 45 | 10.02.2019 02:15 |
Чем чревато использование пиратского движка vbulletin? | Merianae | vBulletin 4.x | 88 | 24.10.2013 01:47 |
Обновление версий движка vBulletin | orange0507 | vBulletin 3.х | 4 | 14.04.2011 16:57 |
Сдаю в оренду место для форума vBulletin | wolf blan | Доска объявлений | 2 | 05.03.2011 16:55 |
Как разместить PHP код в шаблонах форума vBulletin ? | Virus_f | vBulletin 3.х | 7 | 01.02.2010 19:10 |