Рекомендации по защите движка форума vBulletin

[Serberg]

Рекомендации по защите движка форума vBulletin

В интернете есть различная информация по защите скрипта. Что тут можно сказать, хоть и говорят что скрипт обладает высокой защищенностью, но турки это опровергают. Не буду скрывать, наш форум так взламывали аж 2 раза и каким то макаром умудрились залить шел. Ну да бог с ним ... )


Итак, начну по порядку:
1. Что нужно сделать после установки скрипта - это удалить папку install из файловой системы форума (так же имеет смысл удалить файл validator.php и checksum.md5 - если они есть в корневой папке), переименовать папку панели администратора (admincp) и папку панели модератора (modcp) в произвольные имена, которые не забыть вписать в файл includes/config.php вот в этом месте:

Код:

    //    ****** PATH TO ADMIN & MODERATOR CONTROL PANELS ******
    //    This setting allows you to change the name of the folders that the admin and
    //    moderator control panels reside in. You may wish to do this for security purposes.
    //    Please note that if you change the name of the directory here, you will still need
    //    to manually change the name of the directory on the server.
$config['Misc']['admincpdir'] = 'admincp';
$config['Misc']['modcpdir'] = 'modcp';

Не забываем в config.php указать в строчке undeletable user свой ID, чтобы Ваш профиль нельзя было удалить и изменить.

Выставляем права на папки и файлы:
папки форума: 755
файлы: 644
на файлы: .htaccess - 444

2. Устанавливаем на свою учетную запись "ядренный пароль", который трудно будет взломать перебором. Так же рекомендуется устанавливать сложный пароль на базу данных, иногда взлом производят непосредственно через нее следующим образом. У примеру Вы хоститесь у компании альфа и используете виртуальный хостинг, для взлома злоумышленник покупает хостинг у той же компании что и Ваша и начинает вызнавать имя Вашей базы (т.к. обычно юзеры используют общий мускул в котором хранятся все базы) и естественно зная логин и пароль к ней можно ее слить или просто стереть все данные.

3. Заменяем папку панели администратора (admincp) на ложную админку (Fake AdminCP), это позволит всем любознательным варварам пытающимся попасть в панель админа "утереть нос". А вообще для полной надежности я бы порекомендовал установить на папку с ложной админкой и настоящей админкой пароль через файл .htpasswd. (Для тех кто не в курсе что это такое возможно выложу инструкцию при наличии времени, но могу точно сказать что в интернете по данной теме Вы найдете массу информации). Это может ввести в заблуждение человека который подумает что дополнительный пароль стоит скорее всего на настоящей админке, а если он его и взломает, то все равно останется с носом.

Если Вы имеете постоянный IP адрес в интернете, то имеет смысл установить на админку запрет входа в админку для всех IP кроме Вашего, делается это простым закидыванием в папку с админкой файла .htaccess с содержимым:

Код:

Order Deny,Allow
Deny from all
Allow from 192.168.1.1

Где 192.168.1.1 - это Ваш IP.

4. В целях безопасности имеет смысл хранить все аватары, вложения и изображения в базе данных, чтобы на них нельзя было давать прямых ссылок и нельзя было залить шел в папки с картинками. Но это может существенно повлиять на производительность системы если вес базы будет очень большой.

Если Вы всё таки решите хранить файллы в директории форума, то на нее нужно будет выставить права 0777, а для защиты этой директории залейте туда файл .htaccess с содержимым:

Код:

RemoveHandler .phtml
RemoveHandler .php
RemoveHandler .php3
RemoveHandler .php4
RemoveHandler .php5
RemoveHandler .cgi
RemoveHandler .exe
RemoveHandler .pl
RemoveHandler .asp
RemoveHandler .aspx
RemoveHandler .shtml

<Files ~ "\.php|\.phtml|\.cgi|\.exe|\.pl|\.asp|\.aspx|\.sht ml">
Order allow,deny
Deny from all
</Files>

.

