Старый 23.03.2012, 21:57 #1 (Ссылка)
Аватар для Veter
Администратор
 
Регистрация: 01.01.1970
Адрес: На wmboard
Моя смс: vBulletin 3.x.x, DLE, WordPress, XenForo
Сообщений: 9,212
Записей в дневнике: 17
Сказал(а) спасибо: 2,053
Поблагодарили 2,664 раз(а) в 1,929 сообщениях
Репутация: 2674
Veter Veter вне форума
Администратор
Дополнительная информация
Восклицание

Как защитить форум на vBulletin


Данные меры обязательны для всех, кто заботится о безопасности своего ресурса, не только при установленном vbSEO, но и без него!

Возвращаясь к теме vbSEO http://wmboard.net/vbulletin/2530-na...ost-vbseo.html и к серии взломов форумов на vBulletin с установленным данным модулем можно констатитровать тот факт, что заплатка которая была выложена на vbsupport не спасает от взлома. В этом мы убедились как на собственном форуме, так и на форумах наших друзей и партнеров, которые пострадали уже после обновления vbSEO.

Можно долго дискутировать о реальной пользе vbSEO как такового, так как есть как противники данного модуля, так и поклонники, к числу которых отношу себя и я. Но в настоящий момент фактом является то, что с установленным модулем vbSEO повышается релевантность страниц в поисковых системах, и как следствие повышается трафик. Что как вы понимаете, является несомненным плюсом, в частности для молодых, развивающихся форумов необъятной сети.

Но, вернемся к нашей проблеме защиты форума на vBulletin. Серия взломов, описанная выше по ссылке заставила искать варианты решения проблемы. Тк снять vbSEO с форумов на котором работал данный модуль равносильно катастрофе. Вариант решения проблемы был найден.

К сожалению не могу сказать где как и что работает после инъекции, хотя метод взлома известен, но после проведения комплекса мер по защите движка данная уязвимость больше не работает. Поэтому в этой статье я расскажу о полном комплексе мер, которые защищают ваш форум на vBulletin.

Как защитить форум на vBulletin?

1. После установки форума на хостинг удаляем папку install, наличие которой может инициировать новую установку форума, а также файлы в корневой системе вашего форума под именами validator.php и checksum.md5 (они могут быть, а могут и не быть)

2. Пепеименовываем папку администратора и модератора (admincp и modcp). В конфиг форума прописываем новые имена ваших папок:

Код:

Блок отключен
3. В конфиге прописываем ID админа в той строке, где указывается неизменяемый и неудаляемый пользователь.

4. В корневой .htaccess дописываем строку, запрещающую изменение конфига из вне:

Код:

Блок отключен
5. Пароли в админку, на хостинг, в базу данных должны быть сложные для подбора: перебор цифр, букв, символов в разном регистре и в случайном порядке.

6. Если вложения форума хранятся в файловой системе это дополнительно ослабляет форум для злоумышленников. Но на самом деле во многих форумах вложения хранятся не в базе данных, а в файловой системе. Это связано с тем, что вложения хранящиеся в базе данных на больших старых форумах начинают тормозить его работу, и значительно повышают нагрузку на хостинг, поэтому приходится облегчать базу данных.

В папки: customavatars, customgroupicons, customprofilepics, images, signaturepics, cpstyles а также во все папки в которые осуществляются загрузки (как правило папки хаков специализирующихся на этом) заливаем .htaccess следующего содержания:

Код:

Блок отключен
7. В папку includes заливаем .htaccess следующего содержания:

Код:

Блок отключен
8. В папку вашей переименованной админки заливаем .htaccess ограничения по IP. В случае если ваш IP статический:

Код:

Блок отключен
Где 195.168.56.56 – ваш IP адрес. На некоторых хостингах подобный номер не пройдет, может не пускать админку. Есть вариант замены хаком защиты админки. На статических IP работает, на динамическом работоспособности я не добился…

8.1 Защищаем админку .htaccess если у вас динамический IP

Код:

Блок отключен
Где 195.168. первые две группы цифр вашей подсети.
В данном случае мы разрешаем вход в админку вашей подсети. Конечно рисков больше, чем если у вас был бы статический IP, но вероятность того что злоумышленник будет из вашей подсети ничтожно мала.

9. Устанавливаем хак «Инспектор файлов», который будет сообщать вам об изменении файлов в файловой системе. К сожалению файлы, добавляемые пользователями по ходу работы форума он не отслеживает.

Кроме всего вышесказанного есть возможность защиты админки двойным паролем. Об этом способе я расскажу немного позднее.

Кроме того на vBulletin 3.8.4 & 3.8.5 существует небольшая уязвимость благодаря которой злоумышленник может зарегистрироваться под админским ником и читать почту админа. Фикс: админ панель - регистрация пользователей - запрещённые имена пользователей - добавляем & # @ ' и сохраняем изменение

После всех вышеперечисленных мер защиты форума уязвимость vbSEO перестает работать!

