Все у меня не получится.
Если да, то хоть нервы ему потрепаю
. Но буду надеется что нет у него бэкабов.
Все у меня не получится.
Если да, то хоть нервы ему потрепаю
. Но буду надеется что нет у него бэкабов.
Достаточно учесть только первые две цифры. Именно так я у себя ограничил доступ на сервер. В Админ панель вход через пароль который зашифрован через хеш.
Прочти тут:
http://vbsupport.org/htaccess.php
http://vbsupport.org/forum/showthread.php?t=5429
http://vbsupport.org/forum/forumdisplay.php?f=69
http://vbsupport.org/forum/showthread.php?t=1435
Именно про это я говорил когда обещал выложить инструкцию по защите vBulletin. Да так и не собрался из-за своей природной лени
Прочти тут:
http://vbsupport.org/htaccess.php
http://vbsupport.org/forum/showthread.php?t=5429
http://vbsupport.org/forum/forumdisplay.php?f=69
http://vbsupport.org/forum/showthread.php?t=1435
Именно про это я говорил когда обещал выложить инструкцию по защите vBulletin. Да так и не собрался из-за своей природной лени
Veter, пожалуйста, пометь крупно в первом сообщении, что данные меры (.htaccess, переименованная админка и пр.) обязательны для всех админов, кто заботится о безопасности, а не только для тех, у кого vbSEO стоит.
Ночная странница, а мне мона? Или только Ветру?
Boss, меня раздражает безличное обращение "админы", а Ветер тут каждый день... Будешь ты каждый день бывать, буду писать "Veter, Boss, пожалуйста...." и т.п. А пока зачем тебя вписывать, если не факт, что ты будешь?))
+ к тому же это пост Ветра...
И между прочим, мог бы не спрашивать, а поправить!))
+ к тому же это пост Ветра...
И между прочим, мог бы не спрашивать, а поправить!))
Юль, я поправил. Спасибо что напомнила.
как на счет варианта ручной регистрации?..
т.е. регистрации только тех кого я знаю.
Ну допустим форум расчитан только на 10-15 человек.
(остальные мне нужны).
При таком варианте какие способы взлома остаются?
Т.е. какие шаги для защиты все равно необходимо сделать?
т.е. регистрации только тех кого я знаю.
Ну допустим форум расчитан только на 10-15 человек.
(остальные мне нужны).
При таком варианте какие способы взлома остаются?
Т.е. какие шаги для защиты все равно необходимо сделать?
koil, насколько я знаю, взлом и количество юзеров на форуме не взаимосвязаны.
Вам лень проделать несколько лишних действий? А если взломают аккаунт одного из пользователей? Лучше все - безопасности много не бывает.
Паранойя в этом случае - всего лишь инстинкт форумосохранности
причем тут количество?
Добавлено через 5 минут
Каких действий? Вы о чем?
т.е. один из способов это взлом одного из аккаунтов имеющего доступ. +1
А еще какие возможности?
Не понял ничего.Паранойя в этом случае - всего лишь инстинкт форумосохранности
Так как на счет вопроса?
Я и так постарался попроще сформулировать..
Попробую по другому.
Часть взломов совершается теми кто прошел регистрацию.
Часть взлом делается без регистрации.
Вопрос:
Что нужно сделать от тех кто взламывает без регистрации на форуме.
koil, вы задаете вопрос
а я вам отвечаю - что нужно проделать всё, что написано в первом сообщении - и не разделять меры защиты на нужные и ненужные, не смотреть на то, сколько у вас будет пользователей, так как аккаунт можно взломать...
Желательно вообще всю темку проглядеть - там есть полезные советы и не в первом сообщении.
а я вам отвечаю - что нужно проделать всё, что написано в первом сообщении - и не разделять меры защиты на нужные и ненужные, не смотреть на то, сколько у вас будет пользователей, так как аккаунт можно взломать...
Желательно вообще всю темку проглядеть - там есть полезные советы и не в первом сообщении.
Последнее редактирование:
Все те же, что описаны в первом посте.