Если нужно, то можно добавить свои расширения файлов, которые будут запрещены к выполнению в данной папке.

5. Закрываем доступ в папку includes путем заливки туда файла .htaccess с содержимым:

Код:

order allow, deny
deny from all

.

6. Установите плагин Инспектор файлов с помощью которого Вы сможете отслеживать изменения в файловой системе форума.

7. Защищаем форум от брута аккаунтов, делается это довольно просто. Устанавливаем хак Advanced Login System v.1.0, который после ввода данных аккаунта перенаправляет на страницу ввода капчи. Таким макаром брут аккаунтов существенно усложняется.

8. Так же стоит подумать о запрете листинга каталогов (листинг - это просмотр в браузере содержимого папок форума). Если листинг на форуме разрешен, то злоумышленник без проблем сможет увидеть названия папок вашей админки (это не самое страшное). Для того чтобы запретить листинг во всех каталогах форума нужно в корневом файле .htaccess прописать директиву:

Options -Indexes

Сохраняем изменения.

9. [Не обязательно!!!] Еще одной мерой защиты является переименование конфигурационного файла config.php и изменение его местоположения. Это затруднит злоумышленникам поиск информации о подключении к базе данных. Смотрим инструкцию Как переименовать конфигурационный файл config.php

Это пока все, если кто-то найдет дополнительные материалы по защите vBulletin отписывайтесь в теме.

Статья собрана из материалов взятых на различных сайтах, но в основном на vbsupport.org и nulled.ws.
При перепечатывании материалов статьи ссылка на данную тему обязательна.

[Serberg]

Serberg, поставил.Пишет что права пренадлежат не мне другому пользователю.Как исправить?

Если тот юзер что прописан там правами выше тебя, то зайти надо на сервер из под него и передать файл под управление тебе. Это же линух, там все в иерархической системе построено.

кстати в ней язык сменить можна?

там снизу есть меню в первом окне котором ты увидишь, написано же Language. Или ты не в теме ? ))

[Palamar]

Если тот юзер что прописан там правами выше тебя, то зайти надо на сервер из под него и передать файл под управление тебе. Это же линух, там все в иерархической системе построено.

Serberg, Например на сервер я заходу используя логин shabo(Который мне выдал мой хостинг в письме на мыло)И права тоже для этого пользователя нужно ли что то менять?Немогу поставить на htaccess права 444.

[Inferno]

Оффтоп

я заходу используя логин shabo

нужно ли что то менять?

А сам то как думаешь?!

[Palamar]

Inferno, еслиб знал не спрашивал.

[Palamar]

Если кто может помочь,ответьте.

[Serberg]

Palamar, тебе надо зайти под любым юзером по статусу выше ствоего или тем кому принадлежит файл и передать его на тебя. Если у тебя не выделенный сервер, если не VDS, если нет доступа по SSH - то сделать это не получится.

Или напиши хостеру чтобы он все сделал.

Доступно объяснил ?

[Prizrak_xxx]

"Если Вы всё таки решите хранить файллы в директории форума, то на нее нужно будет выставить права 0777, а для защиты этой директории залейте туда файл .htaccess с содержимым:"
А как это сделать? Хочу на загружаемые картинки ставить водяной знак, а для хака нужно хранение файлов в ФС. Если можно подробно.
И правильно ли я понял, что на локалке проверить gmab_waternark не получится?

[Serberg]

И правильно ли я понял, что на локалке проверить gmab_waternark не получится?

получится

А как это сделать?

1. Узнать в какую папку будут картинки сохраняться.
2. Положить туда этот файл )

ps
Некоторые особо одаренные личности могут в папку с вложениями, картинками или аватарами залить скрипт называемый шелом, который откроет дыру для взломщика. А этот файл .htaccess лежащий в папке с заливаемыми файлами просто запретит им пользоваться )

[Prizrak_xxx]

Создал отдельную папку (на локалке пробую) в админке изменил место хранения файлов, создал новый пост с фоткой, но водяной знак так и не появился...,
Из Readme
1.В основных настройках ввести ПОЛНЫЙ путь к форуму, если вы незнаете его,
скопируйте файл forumpath.php и выполните его в браузере.
- В основных настройках чего, форума или watemark?
- Где можно найти forumpath.php, перерыл локалку, не нашёл...

