Бормотухи.НЕТ

Вернуться   Бормотухи.НЕТ > Web-мастеру > vBulletin 3.х > Инструкции по vBulletin
Расширенный поиск

Инструкции по vBulletin Всевозможные мануалы, FAQ и инструкции по vBulletin

Ответ
 
Опции темы Поиск в этой теме
Старый 28.01.2010, 00:05 Вверх   #1
Коварный тип
 
Аватар для Serberg
Serberg вне форума
Доп. информация
Восклицание Рекомендации по защите движка форума vBulletin

Рекомендации по защите движка форума vBulletin

В интернете есть различная информация по защите скрипта. Что тут можно сказать, хоть и говорят что скрипт обладает высокой защищенностью, но турки это опровергают. Не буду скрывать, наш форум так взламывали аж 2 раза и каким то макаром умудрились залить шел. Ну да бог с ним ... )


Итак, начну по порядку:
1. Что нужно сделать после установки скрипта - это удалить папку install из файловой системы форума (так же имеет смысл удалить файл validator.php и checksum.md5 - если они есть в корневой папке), переименовать папку панели администратора (admincp) и папку панели модератора (modcp) в произвольные имена, которые не забыть вписать в файл includes/config.php вот в этом месте:

Код:
    //    ****** PATH TO ADMIN & MODERATOR CONTROL PANELS ******
    //    This setting allows you to change the name of the folders that the admin and
    //    moderator control panels reside in. You may wish to do this for security purposes.
    //    Please note that if you change the name of the directory here, you will still need
    //    to manually change the name of the directory on the server.
$config['Misc']['admincpdir'] = 'admincp';
$config['Misc']['modcpdir'] = 'modcp';
Не забываем в config.php указать в строчке undeletable user свой ID, чтобы Ваш профиль нельзя было удалить и изменить.

Выставляем права на папки и файлы:
папки форума: 755
файлы: 644
на файлы: .htaccess - 444

2. Устанавливаем на свою учетную запись "ядренный пароль", который трудно будет взломать перебором. Так же рекомендуется устанавливать сложный пароль на базу данных, иногда взлом производят непосредственно через нее следующим образом. У примеру Вы хоститесь у компании альфа и используете виртуальный хостинг, для взлома злоумышленник покупает хостинг у той же компании что и Ваша и начинает вызнавать имя Вашей базы (т.к. обычно юзеры используют общий мускул в котором хранятся все базы) и естественно зная логин и пароль к ней можно ее слить или просто стереть все данные.

3. Заменяем папку панели администратора (admincp) на ложную админку (Fake AdminCP), это позволит всем любознательным варварам пытающимся попасть в панель админа "утереть нос". А вообще для полной надежности я бы порекомендовал установить на папку с ложной админкой и настоящей админкой пароль через файл .htpasswd. (Для тех кто не в курсе что это такое возможно выложу инструкцию при наличии времени, но могу точно сказать что в интернете по данной теме Вы найдете массу информации). Это может ввести в заблуждение человека который подумает что дополнительный пароль стоит скорее всего на настоящей админке, а если он его и взломает, то все равно останется с носом.

Если Вы имеете постоянный IP адрес в интернете, то имеет смысл установить на админку запрет входа в админку для всех IP кроме Вашего, делается это простым закидыванием в папку с админкой файла .htaccess с содержимым:

Код:
Order Deny,Allow
Deny from all
Allow from 192.168.1.1
Где 192.168.1.1 - это Ваш IP.

4.
В целях безопасности имеет смысл хранить все аватары, вложения и изображения в базе данных, чтобы на них нельзя было давать прямых ссылок и нельзя было залить шел в папки с картинками. Но это может существенно повлиять на производительность системы если вес базы будет очень большой.

Если Вы всё таки решите хранить файллы в директории форума, то на нее нужно будет выставить права 0777, а для защиты этой директории залейте туда файл .htaccess с содержимым:

Код:
RemoveHandler .phtml
RemoveHandler .php
RemoveHandler .php3
RemoveHandler .php4
RemoveHandler .php5
RemoveHandler .cgi
RemoveHandler .exe
RemoveHandler .pl
RemoveHandler .asp
RemoveHandler .aspx
RemoveHandler .shtml

<Files ~ "\.php|\.phtml|\.cgi|\.exe|\.pl|\.asp|\.aspx|\.sht ml">
Order allow,deny
Deny from all
</Files>
.

Если нужно, то можно добавить свои расширения файлов, которые будут запрещены к выполнению в данной папке.

5. Закрываем доступ в папку includes путем заливки туда файла .htaccess с содержимым:

Код:
order allow, deny
deny from all
.

6. Установите плагин Инспектор файлов с помощью которого Вы сможете отслеживать изменения в файловой системе форума.

