Бормотухи.НЕТ

Вернуться   Бормотухи.НЕТ > Web-мастеру > vBulletin 3.х > Инструкции по vBulletin
Расширенный поиск

Инструкции по vBulletin Всевозможные мануалы, FAQ и инструкции по vBulletin

Ответ
 
Опции темы Поиск в этой теме
Старый 28.01.2010, 00:05 Вверх   #1
Коварный тип
 
Аватар для Serberg
Serberg вне форума
Доп. информация
Восклицание Рекомендации по защите движка форума vBulletin

Рекомендации по защите движка форума vBulletin

В интернете есть различная информация по защите скрипта. Что тут можно сказать, хоть и говорят что скрипт обладает высокой защищенностью, но турки это опровергают. Не буду скрывать, наш форум так взламывали аж 2 раза и каким то макаром умудрились залить шел. Ну да бог с ним ... )


Итак, начну по порядку:
1. Что нужно сделать после установки скрипта - это удалить папку install из файловой системы форума (так же имеет смысл удалить файл validator.php и checksum.md5 - если они есть в корневой папке), переименовать папку панели администратора (admincp) и папку панели модератора (modcp) в произвольные имена, которые не забыть вписать в файл includes/config.php вот в этом месте:

Код:
    //    ****** PATH TO ADMIN & MODERATOR CONTROL PANELS ******
    //    This setting allows you to change the name of the folders that the admin and
    //    moderator control panels reside in. You may wish to do this for security purposes.
    //    Please note that if you change the name of the directory here, you will still need
    //    to manually change the name of the directory on the server.
$config['Misc']['admincpdir'] = 'admincp';
$config['Misc']['modcpdir'] = 'modcp';
Не забываем в config.php указать в строчке undeletable user свой ID, чтобы Ваш профиль нельзя было удалить и изменить.

Выставляем права на папки и файлы:
папки форума: 755
файлы: 644
на файлы: .htaccess - 444

2. Устанавливаем на свою учетную запись "ядренный пароль", который трудно будет взломать перебором. Так же рекомендуется устанавливать сложный пароль на базу данных, иногда взлом производят непосредственно через нее следующим образом. У примеру Вы хоститесь у компании альфа и используете виртуальный хостинг, для взлома злоумышленник покупает хостинг у той же компании что и Ваша и начинает вызнавать имя Вашей базы (т.к. обычно юзеры используют общий мускул в котором хранятся все базы) и естественно зная логин и пароль к ней можно ее слить или просто стереть все данные.

3. Заменяем папку панели администратора (admincp) на ложную админку (Fake AdminCP), это позволит всем любознательным варварам пытающимся попасть в панель админа "утереть нос". А вообще для полной надежности я бы порекомендовал установить на папку с ложной админкой и настоящей админкой пароль через файл .htpasswd. (Для тех кто не в курсе что это такое возможно выложу инструкцию при наличии времени, но могу точно сказать что в интернете по данной теме Вы найдете массу информации). Это может ввести в заблуждение человека который подумает что дополнительный пароль стоит скорее всего на настоящей админке, а если он его и взломает, то все равно останется с носом.

Если Вы имеете постоянный IP адрес в интернете, то имеет смысл установить на админку запрет входа в админку для всех IP кроме Вашего, делается это простым закидыванием в папку с админкой файла .htaccess с содержимым:

Код:
Order Deny,Allow
Deny from all
Allow from 192.168.1.1
Где 192.168.1.1 - это Ваш IP.

4.
В целях безопасности имеет смысл хранить все аватары, вложения и изображения в базе данных, чтобы на них нельзя было давать прямых ссылок и нельзя было залить шел в папки с картинками. Но это может существенно повлиять на производительность системы если вес базы будет очень большой.

Если Вы всё таки решите хранить файллы в директории форума, то на нее нужно будет выставить права 0777, а для защиты этой директории залейте туда файл .htaccess с содержимым:

Код:
RemoveHandler .phtml
RemoveHandler .php
RemoveHandler .php3
RemoveHandler .php4
RemoveHandler .php5
RemoveHandler .cgi
RemoveHandler .exe
RemoveHandler .pl
RemoveHandler .asp
RemoveHandler .aspx
RemoveHandler .shtml

<Files ~ "\.php|\.phtml|\.cgi|\.exe|\.pl|\.asp|\.aspx|\.sht ml">
Order allow,deny
Deny from all
</Files>
.

