Старый 23.03.2012, 23:57 #1 (Ссылка)
Администратор
Дополнительная информация
Восклицание

Как защитить форум на vBulletin


Данные меры обязательны для всех, кто заботится о безопасности своего ресурса, не только при установленном vbSEO, но и без него!

Возвращаясь к теме vbSEO https://wmboard.net/vbulletin/2530-n...ost-vbseo.html и к серии взломов форумов на vBulletin с установленным данным модулем можно констатитровать тот факт, что заплатка которая была выложена на vbsupport не спасает от взлома. В этом мы убедились как на собственном форуме, так и на форумах наших друзей и партнеров, которые пострадали уже после обновления vbSEO.

Можно долго дискутировать о реальной пользе vbSEO как такового, так как есть как противники данного модуля, так и поклонники, к числу которых отношу себя и я. Но в настоящий момент фактом является то, что с установленным модулем vbSEO повышается релевантность страниц в поисковых системах, и как следствие повышается трафик. Что как вы понимаете, является несомненным плюсом, в частности для молодых, развивающихся форумов необъятной сети.

Но, вернемся к нашей проблеме защиты форума на vBulletin. Серия взломов, описанная выше по ссылке заставила искать варианты решения проблемы. Тк снять vbSEO с форумов на котором работал данный модуль равносильно катастрофе. Вариант решения проблемы был найден.

К сожалению не могу сказать где как и что работает после инъекции, хотя метод взлома известен, но после проведения комплекса мер по защите движка данная уязвимость больше не работает. Поэтому в этой статье я расскажу о полном комплексе мер, которые защищают ваш форум на vBulletin.

Как защитить форум на vBulletin?

1. После установки форума на хостинг удаляем папку install, наличие которой может инициировать новую установку форума, а также файлы в корневой системе вашего форума под именами validator.php и checksum.md5 (они могут быть, а могут и не быть)

2. Пепеименовываем папку администратора и модератора (admincp и modcp). В конфиг форума прописываем новые имена ваших папок:

Код:

Блок отключен
3. В конфиге прописываем ID админа в той строке, где указывается неизменяемый и неудаляемый пользователь.

4. В корневой .htaccess дописываем строку, запрещающую изменение конфига из вне:

Код:

Блок отключен
5. Пароли в админку, на хостинг, в базу данных должны быть сложные для подбора: перебор цифр, букв, символов в разном регистре и в случайном порядке.

6. Если вложения форума хранятся в файловой системе это дополнительно ослабляет форум для злоумышленников. Но на самом деле во многих форумах вложения хранятся не в базе данных, а в файловой системе. Это связано с тем, что вложения хранящиеся в базе данных на больших старых форумах начинают тормозить его работу, и значительно повышают нагрузку на хостинг, поэтому приходится облегчать базу данных.

В папки: customavatars, customgroupicons, customprofilepics, images, signaturepics, cpstyles а также во все папки в которые осуществляются загрузки (как правило папки хаков специализирующихся на этом) заливаем .htaccess следующего содержания:

Код:

Блок отключен
7. В папку includes заливаем .htaccess следующего содержания:

Код:

Блок отключен
8. В папку вашей переименованной админки заливаем .htaccess ограничения по IP. В случае если ваш IP статический:

Код:

Блок отключен
Где 195.168.56.56 – ваш IP адрес. На некоторых хостингах подобный номер не пройдет, может не пускать админку. Есть вариант замены хаком защиты админки. На статических IP работает, на динамическом работоспособности я не добился…

8.1 Защищаем админку .htaccess если у вас динамический IP

Код:

Блок отключен
Где 195.168. первые две группы цифр вашей подсети.
В данном случае мы разрешаем вход в админку вашей подсети. Конечно рисков больше, чем если у вас был бы статический IP, но вероятность того что злоумышленник будет из вашей подсети ничтожно мала.

9. Устанавливаем хак «Инспектор файлов», который будет сообщать вам об изменении файлов в файловой системе. К сожалению файлы, добавляемые пользователями по ходу работы форума он не отслеживает.

Кроме всего вышесказанного есть возможность защиты админки двойным паролем. Об этом способе я расскажу немного позднее.

Кроме того на vBulletin 3.8.4 & 3.8.5 существует небольшая уязвимость благодаря которой злоумышленник может зарегистрироваться под админским ником и читать почту админа. Фикс: админ панель - регистрация пользователей - запрещённые имена пользователей - добавляем & # @ ' и сохраняем изменение

После всех вышеперечисленных мер защиты форума уязвимость vbSEO перестает работать!

Наличие дыр в vbSEO это еще не повод отказываться от поисковой оптимизации, и я надеюсь мы и дальше будем успешно бороться со злоумышленниками. Для тех, кто все же опасается ставить этот модуль, существует , хоть и неполноценная, но замена: хак ЧПУ и хак alt и title картинок, которые также в ближайшее время будут выложены для свободного скачивания и установки.

Обратите внимание на полезные ответы в этой теме!