7. Защищаем форум от брута аккаунтов, делается это довольно просто. Устанавливаем хак Advanced Login System v.1.0, который после ввода данных аккаунта перенаправляет на страницу ввода капчи. Таким макаром брут аккаунтов существенно усложняется.

8. Так же стоит подумать о запрете листинга каталогов (листинг - это просмотр в браузере содержимого папок форума). Если листинг на форуме разрешен, то злоумышленник без проблем сможет увидеть названия папок вашей админки (это не самое страшное). Для того чтобы запретить листинг во всех каталогах форума нужно в корневом файле .htaccess прописать директиву:

Options -Indexes

Сохраняем изменения.

9. [Не обязательно!!!] Еще одной мерой защиты является переименование конфигурационного файла config.php и изменение его местоположения. Это затруднит злоумышленникам поиск информации о подключении к базе данных. Смотрим инструкцию Как переименовать конфигурационный файл config.php

Это пока все, если кто-то найдет дополнительные материалы по защите vBulletin отписывайтесь в теме.


Статья собрана из материалов взятых на различных сайтах, но в основном на vbsupport.org и nulled.ws.
При перепечатывании материалов статьи ссылка на данную тему обязательна.

Последний раз редактировалось Serberg; 16.03.2012 в 18:04.. Причина: обновлено
  Ответить с цитированием
Старый 25.08.2011, 01:19 Вверх   #76
Коварный тип
 
Аватар для Serberg
Serberg вне форума
Доп. информация
По умолчанию

Цитата Сообщение от Palamar Посмотреть сообщение
Serberg, поставил.Пишет что права пренадлежат не мне другому пользователю.Как исправить?
Если тот юзер что прописан там правами выше тебя, то зайти надо на сервер из под него и передать файл под управление тебе. Это же линух, там все в иерархической системе построено.

Цитата Сообщение от Palamar Посмотреть сообщение
кстати в ней язык сменить можна?
там снизу есть меню в первом окне котором ты увидишь, написано же Language. Или ты не в теме ? ))
  Ответить с цитированием
Cказали cпасибо:
Старый 26.08.2011, 19:28 Вверх   #77
Коренной житель
 
Аватар для Palamar
Palamar вне форума
Доп. информация
По умолчанию

Цитата Сообщение от Serberg Посмотреть сообщение
Если тот юзер что прописан там правами выше тебя, то зайти надо на сервер из под него и передать файл под управление тебе. Это же линух, там все в иерархической системе построено.
Serberg, Например на сервер я заходу используя логин shabo(Который мне выдал мой хостинг в письме на мыло)И права тоже для этого пользователя нужно ли что то менять?Немогу поставить на htaccess права 444.
  Ответить с цитированием
Старый 26.08.2011, 21:48 Вверх   #78
Знаток
 
Аватар для Inferno
Inferno вне форума
Доп. информация
По умолчанию

Оффтоп
  Ответить с цитированием
Старый 26.08.2011, 22:12 Вверх   #79
Коренной житель
 
Аватар для Palamar
Palamar вне форума
Доп. информация
По умолчанию

Inferno, еслиб знал не спрашивал.
  Ответить с цитированием
Старый 26.08.2011, 23:12 Вверх   #80
Коренной житель
 
Аватар для Palamar
Palamar вне форума
Доп. информация
По умолчанию

Если кто может помочь,ответьте.
  Ответить с цитированием
Старый 27.08.2011, 00:04 Вверх   #81
Коварный тип
 
Аватар для Serberg
Serberg вне форума
Доп. информация
По умолчанию

Palamar, тебе надо зайти под любым юзером по статусу выше ствоего или тем кому принадлежит файл и передать его на тебя. Если у тебя не выделенный сервер, если не VDS, если нет доступа по SSH - то сделать это не получится.

Или напиши хостеру чтобы он все сделал.

Доступно объяснил ?
  Ответить с цитированием
Старый 28.10.2011, 03:07 Вверх   #82
Местный житель
 
Аватар для Prizrak_xxx
Prizrak_xxx вне форума
Доп. информация
По умолчанию

"Если Вы всё таки решите хранить файллы в директории форума, то на нее нужно будет выставить права 0777, а для защиты этой директории залейте туда файл .htaccess с содержимым:"
А как это сделать? Хочу на загружаемые картинки ставить водяной знак, а для хака нужно хранение файлов в ФС. Если можно подробно.
И правильно ли я понял, что на локалке проверить gmab_waternark не получится?