Если нужно, то можно добавить свои расширения файлов, которые будут запрещены к выполнению в данной папке.

5. Закрываем доступ в папку includes путем заливки туда файла .htaccess с содержимым:

Код:
order allow, deny
deny from all
.

6. Установите плагин Инспектор файлов с помощью которого Вы сможете отслеживать изменения в файловой системе форума.

7. Защищаем форум от брута аккаунтов, делается это довольно просто. Устанавливаем хак Advanced Login System v.1.0, который после ввода данных аккаунта перенаправляет на страницу ввода капчи. Таким макаром брут аккаунтов существенно усложняется.

8. Так же стоит подумать о запрете листинга каталогов (листинг - это просмотр в браузере содержимого папок форума). Если листинг на форуме разрешен, то злоумышленник без проблем сможет увидеть названия папок вашей админки (это не самое страшное). Для того чтобы запретить листинг во всех каталогах форума нужно в корневом файле .htaccess прописать директиву:

Options -Indexes

Сохраняем изменения.

9. [Не обязательно!!!] Еще одной мерой защиты является переименование конфигурационного файла config.php и изменение его местоположения. Это затруднит злоумышленникам поиск информации о подключении к базе данных. Смотрим инструкцию Как переименовать конфигурационный файл config.php

Это пока все, если кто-то найдет дополнительные материалы по защите vBulletin отписывайтесь в теме.


Статья собрана из материалов взятых на различных сайтах, но в основном на vbsupport.org и nulled.ws.
При перепечатывании материалов статьи ссылка на данную тему обязательна.

Последний раз редактировалось Serberg; 16.03.2012 в 18:04.. Причина: обновлено
  Ответить с цитированием
Старый 05.08.2011, 21:16 Вверх   #51
Коварный тип
 
Аватар для Serberg
Serberg вне форума
Доп. информация
По умолчанию

rush45, ну так ты зайди на ftp и поменяй какому нить файлу имя или права. Если он напишет что произошли изменения - значит пашет, если нет - то нет. Он еще и на почту письмо заряжает об изменения в ФС форума.
  Ответить с цитированием
Старый 05.08.2011, 21:21 Вверх   #52
Новичок
 
Аватар для rush45
rush45 вне форума
Доп. информация
По умолчанию

блин, не пашет, никаких изминений.. сколько было файлов столько и осталось. На мыло только первый раз письмо пришло и всё.
  Ответить с цитированием
Старый 05.08.2011, 21:50 Вверх   #53
Коварный тип
 
Аватар для Serberg
Serberg вне форума
Доп. информация
По умолчанию

rush45, он проверяет не сразу а по крону через определенный промежуток вреиени. Возможно проверка просто не прошла еше
  Ответить с цитированием
Старый 06.08.2011, 13:32 Вверх   #54
Новичок
 
Аватар для rush45
rush45 вне форума
Доп. информация
По умолчанию

А не может он не работать из-за того, что на директорию includes стоит deny from all ?
  Ответить с цитированием
Старый 06.08.2011, 15:20 Вверх   #55
Коварный тип
 
Аватар для Serberg
Serberg вне форума
Доп. информация
По умолчанию

Цитата Сообщение от rush45 Посмотреть сообщение
А не может он не работать из-за того, что на директорию includes стоит deny from all ?
deny from all его не косается, апач же нормально читает оттуда файлы такие как config.php и все остальные.
  Ответить с цитированием
Старый 06.08.2011, 15:22 Вверх   #56
Новичок
 
Аватар для rush45
rush45 вне форума
Доп. информация
По умолчанию

ясно, я подумал, мало ли, может до крона нет доступа)
значит на 3.8.6 не работает(
  Ответить с цитированием
Старый 06.08.2011, 16:34 Вверх   #57
Коварный тип
 