Последний раз редактировалось Veter; 26.09.2013 в 22:27. Причина: изм
Veter вне форума   Ответить с цитированиемОтветить с цитированием
11 пользователя(ей) сказали cпасибо:
Allex (23.03.2013), Boss (26.03.2012), inso (24.09.2013), lukamal (14.09.2012), Megaman (22.06.2012), pbko (28.08.2014), Usta (05.10.2015), Wind (30.03.2013), Аркадий 10 (25.03.2012), джинася (09.01.2013), Ночная странница (24.03.2012)
Старый 23.01.2013, 04:11 #101 (Ссылка)
Вебмастер
Дополнительная информация
По умолчанию

Цитата:
Сообщение от Прометей Посмотреть сообщение
Предпочитаю качать всё по отдельности. И, если нужно кому, вот ссылка на PL 2 для vBulletin 3.8.4
а как узнать стоит она у меня или нет?
koil вне форума   Ответить с цитированиемОтветить с цитированием
Старый 23.01.2013, 04:26 #102 (Ссылка)
Вебмастер
Дополнительная информация
По умолчанию

Что по мне: намного проще скачать сам двиг в котором нет ни чего лишнего, чем гадать, а что ещё в него вложено? Какой версии патч? Первой или второй?
Прометей вне форума   Ответить с цитированиемОтветить с цитированием
Старый 23.01.2013, 04:36 #103 (Ссылка)
Профи
Дополнительная информация
По умолчанию

Цитата:
Сообщение от koil Посмотреть сообщение
а как узнать стоит она у меня или нет?
в админке
на каждой странице
сверху
версия и PL
если, конечно, всё правильно поставлено
Льюви вне форума   Ответить с цитированиемОтветить с цитированием
Старый 23.01.2013, 05:49 #104 (Ссылка)
Вебмастер
Дополнительная информация
По умолчанию

Я лично вопрос понял иначе: как определить что у НЕГО есть в архиве? Без установки? Это тоже реально: нужно только сравнивать файлы, которые были бы заменены патчем. Сомневаюсь, что новичкам это доступно. - но оно реально
Прометей вне форума   Ответить с цитированиемОтветить с цитированием
Старый 23.01.2013, 05:56 #105 (Ссылка)
Вебмастер
Дополнительная информация
По умолчанию

Цитата:
Сообщение от Льюви Посмотреть сообщение
в админке
на каждой странице
сверху
версия и PL
если, конечно, всё правильно поставлено
кхм.. только версия..
похоже Ветер промахнулся.. )
koil вне форума   Ответить с цитированиемОтветить с цитированием
Старый 23.01.2013, 06:12 #106 (Ссылка)
Вебмастер
Дополнительная информация
По умолчанию

Зато моя ссылка - это ссылка с орга на Воблу с патчем.. Но, так как мне не доступно скачивать от туда, этот патч по моей просьбе скачали на Ф/О. Хотя, я не проверял. Если и это не оно, буду искать дальше.
Прометей вне форума   Ответить с цитированиемОтветить с цитированием
Старый 23.01.2013, 18:34 #107 (Ссылка)
Местный
Дополнительная информация
По умолчанию

нет он пропатчен) просто не которые файлы сразу подтерты в нужных местах вот и все)
Shareman вне форума   Ответить с цитированиемОтветить с цитированием
Пользователь сказал cпасибо:
Helenka (23.01.2013)
Старый 23.01.2013, 18:50 #108 (Ссылка)
Профи
Дополнительная информация
По умолчанию

Ребят, вы прежде, чем делать выводы, дождались бы ответа Ветра.
Helenka вне форума   Ответить с цитированиемОтветить с цитированием
Старый 23.01.2013, 19:32 #109 (Ссылка)
Администратор
Дополнительная информация
По умолчанию

Цитата:
Сообщение от koil Посмотреть сообщение
а как узнать стоит она у меня или нет?
Ну я же вроде ясно сказал...

Цитата:
Сообщение от Льюви Посмотреть сообщение
в админке
на каждой странице
сверху
версия и PL
если, конечно, всё правильно поставлено
Льюви, ни разу не видел на нулленых версиях... в лицензии - да.

Господа, если есть сомнения качайте и ставьте откуда вам нравится. Только потом не плачьте, когда у вас окошки какие-нибудь вылезут вдруг.

Практически все файлы, находящиеся здесь проверены на десятках форумов, как своих, так и люди эти файлы ставили. И никогда с ними не было проблем, за исключением когда появляются дырки в хаках, или очередной школьник находит в сети уязвимость. Но для этого нужно следить за темами уязвимостей. Мы стараемся информировать об этом наших форумчан.
Veter вне форума   Ответить с цитированиемОтветить с цитированием
Старый 23.01.2013, 20:06 #110 (Ссылка)
Вебмастер
Дополнительная информация
По умолчанию

Цитата:
Сообщение от Veter Посмотреть сообщение
Ну я же вроде ясно сказал...
.
аа.. может я и скачал версию 3.8.4 и не 3.8.4 PL
значит патч нужно ставить дополнительно..
а он точно нужен? Есть в нем острая необходимость?
koil вне форума   Ответить с цитированиемОтветить с цитированием
Ответ

Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Вкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Как установить форум vBulletin? Boss vBulletin 321 11.01.2018 13:02
Как защитить свой контент от копирования? WooART Дайджест блогосферы 1 07.03.2017 23:52
Форум на vBulletin 4.2 Veter vBulletin 4.x.x 54 02.11.2015 02:02
Как защитить контент от копирования? Автоспец Сайтостроение 10 07.01.2013 14:57
Как защитить авторские права? Chernetta Копирайтинг 5 06.07.2010 22:46


Текущее время: 02:37. Часовой пояс GMT +3.

Powered by vBulletin®
Copyright ©2000 - 2023, WMboard.
Перевод: zCarot
 

Форум вебмастеров

Здесь делают сайты, учатся на них зарабатывать. Ты новичок, и ничего не понимаешь в создании сайтов и в интернет заработке? Не знаешь ответа на вопрос по сайтостроению? Мучают вопросы сео оптимизации?

Не беда, присоединяйся к сообществу вебмастеров, и зарабатывай вместе с нами!