а как узнать стоит она у меня или нет?
а как узнать стоит она у меня или нет?
Что по мне: намного проще скачать сам двиг в котором нет ни чего лишнего, чем гадать, а что ещё в него вложено? Какой версии патч? Первой или второй?
в админке
на каждой странице
сверху
версия и PL
если, конечно, всё правильно поставлено
Я лично вопрос понял иначе: как определить что у НЕГО есть в архиве? Без установки? Это тоже реально: нужно только сравнивать файлы, которые были бы заменены патчем. Сомневаюсь, что новичкам это доступно. - но оно реально
кхм.. только версия..
похоже Ветер промахнулся.. )
Зато моя ссылка - это ссылка с орга на Воблу с патчем.. Но, так как мне не доступно скачивать от туда, этот патч по моей просьбе скачали на Ф/О. Хотя, я не проверял. Если и это не оно, буду искать дальше.
нет он пропатчен) просто не которые файлы сразу подтерты в нужных местах вот и все)
Ребят, вы прежде, чем делать выводы, дождались бы ответа Ветра.
Ну я же вроде ясно сказал...
Льюви, ни разу не видел на нулленых версиях... в лицензии - да.
Господа, если есть сомнения качайте и ставьте откуда вам нравится. Только потом не плачьте, когда у вас окошки какие-нибудь вылезут вдруг.
Практически все файлы, находящиеся здесь проверены на десятках форумов, как своих, так и люди эти файлы ставили. И никогда с ними не было проблем, за исключением когда появляются дырки в хаках, или очередной школьник находит в сети уязвимость. Но для этого нужно следить за темами уязвимостей. Мы стараемся информировать об этом наших форумчан.
аа.. может я и скачал версию 3.8.4 и не 3.8.4 PL
значит патч нужно ставить дополнительно..
а он точно нужен? Есть в нем острая необходимость?
Вы здесь на форуме видели два дистрибутива vb 3.8.4? Покажите?
да здесь он пропатчен. нет дополнительно не надо если вы отсюда качали.
да нужен была большая дырка, а этот патч ее закрывает.
да нужен была большая дырка, а этот патч ее закрывает.
аа.. посмотрел оказывается 3.8.7 PL1 стоит. Запомнилось только PL1.
Качала отсюда где и написано "Скачать vBulletin 3.8.4 (3.29 Мб)"
Без всяких PL1.
В админке у меня наверху написано просто vBulletin 3.8.4 без PL1.
А еще какие способы есть узнать, стоит патч или нет?
Только что обратил внимание, а здесь какая версия стоит? Не видно что-то..
Скорее всего тут стоит 3.8.7 Patch Level 3. Как самая последняя. Что до патча 2 для 3.8.4 - отдельно от форума и я через Гугол найти не смог.
Нет здесь стоит 3.8.4 Ветер уже говорил где то в этой теме. Он больше ее придерживается)
Версию не как не узнаешь если нужные файлы подтерты)
Версию не как не узнаешь если нужные файлы подтерты)
А кстати тоже хороший способ защиты.
Ведь к разным версиям есть разные способы взлома полагаю.
Почти)))))))
Есть специальный хак суть работы которого в постоянной смене надписи номера версии в футере форума.
Да, на античате на каждую версию есть описание взлома и защиты. Что до версий - выше я уже давал ссылку на 3.8.4 PL 2. Это самая последняя версия от старой команды. Которая сейчас делает XenForo.
Льюви, спасибо. Спасибки еще не появились
Посмотрел. Да. Но на тех нуллях, что у меня этого нет
Добавлено через 1 час 43 минуты
В первый пост добавлен метод защиты админки форума с динамическим IP адресом
Установил тестовый форум IPB.
В админке центр безопасности IP.Board рекомендуется отключить функции exec, system, popen, proc_open, shell_exec.
Интересно будет ли работать vbulletin при отключении этих функций.
Да и к сожалению это не возможно сделать на виртуальном хостинге.
В админке центр безопасности IP.Board рекомендуется отключить функции exec, system, popen, proc_open, shell_exec.
Интересно будет ли работать vbulletin при отключении этих функций.
Да и к сожалению это не возможно сделать на виртуальном хостинге.
Последнее редактирование:
А зачем их отключать на vb? У каждого движка свои уязвимости и рекомендации к ним.
В PHP не силён, но насколько я понимаю запрет выполнения данных функции не позволит злоумышленникам добиться своей цели. Даже если они найдут дырку в скрипте они не смогут выполнить вредоносный код залитый на сайт.
а настройки по поводу вложенности цитат?
Спасибо больше.
Не сразу нашёл секцию (может это поможет другим):
$config['SpecialUsers']['undeletableusers'] = '';
Между кавычками поставил цифру 1.
файл называется config.php, находится в папке includes.
Не сразу нашёл секцию (может это поможет другим):
$config['SpecialUsers']['undeletableusers'] = '';
Между кавычками поставил цифру 1.
файл называется config.php, находится в папке includes.
Думаю что Вам было бы легче разобраться с файлом конфига, если бы Вы его залили на русском языке: на работе форума это ни как не скажется. А Вам было бы всё более понятно и удобно (прошу только не путать с полной заливкой файлов русского языка на сервер до установки форума - я говорю лишь об отдельном файле!)
Хотелось бы убрать статус Adimistrator из post bit под аватаркой и из списка пользователей. Чтобы никто не видел имя пользователя администратора. ИМХО это затруднит подбор пароля.
Подбор пароля затруднит сложность пароля
А это баловство) убрать, спрятать, это элементарно вычислить, кто администратор 
Для этого есть хак Advanced Login System, а если хотите спрятать звание админа, то идите в управление группами и там уберите, хотя в этом нет нужды.