Аватар для Serberg
Serberg вне форума
Доп. информация
По умолчанию

Цитата Сообщение от rush45 Посмотреть сообщение
ясно, я подумал, мало ли, может до крона нет доступа)
значит на 3.8.6 не работает(
ну так запусти его вручную.
Админка - Запланированные задачи - Управление задачами - Инспектор файлов - Выполнить сейчас.
  Ответить с цитированием
Старый 06.08.2011, 21:32 Вверх   #58
Новичок
 
Аватар для rush45
rush45 вне форума
Доп. информация
По умолчанию

Цитата Сообщение от Serberg Посмотреть сообщение
ну так запусти его вручную.
Админка - Запланированные задачи - Управление задачами - Инспектор файлов - Выполнить сейчас.
да, так работает, пришло письмо на мыло о новом файле, правда я его загрузил и удалил уже давно. Но вот если через форум смотреть, то пишет что все файлы новые.
  Ответить с цитированием
Старый 06.08.2011, 21:33 Вверх   #59
Коварный тип
 
Аватар для Serberg
Serberg вне форума
Доп. информация
По умолчанию

rush45, значит либо нет доступа к крону - либо одно из двух. Что за чудо хостинг ?
  Ответить с цитированием
Старый 19.08.2011, 21:39 Вверх   #60
Коренной житель
 
Аватар для Palamar
Palamar вне форума
Доп. информация
По умолчанию

Поставил я .htpasswd и .htaccess вроди всё норм,но когда появляеться меню с просьбой вести пароль и логин,нажимаю отмена и сразу появляеться Панель администратора с просьбой ввести логин,пароль.В чём проблемма?
  Ответить с цитированием
Старый 19.08.2011, 23:15 Вверх   #61
Коварный тип
 
Аватар для Serberg
Serberg вне форума
Доп. информация
По умолчанию

Цитата Сообщение от Palamar Посмотреть сообщение
Поставил я .htpasswd и .htaccess вроди всё норм,но когда появляеться меню с просьбой вести пароль и логин,нажимаю отмена и сразу появляеться Панель администратора с просьбой ввести логин,пароль.В чём проблемма?
значит где то косяк допустил. Возможно даже в путях
  Ответить с цитированием
Cказали cпасибо:
Старый 20.08.2011, 09:03 Вверх   #62
Коренной житель
 
Аватар для Palamar
Palamar вне форума
Доп. информация
По умолчанию

Если у меня уже стоит один .htaccess как в него дописать это?

PHP код:
Order Deny,Allow
Deny from all
Allow from 192.168.1.1 
  Ответить с цитированием
Старый 20.08.2011, 09:29 Вверх   #63
Коварный тип
 
Аватар для Serberg
Serberg вне форума
Доп. информация
По умолчанию

Цитата Сообщение от Palamar Посмотреть сообщение
Если у меня уже стоит один .htaccess как в него дописать это?
Это же директивы для апача, их можно прописать ниже или выше тех что уже вписаны в имеющемся файле.
  Ответить с цитированием
Cказали cпасибо:
Старый 20.08.2011, 10:59 Вверх   #64
Коренной житель
 
Аватар для Palamar
Palamar вне форума
Доп. информация
По умолчанию

Цитата Сообщение от Serberg Посмотреть сообщение
значит где то косяк допустил. Возможно даже в путях

Serberg, вроди пути все правильно указал,еслиб не правильно окно наверно не всплывало бы,а оно всплывает требует логин пароль,нажимаю отмена и появляеться вход в админ панель.В чём ещё может быть проблема у тебя вижу сразу ошибку пишет.
  Ответить с цитированием
Старый 20.08.2011, 15:06 Вверх   #65
Коварный тип
 
Аватар для Serberg
Serberg вне форума
Доп. информация
По умолчанию

Palamar, http://vbsupport.org/forum/krfilesma...e&dlfileid=375 , тут типа видео урок по правильному создаю данной защиты.