Последний раз редактировалось Prizrak_xxx; 28.10.2011 в 03:11..
  Ответить с цитированием
Старый 28.10.2011, 12:55 Вверх   #83
Коварный тип
 
Аватар для Serberg
Serberg вне форума
Доп. информация
По умолчанию

Цитата Сообщение от Prizrak_xxx Посмотреть сообщение
И правильно ли я понял, что на локалке проверить gmab_waternark не получится?
получится


Цитата Сообщение от Prizrak_xxx Посмотреть сообщение
А как это сделать?
1. Узнать в какую папку будут картинки сохраняться.
2. Положить туда этот файл )

ps
Некоторые особо одаренные личности могут в папку с вложениями, картинками или аватарами залить скрипт называемый шелом, который откроет дыру для взломщика. А этот файл .htaccess лежащий в папке с заливаемыми файлами просто запретит им пользоваться )
  Ответить с цитированием
Старый 29.10.2011, 00:28 Вверх   #84
Местный житель
 
Аватар для Prizrak_xxx
Prizrak_xxx вне форума
Доп. информация
По умолчанию

Создал отдельную папку (на локалке пробую) в админке изменил место хранения файлов, создал новый пост с фоткой, но водяной знак так и не появился...,
Из Readme
1.В основных настройках ввести ПОЛНЫЙ путь к форуму, если вы незнаете его,
скопируйте файл forumpath.php и выполните его в браузере.

- В основных настройках чего, форума или watemark?
- Где можно найти forumpath.php, перерыл локалку, не нашёл...

Последний раз редактировалось Prizrak_xxx; 29.10.2011 в 00:47..
  Ответить с цитированием
Старый 29.10.2011, 10:23 Вверх   #85
Коварный тип
 
Аватар для Serberg
Serberg вне форума
Доп. информация
По умолчанию

Prizrak_xxx, если ты хак настроить не можешь, то причем тут .htaccess файл то ?

Смотри сюда: http://www.bormotuhi.net/showthread.php?t=7876
  Ответить с цитированием
Старый 15.11.2011, 12:19 Вверх   #86
Коварный тип
 
Аватар для Serberg
Serberg вне форума
Доп. информация
По умолчанию

Ну и может уже стоит добавить в тему то что пункт 4 и 5 из данной инструкции строго обязательны. Вчера были последствия того что на серевере не были прописаны отдельные правила для картинок и аватаров, в результате чего на форум залили шел.

Учитесь на чужих ошибках, будьте бдительны и не наступайте на грабли!!!
  Ответить с цитированием
2 пользователя(ей) сказали cпасибо:
Старый 19.11.2011, 08:49 Вверх   #87
Коренной житель
 
Аватар для weka
weka вне форума
Доп. информация
По умолчанию

Привет всем!я так понял если на папку поставить права 0777 то тогда не возможно будет залить юзерам свои авы?
  Ответить с цитированием
Старый 19.11.2011, 09:09 Вверх   #88
Коварный тип
 
Аватар для Serberg
Serberg вне форума
Доп. информация
По умолчанию

Цитата Сообщение от weka Посмотреть сообщение
Привет всем!я так понял если на папку поставить права 0777 то тогда не возможно будет залить юзерам свои авы?
777 - это значит можно заливать всем и все. Погугли на тему chmod.
  Ответить с цитированием
Cказали cпасибо:
Старый 22.11.2011, 23:46 Вверх   #89
Новичок
 
Аватар для djinn
djinn вне форума
Доп. информация
По умолчанию

Цитата Сообщение от Serberg Посмотреть сообщение
Рекомендации по защите движка форума vBulletin
Инспектор файлов что то не работает, кучу файлов закачивал, менял и т.д. , а он не реагирует...даже никаких папок и файлов не показывает...


Что не так? Расскажите...
  Ответить с цитированием
Старый 23.11.2011, 00:20 Вверх   #90
Коварный тип
 
Аватар для Serberg
Serberg вне форума
Доп. информация
По умолчанию

djinn, я так понимаю что дело в самом хостинге. Сервер так настроен. У меня был аналогичный случай на одном из хостингов.

ps
В данный момент на VDS он пашет отменно )
  Ответить с цитированием
Старый 23.11.2011, 00:49 Вверх   #91
Новичок
 
Аватар для djinn
djinn вне форума
Доп. информация
По умолчанию

Спасибо за ответ, но есть какие то конкретные требования к серверу?
На моём хостинге вроде никогда проблем не было ни с чем...
  Ответить с цитированием
Старый 23.11.2011, 10:40 Вверх   #92
Коварный тип
 
Аватар для Serberg
Serberg вне форума
Доп. информация
По умолчанию

Цитата Сообщение от djinn Посмотреть сообщение
Спасибо за ответ, но есть какие то конкретные требования к серверу?
На моём хостинге вроде никогда проблем не было ни с чем...
Думаю самым лучшим вариантом было бы спросить самого автора: http://vbsupport.org/forum/showthread.php?t=29131
  Ответить с цитированием
Старый 10.01.2012, 15:21 Вверх   #93
Пользователь
 