Наличие дыр в vbSEO это еще не повод отказываться от поисковой оптимизации, и я надеюсь мы и дальше будем успешно бороться со злоумышленниками. Для тех, кто все же опасается ставить этот модуль, существует , хоть и неполноценная, но замена: хак ЧПУ и хак alt и title картинок, которые также в ближайшее время будут выложены для свободного скачивания и установки.

Обратите внимание на полезные ответы в этой теме!


Последний раз редактировалось Veter; 26.09.2013 в 21:27. Причина: изм
Veter вне форума   Ответить с цитированиемОтветить с цитированием
11 пользователя(ей) сказали cпасибо:
Allex (23.03.2013), Boss (26.03.2012), inso (24.09.2013), lukamal (14.09.2012), Megaman (22.06.2012), pbko (28.08.2014), Usta (05.10.2015), Wind (30.03.2013), Аркадий 10 (25.03.2012), джинася (09.01.2013), Ночная странница (23.03.2012)
Старый 10.04.2012, 17:31 #21 (Ссылка)
Аватар для Veter
Администратор
 
Регистрация: 01.01.1970
Адрес: На wmboard
Моя смс: vBulletin 3.x.x, DLE, WordPress, XenForo
Сообщений: 9,212
Записей в дневнике: 17
Сказал(а) спасибо: 2,053
Поблагодарили 2,664 раз(а) в 1,929 сообщениях
Репутация: 2674
Veter Veter вне форума
Администратор
Дополнительная информация
По умолчанию

Аркадий 10, напишите тикет хостеру через биллинг панель. У вас виртуальный хостинг, думаю они решат проблему.
Veter вне форума   Ответить с цитированиемОтветить с цитированием

Старый 11.04.2012, 14:32 #22 (Ссылка)
Новичок
 
Регистрация: 11.03.2012
Сообщений: 27
Сказал(а) спасибо: 1
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 10
vitos vitos вне форума
Новичок
Дополнительная информация
По умолчанию

подскажите как заблокировать попытки входа с конкретного айпи? сегодня кто то целый день пытается зайти под админским логином
приходят уведомления на почту что это происходит и блокируется страница на 15 минут

vbSEO не стоит

Последний раз редактировалось vitos; 11.04.2012 в 14:45.
vitos вне форума   Ответить с цитированиемОтветить с цитированием
Старый 11.04.2012, 16:18 #23 (Ссылка)
Аватар для Veter
Администратор
 
Регистрация: 01.01.1970
Адрес: На wmboard
Моя смс: vBulletin 3.x.x, DLE, WordPress, XenForo
Сообщений: 9,212
Записей в дневнике: 17
Сказал(а) спасибо: 2,053
Поблагодарили 2,664 раз(а) в 1,929 сообщениях
Репутация: 2674
Veter Veter вне форума
Администратор
Дополнительная информация
По умолчанию

Цитата:
Сообщение от vitos Посмотреть сообщение
vbSEO не стоит
Здесь vbSEO ни при чем. Уже всех собак начали на него вешать


Цитата:
Сообщение от vitos Посмотреть сообщение
сегодня кто то целый день пытается зайти под админским логином
приходят уведомления на почту что это происходит и блокируется страница на 15 минут
Уверены что только под админским? А остальные юзеры? Есть у них такое или нет? Сделайте пару клонов и проверьте. Также проверьте сможет ли юзер зайти на форум если с него разлогиниться. То есть нажать выход.

Если будет, такое как у вас, то пишите хостеру. Такое бывает при неправильной настройке ngnix.
Veter вне форума   Ответить с цитированиемОтветить с цитированием
Пользователь сказал cпасибо:
Старый 20.04.2012, 04:47 #24 (Ссылка)
Аватар для Ночная странница
Профи
 
Регистрация: 30.01.2012
Моя смс: Нельзя сказать, что я пользуюсь какой-то одной, прошла все, от vB и XenForo до WordPress и OpenCart.
Возраст: 41
Сообщений: 1,861
Записей в дневнике: 6
Сказал(а) спасибо: 1,134
Поблагодарили 982 раз(а) в 591 сообщениях
Репутация: 1138
Ночная странница Ночная странница вне форума
Профи
Дополнительная информация
По умолчанию

Раз уж тут темка по безопасности форума, задам вопрос именно тут.
В справке администратора написано:

Цитата:
Хранение изображений пользователя:
Форум поддерживает два вида хранения аватаров и фотографий: базу данных и файловую систему.