Подбор пароля затруднит сложность пароля
Как вычислить? И как лучше спрятать?
Выше вам ответили, ставьте сложный пароль 14-16 символов))) год тратить на расшифроку, а то и более никто не будет)
Переходите по ссылке сайт.ру/member.php?u=1, и попадаете на профиль администратора, пример: https://lumtu.com/member.php?u=1
Почему? 1 - это id администратора, по умолчанию.
Еще проще посмотреть список руководства форума.
Убрать с руководства форума, сменить id, дату регистрации и т.д.
Хм... Зачем его прятать?
Найти администратора не составляет особого труда если потратить минут 10 на просмотр форума.
Сложный пароль, и защитить админку .htaccess по IP. Вполне достаточно, все остальное паранойя.
Найти администратора не составляет особого труда если потратить минут 10 на просмотр форума.
Сложный пароль, и защитить админку .htaccess по IP. Вполне достаточно, все остальное паранойя.
И так, для параноиков тех, кто думает что для снижения вероятности подбора пароля, лучше скрыть логин, всё просто.
Регистрируем нового пользователя, делаем из него администратора, присваиваем статус как и у всех, с аналогичным количеством сообщений. У меня Новичок.
Особый статус - Да, установки пользователя.
Пользователю id1 снижаем права, переводим в зарегистрированные пользователи. Ему присваиваем статус Administrator, чтобы те, кто ищут, сначала нашли его.
Добавлено через 1 минуту
Попробуйте плиз найти администратора на http://arbitraz.ru
Добавлено через 2 минуты
Чтобы избежать подбора пароля, с использованием нескольких ip на время таймаута ввода.
Регистрируем нового пользователя, делаем из него администратора, присваиваем статус как и у всех, с аналогичным количеством сообщений. У меня Новичок.
Особый статус - Да, установки пользователя.
Пользователю id1 снижаем права, переводим в зарегистрированные пользователи. Ему присваиваем статус Administrator, чтобы те, кто ищут, сначала нашли его.
Добавлено через 1 минуту
Попробуйте плиз найти администратора на http://arbitraz.ru
Добавлено через 2 минуты
Чтобы избежать подбора пароля, с использованием нескольких ip на время таймаута ввода.
Последнее редактирование:
Давайте угадаю
это http://arbitraz.ru/member.php?u=6671? А чего вы так боитесь брута? Сильный пароль и никакой брут не подействует.
Давайте угадаю
Как нашли? Неизменяемый пользователь? И главное как спрятать?
Добавлено через 4 минуты
Основы безопасности когда-то где-то преподавали. ИМХО перебрать можно всё.
Последнее редактирование:
Секрет
, никаких особых действий не делал, простой анализ. Одно скажу, если
мне вот тоже всегда интересно...
как правило, админские аккаунты ломают немного не так)
можно изменить количество "неправильных" попыток входа в аккаунт
можно ставить всякие "капча при входе", дабы усложнить брутерам жизнь
но самое главное - не использовать один и тот же пасс на разных ресурсах
если совсем паранойя давит - вообще не шорхаться по форуму админским акком, только в админку
админским акком ходить с отдельного браузера
после того, как сделал что хотел в админке, из админки выходить (сессию закрывать)
пасс а браузере не хранить
и никогда не ходить админским акком по каким бы то ни было ссылкам, особенно присланным юзерами
Ну да, можно попасться на XSS атаку. И прощай админский акк.
Секрет
Одно скажу, еслихацкеры, все же возьмутся за форум, то кто админ, большого значения не играет.
Придется учредить акционерное общество по
Лучше по хорошему скажите сколько вам надо?
Нет там никаких секретов. Просто выполняйте выше упомянутые советы. И все. Думаю ни кому не понадобится "ломать" ваш форум. Это паранойя уже.
Обратиться к интернет провайдеру
Я правильно понял, когда переименовываем а .htaccess, расширение .txt стереть надо? В общем пробывал и стирать и не стирать, но файл скрытым вроде не стал . Или так и должно быть? На фтп захожу через файлзиллу.
Добавлено через 10 минут
Прошу прощения за дебильный вопрос, но как узнать статический или динамический у меня ип?
Добавлено через 5 минут
У меня off стоит как в Local, так и в Master. Так и оставить?
Добавлено через 54 минуты
Что то не нашел этот путь в админке. Я использовал тут: админка - основные настройки - регистрация пользователей - пункт "недопустимые имена пользователей". Или это не то?
.htaccess - это всё
это и название, и расширение
больше никаких символов там быть не должно
ну если в настройках файлзиллы указано "показывать скрытые файлы", то .htaccess будет виден
иначе как с ним вообще работать?
оу...
в нашей стране провайдеру приходится отдельно платить за статический ИП
есть куча сервисов по определению текущего ИП
кроме того, у Вас вобла всегда под рукой - на странице "кто он-лайн" посмотрите свой ИП
скопируйте его, зайдите в админку - пользователи - поиск по ИП - вбейте ИП, вперёд
она покажет найденных пользователей, возле каждого есть ссылка "найти другие ИП этого пользователя"
нажимаете и изучаете
многие обнаруживают там ооооочень много интересного))))
собственно, если на форум заходили только с одного компа и ИП - статика, он один там и будет
да, это то
Первый пост обновлен. В частности пп.6 добавлена папка cpstyles
Звучит как будто есть еще изменения, о которых нужно догадаться самому
Нет, больше изменений нет. Первый пост актуален. Был прецедент с этой папкой.
Где-то читал, что для большей надежности нужно ограничить доступ через FTP по IP адресу? Так ли это? Если да, то что и где необходимо прописать?
Если я правильно понял ваш вопрос, то пункт №8 первого поста.