Как все это взаимосвязано с потенциальным взломом вашего форума?
Тема интересная прочитал.
К примеру момент когда кто-то может зарегится под ником админа.
Вот никогда б этого не предположил, что так можно..
Обычно всегда вижу "такой ник(почта) существуют."
Потому и подумалось, ограничение регистрации может ли уменьшить риск взлома. К примеру только своих знакомых.
Но по ответам понял что нет. Т.е. все равно человек, которого ты не ждешь, зарегистрируется и сможет нанести вред.
Понял, спасибо.
(Понимаю что дурак может задать такие вопросы что и 100 мудрецов не ответят. Утешаюсь тем что я новичок.)
Нет не может. В основном форумы на vb ломают через уязвимости в хаках, либо через хостинг, либо зараженный компьютер, либо через брут.
Подбор паролей
как переводится слово .htaccess? т.е. что означает? настройки доступа?
или первые две буквы случайный набор?
или первые две буквы случайный набор?
не нашел опцию "цензура"..
Последнее редактирование:
аа.. "hypertext" понял, спасибо.
Добавлено через 22 минуты
с первого поста вопросы..
не нашел, стало быть "могут и не быть"
Это описание одного действия или два отдельных действия?
Не нашел файл конфиг форума, где он лежит и как называется?
т.е. "конгфиг" это "конфиг форума"?
можно привести эти строчки с неизменяемым пользователем?
опять не нашел "корневую .htaccess"..
для уточнеyия.. корневой значит в папке forum?
т.е. просто создаем текстовый файл .htaccess без изменения расширения?
что это дает? Если файлы изменились со злонамеренной целью, значит уже поздно..
И не будет ли это тормозить работу форума?
опцию цензура не нашел.. вижу только "автоцензор"
И как понять "добавляем &#", в смысле именно эти значки ставим?
Что такое ЧПУ?
а что это означает? Глобальная регистрация?
Что дает включение и отключение?
У меня тоже не было, это нормально.
Два отдельных. Но переименовать можно одновременно - и то и то -сменить названия и прописать новые в конфиге.
Это то самый, в котором вы прописывали данные БД при установке.
Можно, конечно, но если не владеете английским, лучше возьмите из русификатора Маркови переведенную копию конфига и там найдете легко.
Этот файл нужно сначала создать.
Корневой - тот, что лежит в корневой папке форума. если у вас форум лежит в папке forum, то там. да.
Я не сталкивалась с подобным к счастью, но надеюсь, что не поздно. Точнее админы ответят, они сталкивались.
Нет, просто текстовый не поможет, нужен именно системный .htaccess, просто он сначала создается как текстовый, а потом уже в системный переименовывается.
А вы какую версию ставили? В профиле не указано...
Человеко-понятные урлы
Как здесь.
Что означает не вникала. а включение дает дыру в безопасности. Огромную дыру.
так.. значит надо искать тему с установкой..
кхм.. в профиле?..
не нашел где это..
поставил в аватар.. видно?
(и в профиле не надо искать
)кстати и сам запомню.. )
не совсем понял.. имеется в виду замена айпишных адресов словами?
в какой момент он становится системным?.. когда точка впереди появляется? или после замены расширения txt на sys?
Последнее редактирование:
koil, Мой кабинет - Редактировать данные и в самом низу будет графа Укажите Вашу смс, которую используете
откуда это?
не в цензуру, а в запрещённые имена пользователей
что-то у меня броузер у вас на форуме глючит..
при цитировании не вижу своих цитат.. что ужасно неудобно..
а иногда выскакивает предупреждение ваше сообщение слишком короткое, хотя текста полно..
Наверное правильнее будет "в корневой создать и дописать..".. хотя что дописывать-то тогда.. что-то я запутался..
Добавлено через 2 минуты
хе.. я то думал это кто-то заигрывает со мной.. интересуется смсками с моего телефона..
не проще ли было прямо и открыто написать "напишите версию.."
Добавлено через 4 минуты
а как же сам админ?