Оба метода имеют преимущества и недостатки. База данных позволяет быстро делать резервную копию индивидуальных файлов. Однако хранение изображений пользователя в базе данных дополнительно перегружает её, когда пользователи загружают изображения со страниц форума. Но с помощью базы данных вы сможете ограничить доступ к аватарам, без использования системы безопасности форума и прав директорий как htaccess.
Какие именно параметры htaccess имеются в виду для защиты директорий с изображениями?
Ночная странница вне форума   Ответить с цитированиемОтветить с цитированием
Старый 20.04.2012, 19:09 #25 (Ссылка)
Аватар для Veter
Администратор
 
Регистрация: 01.01.1970
Адрес: На wmboard
Моя смс: vBulletin 3.x.x, DLE, WordPress, XenForo
Сообщений: 9,212
Записей в дневнике: 17
Сказал(а) спасибо: 2,053
Поблагодарили 2,664 раз(а) в 1,929 сообщениях
Репутация: 2674
Veter Veter вне форума
Администратор
Дополнительная информация
По умолчанию

Ночная странница, я вот здесь рассказывал http://wmboard.net/vbulletin/2659-ka...html#post30373
Veter вне форума   Ответить с цитированиемОтветить с цитированием
Пользователь сказал cпасибо:
Boss (22.04.2012)
Старый 20.04.2012, 19:42 #26 (Ссылка)
Аватар для Ночная странница
Профи
 
Регистрация: 30.01.2012
Моя смс: Нельзя сказать, что я пользуюсь какой-то одной, прошла все, от vB и XenForo до WordPress и OpenCart.
Возраст: 41
Сообщений: 1,861
Записей в дневнике: 6
Сказал(а) спасибо: 1,134
Поблагодарили 982 раз(а) в 591 сообщениях
Репутация: 1138
Ночная странница Ночная странница вне форума
Профи
Дополнительная информация
По умолчанию

Спасибки опять на нуле
Спасибо! Даже и не вспомнила про ту тему - вроде как "уязвимость закрывала", а то что это и для этой цели подойдет... не догадалась. Буду знать теперь.
Ночная странница вне форума   Ответить с цитированиемОтветить с цитированием
Старый 24.04.2012, 19:56 #27 (Ссылка)
Новичок
 
Регистрация: 24.02.2012
Сообщений: 12
Сказал(а) спасибо: 1
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 14
Ksenia Ksenia вне форума
Новичок
Дополнительная информация
По умолчанию

Veter, здравствуйте!

Посоветуйте, пожалуйста.

В том случае, если vbSeo не установлено на форум, то перечисленные Вами в этом посте меры безопасности тоже лучше предпринять? Или же это разумно сделать только, если на форум установлено vbSeo?

Заранее спасибо Вам за ответ.
Ksenia вне форума   Ответить с цитированиемОтветить с цитированием
Старый 25.04.2012, 14:36 #28 (Ссылка)
Аватар для Veter
Администратор
 
Регистрация: 01.01.1970
Адрес: На wmboard
Моя смс: vBulletin 3.x.x, DLE, WordPress, XenForo
Сообщений: 9,212
Записей в дневнике: 17
Сказал(а) спасибо: 2,053
Поблагодарили 2,664 раз(а) в 1,929 сообщениях
Репутация: 2674
Veter Veter вне форума
Администратор
Дополнительная информация
По умолчанию

Ksenia, лучше защищать. Поверьте, приняв меры по защите вашего форума сейчас, завтра будет меньше проблем
Veter вне форума   Ответить с цитированиемОтветить с цитированием
2 пользователя(ей) сказали cпасибо:
inso (24.09.2013), Ночная странница (25.04.2012)
Старый 26.04.2012, 18:01 #29 (Ссылка)
Новичок
 
Регистрация: 24.02.2012
Сообщений: 12
Сказал(а) спасибо: 1
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 14
Ksenia Ksenia вне форума
Новичок
Дополнительная информация
По умолчанию

Veter, так и сделаю!

Огромное Вам спасибо за советы и рекомендации!
Ksenia вне форума   Ответить с цитированиемОтветить с цитированием
Старый 26.04.2012, 18:09 #30 (Ссылка)
Аватар для Veter
Администратор
 
Регистрация: 01.01.1970
Адрес: На wmboard
Моя смс: vBulletin 3.x.x, DLE, WordPress, XenForo
Сообщений: 9,212
Записей в дневнике: 17
Сказал(а) спасибо: 2,053
Поблагодарили 2,664 раз(а) в 1,929 сообщениях
Репутация: 2674
Veter Veter вне форума
Администратор
Дополнительная информация
По умолчанию

Не проблема, обращайтесь
Veter вне форума   Ответить с цитированиемОтветить с цитированием
Ответ

Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Вкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Как установить форум vBulletin? Boss vBulletin 321 11.01.2018 12:02
Русифицируем форум на vBulletin Boss vBulletin 135 06.02.2016 01:43
Портал vbadvanced на форум vBulletin Boss Хаки vBulletin 34 23.01.2016 23:36
Не могу обновить форум vBulletin 4.1.12 до 4.2.0 Johnny Rodgger vBulletin 4.x.x 5 19.09.2012 20:13
Это лучший форум Vbulletin Allex Праздники и поздравления 1 22.04.2012 20:29


Текущее время: 22:18. Часовой пояс GMT +3.

Powered by vBulletin®
Copyright ©2000 - 2018, WMboard.
Перевод: zCarot
 

Форум вебмастеров

Здесь делают сайты, учатся на них зарабатывать. Ты новичёк, и ничего не понимаешь в создании сайтов и в интернет заработке? Не знаешь ответа на вопрос по сайтостроению? Мучают вопросы сео оптимизации?

Не беда, присоединяйся к сообществу вебмастеров, и зарабатывай вместе с нами!