Лично у меня эта защита на реальной админке не стоит, она тут ни к чему. Это всего лишь еще одна степень предосторожности и все. А ту защиту которую ты видишь - это типа для баранов которые смогут подобрать пароль и попадут в ложную админку ))
  Ответить с цитированием
Cказали cпасибо:
Старый 20.08.2011, 18:25 Вверх   #66
Коренной житель
 
Аватар для Palamar
Palamar вне форума
Доп. информация
По умолчанию

Serberg, когда я ставлю .htpasswd на ложную админку я почемуто перехожу на главную страницу форума,в чём причина?И не могу сменить права на файл .htaccess.
  Ответить с цитированием
Старый 20.08.2011, 19:37 Вверх   #67
Коварный тип
 
Аватар для Serberg
Serberg вне форума
Доп. информация
По умолчанию

Palamar, а права от какова пользователя стоят ? не от root случаем ?
  Ответить с цитированием
Cказали cпасибо:
Старый 20.08.2011, 20:33 Вверх   #68
Коренной житель
 
Аватар для Palamar
Palamar вне форума
Доп. информация
По умолчанию

Serberg, а как проверить?Я просто новичёк в этих делах.Спасибо за помощь.
  Ответить с цитированием
Старый 23.08.2011, 16:16 Вверх   #69
Коварный тип
 
Аватар для Serberg
Serberg вне форума
Доп. информация
По умолчанию

Цитата Сообщение от Palamar Посмотреть сообщение
Serberg, а как проверить?Я просто новичёк в этих делах.Спасибо за помощь.
Через любой нормальный FTP или sFTP клиент можно посмотреть. Там колонка соответствующая есть в которой написано кому принадлежит файл.
  Ответить с цитированием
Старый 23.08.2011, 20:17 Вверх   #70
Коренной житель
 
Аватар для Palamar
Palamar вне форума
Доп. информация
По умолчанию

Serberg, Написано Владелец/Группа 809 803.Но это наверно не то пользуюсь файлзилой.
  Ответить с цитированием
Старый 24.08.2011, 10:12 Вверх   #71
Коварный тип
 
Аватар для Serberg
Serberg вне форума
Доп. информация
По умолчанию



Не знаю как там у вас, а у нас все написано. Что и кому принадлежит. Если файл создан рутом, то обычным юзером его не изменить. Если он создан юзером - то он изменяется как угодно.
  Ответить с цитированием
Старый 24.08.2011, 12:42 Вверх   #72
Коренной житель
 
Аватар для Palamar
Palamar вне форума
Доп. информация
По умолчанию

У меня вот так.Как правильно настроить права?
  Ответить с цитированием
Старый 24.08.2011, 13:13 Вверх   #73
Коварный тип
 
Аватар для Serberg
Serberg вне форума
Доп. информация
По умолчанию

Palamar, поставь нормальный клиент WinSCP 4.3.4
  Ответить с цитированием
Старый 24.08.2011, 14:39 Вверх   #74
Коренной житель
 
Аватар для Palamar
Palamar вне форума
Доп. информация
По умолчанию

Serberg, поставил.Пишет что права пренадлежат не мне другому пользователю.Как исправить?
  Ответить с цитированием
Старый 24.08.2011, 14:39 Вверх   #75
Коренной житель
 
Аватар для Palamar
Palamar вне форума
Доп. информация
По умолчанию

кстати в ней язык сменить можна?
  Ответить с цитированием
Ответ

Метки
vbulletin, антихак, защита

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Как убрать powered by vbulletin в Title форума Serberg Инструкции по vBulletin 45 10.02.2019 01:15
Чем чревато использование пиратского движка vbulletin? Merianae vBulletin 4.x 88 24.10.2013 00:47
Обновление версий движка vBulletin orange0507 vBulletin 3.х 4 14.04.2011 15:57
Сдаю в оренду место для форума vBulletin wolf blan Доска объявлений 2 05.03.2011 15:55
Как разместить PHP код в шаблонах форума vBulletin ? Virus_f vBulletin 3.х 7 01.02.2010 18:10


Текущее время: 05:23. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2024, vBulletin Solutions, Inc. Перевод: zCarot
 

Время генерации страницы 0.24974 секунды с 12 запросами