при цитировании не вижу своих цитат.. что ужасно неудобно..
а иногда выскакивает предупреждение ваше сообщение слишком короткое, хотя текста полно..
не перевести, а привести.. показать..
аа.. а то там написано "В корневой .htaccess дописываем строку" как будто он там и лежит.
Наверное правильнее будет "в корневой создать и дописать..".. хотя что дописывать-то тогда.. что-то я запутался..
это радует! В смысле закрытие такой ОГРОМНОЙ дыры..
Добавлено через 2 минуты
хе.. я то думал это кто-то заигрывает со мной.. интересуется смсками с моего телефона..
не проще ли было прямо и открыто написать "напишите версию.."
Добавлено через 4 минуты
Запрещеное имя Admin?
а как же сам админ?
Вы не помните, что писали? Или нужны громоздкие структурные сообщения?
Цитата не является сообщением.
Ты сначала фотку свою продемонстрируй, а потом мы с девочками подумаем, стоит ли с тобой заигрыватьхе.. я то думал это кто-то заигрывает со мной.. интересуется смсками с моего телефона..
. Не проще.
Последнее редактирование:
нее.. мама мне запретила с незнакомыми девушками..Ты сначала фотку свою продемонстрируй, а потом мы с девочками подумаем, стоит ли с тобой заигрывать
сначала фотку, потом "дай телефончик".. и т.д.
Добавлено через 3 минуты
я вижу ответ, но не вижу на что отвечают..
По ответу конечно можно догадаться, но иногда бывают такие ответы, что очень сложно догадаться зачем почему так пишут..
во-вторых вложенные цитаты помогают не утерять нить разговора..
но слишком большие конечно плохо..
но лучше бы конечно самому выбирать, что удалять, а что оставлять..
нет
хотя можно и админа
символы & # через пробел, я бы добавила ещё несколько, включая @ и одинарную кавычку, ибо нефик
а он что, собирается повторно регаться с тем же ником?
похоже вы окончатеьлно меня запутали.
Автоцензор заменяет слова на какой-то символ. Верно?
Вы предлагаете слово Админ заменить на символ # или @.
И это помешает зарегиться по новой с ником Админ?
Это и есть защита?
А разве стандартные условия, по умолчанию запрещающие вводить ник который уже есть на форуме перестали работать?
И во-вторых в опциях есть запрет на повторную регистрацию ника который был удален.
Зачем. А тот ник, который уже есть, не подвергается автоцензору?
И во-вторых пользователи наверное не смогут обращаться к Админу,
или советовать кому-то обратиться к Админу.
Вместо "Я не знаю, иди к Админу", будет "Я не знаю, иди ***"
Добавлено через 15 минут
А есть отличие от того что есть в панели Админа?
Обслуживание/Диагностика/подозрительные файлы..
Добавлено через 19 минут
обнаружил в панели админа "статистика и записи"/"запланированные задачи"/посмотреть/..
строчку "Ежедневный обзор отправлен" отправлено было еще вчера..
А что отправлено и куда?..
я предлагаю внимательно читать
какая линейка форума? если 3.8.6 и выше, то там этой уязвимости нет, так что просто пропустите этот совет и спите спокойно
а то такого настроите, что потом не разгрести...
актуально для тех, у кого 3.8.4 и ниже:
админка - регистрация пользователей - запрещённые имена пользователей - вбить & # и любые спец-символы на ваше усмотрение, сохранить
Это предотвратит возможность регистрации юзера с ником, например Admin�
что даёт регистрация такого ника - писать не буду, поиск поможет
т.е. с учетом пунтка 4 из первого поста
содержимое будет выглядеть так
php_flag register_globals off
<Files config.php>
deny from all
</Files>
я правильно понял?
Добавлено через 29 минут
так у меня прямо на автарке написано..(да и профиле кстати теперь есть)
3.8.4.
так минутку.. а как же автоцензор?
наконец-то начал понимать )
"любые символы".. так их огромная масса..
всегда найдется символ который не вбили..
раз написали & # значит именно эти символы более важны.