Аватар для Relax_1973
Relax_1973 вне форума
Доп. информация
По умолчанию

Как в менеджере фтп(TOTALCMD ) выставить эти параметры -
1)папки форума: 755
2)файлы: 644
3)на файлы: .htaccess - 444
4)права записи на ban.list (777)
  Ответить с цитированием
Старый 10.01.2012, 15:52 Вверх   #94
Коварный тип
 
Аватар для Serberg
Serberg вне форума
Доп. информация
По умолчанию

Цитата Сообщение от Relax_1973 Посмотреть сообщение
Как в менеджере фтп(TOTALCMD ) выставить эти параметры -
Как изменить атрибуты (права доступа) файлов
  Ответить с цитированием
Cказали cпасибо:
Старый 10.01.2012, 18:00 Вверх   #95
Местный житель
 
Аватар для Mazahaka
Mazahaka вне форума
Доп. информация
По умолчанию

Цитата Сообщение от Relax_1973 Посмотреть сообщение
Как в менеджере фтп(TOTALCMD ) выставить эти параметры -
1)папки форума: 755
2)файлы: 644
3)на файлы: .htaccess - 444
4)права записи на ban.list (777)
Советую скачать filezilla на мой взгляд удобнее пользоваться
  Ответить с цитированием
Старый 10.01.2012, 21:45 Вверх   #96
Пользователь
 
Аватар для Relax_1973
Relax_1973 вне форума
Доп. информация
По умолчанию

Mazahaka,спасибо.Скачал filezilla ,нет...Лучше тотала,нет ничего,прям привык к нему.
  Ответить с цитированием
Старый 11.01.2012, 08:00 Вверх   #97
Пользователь
 
Аватар для Relax_1973
Relax_1973 вне форума
Доп. информация
По умолчанию

В общем,ничего не трогаю.делаю только это -

1. Что нужно сделать после установки скрипта - это удалить папку install из файловой системы форума (так же имеет смысл удалить файл validator.php и checksum.md5 - если они есть в корневой папке), переименовать папку панели администратора (admincp) и папку панели модератора (modcp) в произвольные имена, которые не забыть вписать в файл includes/config.php вот в этом месте:

И меняю с
$config['Misc']['admincpdir'] = 'admincp';
$config['Misc']['modcpdir'] = 'modcp';

На
$config['Misc']['admincpdir'] = 'admincp111112';
$config['Misc']['modcpdir'] = 'modcp23424';
К примеру..Название и папок,как в конфиге. И сразу ошибка -Database error

Последний раз редактировалось Relax_1973; 11.01.2012 в 11:09..
  Ответить с цитированием
Старый 11.01.2012, 13:28 Вверх   #98
Просто блондинка
 
Аватар для Luvilla
Luvilla вне форума
Доп. информация
По умолчанию

Цитата Сообщение от Relax_1973 Посмотреть сообщение
И сразу ошибка -Database error
текст ошибки покажите
  Ответить с цитированием
Старый 19.12.2012, 11:46 Вверх   #99
Коренной житель
 
Аватар для RussianSpace
RussianSpace вне форума
Доп. информация
По умолчанию

Спасибо большое, форум заклеил изнутри полностью, осталось раскрутить его)
и ещё, у меня нету в корневой директории файла .htaccess
  Ответить с цитированием
Старый 19.12.2012, 12:16 Вверх   #100
Коренной житель
 
Аватар для weka
weka вне форума
Доп. информация
По умолчанию

Цитата Сообщение от RussianSpace Посмотреть сообщение
Спасибо большое, форум заклеил изнутри полностью, осталось раскрутить его)
и ещё, у меня нету в корневой директории файла .htaccess
возможно через фтп его не видно , посмотри через панель управления например
  Ответить с цитированием
Ответ

Метки
vbulletin, антихак, защита

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Как убрать powered by vbulletin в Title форума Serberg Инструкции по vBulletin 45 10.02.2019 01:15
Чем чревато использование пиратского движка vbulletin? Merianae vBulletin 4.x 88 24.10.2013 00:47
Обновление версий движка vBulletin orange0507 vBulletin 3.х 4 14.04.2011 15:57
Сдаю в оренду место для форума vBulletin wolf blan Доска объявлений 2 05.03.2011 15:55
Как разместить PHP код в шаблонах форума vBulletin ? Virus_f vBulletin 3.х 7 01.02.2010 18:10


Текущее время: 22:16. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2024, vBulletin Solutions, Inc. Перевод: zCarot
 

Время генерации страницы 0.22780 секунды с 12 запросами