|
|
Инструкции по vBulletin Всевозможные мануалы, FAQ и инструкции по vBulletin |
|
Опции темы | Поиск в этой теме |
28.01.2010, 01:05 Вверх | #1 | |||
Коварный тип
|
Рекомендации по защите движка форума vBulletin
Рекомендации по защите движка форума vBulletin
В интернете есть различная информация по защите скрипта. Что тут можно сказать, хоть и говорят что скрипт обладает высокой защищенностью, но турки это опровергают. Не буду скрывать, наш форум так взламывали аж 2 раза и каким то макаром умудрились залить шел. Ну да бог с ним ... ) Итак, начну по порядку: 1. Что нужно сделать после установки скрипта - это удалить папку install из файловой системы форума (так же имеет смысл удалить файл validator.php и checksum.md5 - если они есть в корневой папке), переименовать папку панели администратора (admincp) и папку панели модератора (modcp) в произвольные имена, которые не забыть вписать в файл includes/config.php вот в этом месте: Код:
// ****** PATH TO ADMIN & MODERATOR CONTROL PANELS ****** // This setting allows you to change the name of the folders that the admin and // moderator control panels reside in. You may wish to do this for security purposes. // Please note that if you change the name of the directory here, you will still need // to manually change the name of the directory on the server. $config['Misc']['admincpdir'] = 'admincp'; $config['Misc']['modcpdir'] = 'modcp'; Выставляем права на папки и файлы: папки форума: 755 файлы: 644 на файлы: .htaccess - 444 2. Устанавливаем на свою учетную запись "ядренный пароль", который трудно будет взломать перебором. Так же рекомендуется устанавливать сложный пароль на базу данных, иногда взлом производят непосредственно через нее следующим образом. У примеру Вы хоститесь у компании альфа и используете виртуальный хостинг, для взлома злоумышленник покупает хостинг у той же компании что и Ваша и начинает вызнавать имя Вашей базы (т.к. обычно юзеры используют общий мускул в котором хранятся все базы) и естественно зная логин и пароль к ней можно ее слить или просто стереть все данные. 3. Заменяем папку панели администратора (admincp) на ложную админку (Fake AdminCP), это позволит всем любознательным варварам пытающимся попасть в панель админа "утереть нос". А вообще для полной надежности я бы порекомендовал установить на папку с ложной админкой и настоящей админкой пароль через файл .htpasswd. (Для тех кто не в курсе что это такое возможно выложу инструкцию при наличии времени, но могу точно сказать что в интернете по данной теме Вы найдете массу информации). Это может ввести в заблуждение человека который подумает что дополнительный пароль стоит скорее всего на настоящей админке, а если он его и взломает, то все равно останется с носом. Если Вы имеете постоянный IP адрес в интернете, то имеет смысл установить на админку запрет входа в админку для всех IP кроме Вашего, делается это простым закидыванием в папку с админкой файла .htaccess с содержимым: Код:
Order Deny,Allow Deny from all Allow from 192.168.1.1 4. В целях безопасности имеет смысл хранить все аватары, вложения и изображения в базе данных, чтобы на них нельзя было давать прямых ссылок и нельзя было залить шел в папки с картинками. Но это может существенно повлиять на производительность системы если вес базы будет очень большой. Если Вы всё таки решите хранить файллы в директории форума, то на нее нужно будет выставить права 0777, а для защиты этой директории залейте туда файл .htaccess с содержимым: Код:
RemoveHandler .phtml RemoveHandler .php RemoveHandler .php3 RemoveHandler .php4 RemoveHandler .php5 RemoveHandler .cgi RemoveHandler .exe RemoveHandler .pl RemoveHandler .asp RemoveHandler .aspx RemoveHandler .shtml <Files ~ "\.php|\.phtml|\.cgi|\.exe|\.pl|\.asp|\.aspx|\.sht ml"> Order allow,deny Deny from all </Files> Если нужно, то можно добавить свои расширения файлов, которые будут запрещены к выполнению в данной папке. 5. Закрываем доступ в папку includes путем заливки туда файла .htaccess с содержимым: Код:
order allow, deny deny from all 6. Установите плагин Инспектор файлов с помощью которого Вы сможете отслеживать изменения в файловой системе форума. 7. Защищаем форум от брута аккаунтов, делается это довольно просто. Устанавливаем хак Advanced Login System v.1.0, который после ввода данных аккаунта перенаправляет на страницу ввода капчи. Таким макаром брут аккаунтов существенно усложняется. 8. Так же стоит подумать о запрете листинга каталогов (листинг - это просмотр в браузере содержимого папок форума). Если листинг на форуме разрешен, то злоумышленник без проблем сможет увидеть названия папок вашей админки (это не самое страшное). Для того чтобы запретить листинг во всех каталогах форума нужно в корневом файле .htaccess прописать директиву: Options -Indexes Сохраняем изменения. 9. [Не обязательно!!!] Еще одной мерой защиты является переименование конфигурационного файла config.php и изменение его местоположения. Это затруднит злоумышленникам поиск информации о подключении к базе данных. Смотрим инструкцию Как переименовать конфигурационный файл config.php Это пока все, если кто-то найдет дополнительные материалы по защите vBulletin отписывайтесь в теме. Статья собрана из материалов взятых на различных сайтах, но в основном на vbsupport.org и nulled.ws. При перепечатывании материалов статьи ссылка на данную тему обязательна. |
|||
Последний раз редактировалось Serberg; 16.03.2012 в 19:04.. Причина: обновлено |
||||
54 пользователя(ей) сказали cпасибо: | Ach1les, alenapike, Alien214, banditBOROV, bbegles, bulkinnic1, cassper, cisco, dhonchik, dimsik, DJ NIKOLAY-D, Dobry, dotka2ru, Electro*Boy, Excalibur, fr1stok, Glazz, Glebon, GoldenBest, himichcom, igoris26, IRIDON, kadet, KaZaX, kep, LEXS, Melaf, mrRadik, ollubim, Overburn, Palamar, PaSaD, Prizrak_xxx, Prometej, Rak, ROMIX, romul, Samir-05, sber, Singer, Soap, soleg, spenfor, starichenko, Stelax, stepan83, TAIFUN, Terminator, Vandal, vitas1987, vkams, weka, westbam, WinWoolF |
05.08.2011, 22:16 Вверх | #51 | |||
Коварный тип
|
rush45, ну так ты зайди на ftp и поменяй какому нить файлу имя или права. Если он напишет что произошли изменения - значит пашет, если нет - то нет. Он еще и на почту письмо заряжает об изменения в ФС форума.
|
|||
19.08.2011, 22:39 Вверх | #60 | |||
Коренной житель
|
Поставил я .htpasswd и .htaccess вроди всё норм,но когда появляеться меню с просьбой вести пароль и логин,нажимаю отмена и сразу появляеться Панель администратора с просьбой ввести логин,пароль.В чём проблемма?
|
|||
20.08.2011, 16:06 Вверх | #65 | |||
Коварный тип
|
Palamar, http://vbsupport.org/forum/krfilesma...e&dlfileid=375 , тут типа видео урок по правильному создаю данной защиты.
Лично у меня эта защита на реальной админке не стоит, она тут ни к чему. Это всего лишь еще одна степень предосторожности и все. А ту защиту которую ты видишь - это типа для баранов которые смогут подобрать пароль и попадут в ложную админку )) |
|||
Cказали cпасибо: |
24.08.2011, 11:12 Вверх | #71 | |||
Коварный тип
|
Не знаю как там у вас, а у нас все написано. Что и кому принадлежит. Если файл создан рутом, то обычным юзером его не изменить. Если он создан юзером - то он изменяется как угодно. |
|||
24.08.2011, 14:13 Вверх | #73 | |||
Коварный тип
|
Palamar, поставь нормальный клиент WinSCP 4.3.4
|
|||
Метки |
vbulletin, антихак, защита |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Как убрать powered by vbulletin в Title форума | Serberg | Инструкции по vBulletin | 45 | 10.02.2019 02:15 |
Чем чревато использование пиратского движка vbulletin? | Merianae | vBulletin 4.x | 88 | 24.10.2013 01:47 |
Обновление версий движка vBulletin | orange0507 | vBulletin 3.х | 4 | 14.04.2011 16:57 |
Сдаю в оренду место для форума vBulletin | wolf blan | Доска объявлений | 2 | 05.03.2011 16:55 |
Как разместить PHP код в шаблонах форума vBulletin ? | Virus_f | vBulletin 3.х | 7 | 01.02.2010 19:10 |