он работает только для сообшений (форума, личных, публичных)
остальные известные уязвимости давно пофиксены
однако сейчас, в связи со всякими логинзами я бы рекомендовала запрещать одинарную кавычку
и ввиду возможных проблем с некоторыми хаками - запрещать собачку @
Добавлено через 41 секунду
на этот случай есть регулярки... можно разрешить только алфавит
тогда в "консерватории", в смысле первый пост надо подправить п.9.
Добавлено через 26 минут
а в чем смысл содержимого?
Удаление всех файлов с перечисленными расширениями?
Это я наверное тогда записался
Поправил пост.Вы сначала посмотрите на хостинге прежде чем вписывать. Может у вас register globals отключен. Хостеры как правило отключают эту опцию.
Нет, не удаление. Файлы с этими расширениями не будут работать.
Смотрел уже, включено. "On" стоит.
koil, тогда это будет выглядеть так:
[MOD="Ночная странница"]Это был неверный вариант ответа.[/MOD]
[MOD="Ночная странница"]Это был неверный вариант ответа.[/MOD]
Последнее редактирование:
аа.. вот как.. понял, спасибо.
А текст с первого поста п.9
...
RemoveHandler .phtml
RemoveHandler .php
RemoveHandler .php3
...
может тоже надо так же?
т.е. должно выглядеть так
Код:
<Files config.php>
RemoveHandler .phtml
RemoveHandler .php
RemoveHandler .php3
RemoveHandler .php4
RemoveHandler .php5
RemoveHandler .cgi
RemoveHandler .exe
RemoveHandler .pl
RemoveHandler .asp
RemoveHandler .aspx
RemoveHandler .shtml
<Files ~ "\.php|\.phtml|\.cgi|\.exe|\.pl|\.asp|\.aspx|\.sht ml">
Order allow,deny
Deny from all
</Files>koil, простите, мой косяк. Ошиблась, не глянула у себя.
Да, ваш первый вариант был верный - <Files config.php> это только для конфига, остальные строчки просто в файл без тегов.
Да, ваш первый вариант был верный - <Files config.php> это только для конфига, остальные строчки просто в файл без тегов.
значит в корневую закидываем файл .htaccess
с текстом
php_flag register_globals off
<Files config.php>
deny from all
</Files>
так?
заглянул в админку..
register_globals
что-то не обратил внимания раньше.. там две колонки
первая Local Value, вторая Master Value
в первой появилось off, во второй On
все нормально?
Последнее редактирование:
так и должно быть, это значит, что на сервере он включен, а у вас выключен... хотя я на саппорте читала, что это не слишком надежный метод... действует при определенных условиях... я поищу информацию и добавлю сюда тогда.
где-то у провайдера я читал о покупке статического адреса.. видимо для таких случаев.
При такой прописке, полагаю с другого места я уже не смогу зайти?
По идее - нет. Но я где-то видела хак, позволяющий одновременно и поставить защиту по айпи и снять её, если все же админ надумает с другого места зайти.
значит теоретически и другой может это сделать..
вообще сама идея защиты через адрес хороша..
Неа
А че тебе делать в админке каждый день?
Мона закинуть .htaccess с блокировкой по IP. Если статика, то понятно. С динамикой надо поковыряться. Чето мы заливали в дампер подсеть, там работает. А в админке не хочет
Но кстати фигня. .htaccess заливаешь а если надо в админку по FTP соединяешься, .htaccess удаляешь, зашел поработал, вышел опять залил
Гемор, но зато спокойней как то Ну если на главной повесишь доступы на хостинг то сможет
и легко. тоже верно..Неа
А че тебе делать в админке каждый день?
а что-то здесь мелькало про патчи...
есть патчи к 3.8.4.?
Нет. Если вы брали движок здесь, то он уже пропатчен.
ффуу.. (с облегчением).. самая приятная новость за сегодняшний день
Предпочитаю качать всё по отдельности. И, если нужно кому, вот ссылка на PL 2 для vBulletin 3.8.4