[Serberg]

Prizrak_xxx, если ты хак настроить не можешь, то причем тут .htaccess файл то ?

Смотри сюда: http://www.bormotuhi.net/showthread.php?t=7876

[Serberg]

Ну и может уже стоит добавить в тему то что пункт 4 и 5 из данной инструкции строго обязательны. Вчера были последствия того что на серевере не были прописаны отдельные правила для картинок и аватаров, в результате чего на форум залили шел.

Учитесь на чужих ошибках, будьте бдительны и не наступайте на грабли!!!

[weka]

Привет всем!я так понял если на папку поставить права 0777 то тогда не возможно будет залить юзерам свои авы?

[Serberg]

Привет всем!я так понял если на папку поставить права 0777 то тогда не возможно будет залить юзерам свои авы?

777 - это значит можно заливать всем и все. Погугли на тему chmod.

[djinn]

Рекомендации по защите движка форума vBulletin

Инспектор файлов что то не работает, кучу файлов закачивал, менял и т.д. , а он не реагирует...даже никаких папок и файлов не показывает...


Что не так? Расскажите...

[Serberg]

djinn, я так понимаю что дело в самом хостинге. Сервер так настроен. У меня был аналогичный случай на одном из хостингов.

ps
В данный момент на VDS он пашет отменно )

[djinn]

Спасибо за ответ, но есть какие то конкретные требования к серверу?
На моём хостинге вроде никогда проблем не было ни с чем...

[Serberg]

Спасибо за ответ, но есть какие то конкретные требования к серверу?
На моём хостинге вроде никогда проблем не было ни с чем...

Думаю самым лучшим вариантом было бы спросить самого автора: http://vbsupport.org/forum/showthread.php?t=29131

[Relax_1973]

Как в менеджере фтп(TOTALCMD ) выставить эти параметры -
1)папки форума: 755
2)файлы: 644
3)на файлы: .htaccess - 444
4)права записи на ban.list (777)

[Serberg]

Как в менеджере фтп(TOTALCMD ) выставить эти параметры -

Как изменить атрибуты (права доступа) файлов

[Mazahaka]

Как в менеджере фтп(TOTALCMD ) выставить эти параметры -
1)папки форума: 755
2)файлы: 644
3)на файлы: .htaccess - 444
4)права записи на ban.list (777)

Советую скачать filezilla на мой взгляд удобнее пользоваться

[Relax_1973]

Mazahaka,спасибо.Скачал filezilla ,нет...Лучше тотала,нет ничего,прям привык к нему.

[Relax_1973]

В общем,ничего не трогаю.делаю только это -

1. Что нужно сделать после установки скрипта - это удалить папку install из файловой системы форума (так же имеет смысл удалить файл validator.php и checksum.md5 - если они есть в корневой папке), переименовать папку панели администратора (admincp) и папку панели модератора (modcp) в произвольные имена, которые не забыть вписать в файл includes/config.php вот в этом месте:

И меняю с
$config['Misc']['admincpdir'] = 'admincp';
$config['Misc']['modcpdir'] = 'modcp';

На
$config['Misc']['admincpdir'] = 'admincp111112';
$config['Misc']['modcpdir'] = 'modcp23424';
К примеру..Название и папок,как в конфиге. И сразу ошибка -Database error

[Luvilla]

И сразу ошибка -Database error

текст ошибки покажите

[RussianSpace]

Спасибо большое, форум заклеил изнутри полностью, осталось раскрутить его)
и ещё, у меня нету в корневой директории файла .htaccess

[weka]

Спасибо большое, форум заклеил изнутри полностью, осталось раскрутить его)
и ещё, у меня нету в корневой директории файла .htaccess

возможно через фтп его не видно , посмотри через панель управления например