[Veter]

Данные меры обязательны для всех, кто заботится о безопасности своего ресурса, не только при установленном vbSEO, но и без него!

Возвращаясь к теме vbSEO https://wmboard.net/vbulletin/2530-n...ost-vbseo.html и к серии взломов форумов на vBulletin с установленным данным модулем можно констатитровать тот факт, что заплатка которая была выложена на vbsupport не спасает от взлома. В этом мы убедились как на собственном форуме, так и на форумах наших друзей и партнеров, которые пострадали уже после обновления vbSEO.

Можно долго дискутировать о реальной пользе vbSEO как такового, так как есть как противники данного модуля, так и поклонники, к числу которых отношу себя и я. Но в настоящий момент фактом является то, что с установленным модулем vbSEO повышается релевантность страниц в поисковых системах, и как следствие повышается трафик. Что как вы понимаете, является несомненным плюсом, в частности для молодых, развивающихся форумов необъятной сети.

Но, вернемся к нашей проблеме защиты форума на vBulletin. Серия взломов, описанная выше по ссылке заставила искать варианты решения проблемы. Тк снять vbSEO с форумов на котором работал данный модуль равносильно катастрофе. Вариант решения проблемы был найден.

К сожалению не могу сказать где как и что работает после инъекции, хотя метод взлома известен, но после проведения комплекса мер по защите движка данная уязвимость больше не работает. Поэтому в этой статье я расскажу о полном комплексе мер, которые защищают ваш форум на vBulletin.

Как защитить форум на vBulletin?

1. После установки форума на хостинг удаляем папку install, наличие которой может инициировать новую установку форума, а также файлы в корневой системе вашего форума под именами validator.php и checksum.md5 (они могут быть, а могут и не быть)

2. Пепеименовываем папку администратора и модератора (admincp и modcp). В конфиг форума прописываем новые имена ваших папок:

Код:

---

Блок отключен

---

3. В конфиге прописываем ID админа в той строке, где указывается неизменяемый и неудаляемый пользователь.

4. В корневой .htaccess дописываем строку, запрещающую изменение конфига из вне:

Код:

---

Блок отключен

---

5. Пароли в админку, на хостинг, в базу данных должны быть сложные для подбора: перебор цифр, букв, символов в разном регистре и в случайном порядке.

6. Если вложения форума хранятся в файловой системе это дополнительно ослабляет форум для злоумышленников. Но на самом деле во многих форумах вложения хранятся не в базе данных, а в файловой системе. Это связано с тем, что вложения хранящиеся в базе данных на больших старых форумах начинают тормозить его работу, и значительно повышают нагрузку на хостинг, поэтому приходится облегчать базу данных.

В папки: customavatars, customgroupicons, customprofilepics, images, signaturepics, cpstyles а также во все папки в которые осуществляются загрузки (как правило папки хаков специализирующихся на этом) заливаем .htaccess следующего содержания:

Код:

---

Блок отключен

---

7. В папку includes заливаем .htaccess следующего содержания:

Код:

---

Блок отключен

---

8. В папку вашей переименованной админки заливаем .htaccess ограничения по IP. В случае если ваш IP статический:

Код:

---

Блок отключен

---

Где 195.168.56.56 – ваш IP адрес. На некоторых хостингах подобный номер не пройдет, может не пускать админку. Есть вариант замены хаком защиты админки. На статических IP работает, на динамическом работоспособности я не добился…

8.1 Защищаем админку .htaccess если у вас динамический IP

Код:

---

Блок отключен

---

Где 195.168. первые две группы цифр вашей подсети.
В данном случае мы разрешаем вход в админку вашей подсети. Конечно рисков больше, чем если у вас был бы статический IP, но вероятность того что злоумышленник будет из вашей подсети ничтожно мала.

9. Устанавливаем хак «Инспектор файлов», который будет сообщать вам об изменении файлов в файловой системе. К сожалению файлы, добавляемые пользователями по ходу работы форума он не отслеживает.

Кроме всего вышесказанного есть возможность защиты админки двойным паролем. Об этом способе я расскажу немного позднее.

Кроме того на vBulletin 3.8.4 & 3.8.5 существует небольшая уязвимость благодаря которой злоумышленник может зарегистрироваться под админским ником и читать почту админа. Фикс: админ панель - регистрация пользователей - запрещённые имена пользователей - добавляем & # @ ' и сохраняем изменение

После всех вышеперечисленных мер защиты форума уязвимость vbSEO перестает работать!

Наличие дыр в vbSEO это еще не повод отказываться от поисковой оптимизации, и я надеюсь мы и дальше будем успешно бороться со злоумышленниками. Для тех, кто все же опасается ставить этот модуль, существует , хоть и неполноценная, но замена: хак ЧПУ и хак alt и title картинок, которые также в ближайшее время будут выложены для свободного скачивания и установки.

[Veter]

Аркадий 10, напишите тикет хостеру через биллинг панель. У вас виртуальный хостинг, думаю они решат проблему.

[vitos]

подскажите как заблокировать попытки входа с конкретного айпи? сегодня кто то целый день пытается зайти под админским логином
приходят уведомления на почту что это происходит и блокируется страница на 15 минут

vbSEO не стоит

[Veter]

Цитата:

Сообщение от vitos

vbSEO не стоит

Здесь vbSEO ни при чем. Уже всех собак начали на него вешать

Цитата:

Сообщение от vitos

сегодня кто то целый день пытается зайти под админским логином
приходят уведомления на почту что это происходит и блокируется страница на 15 минут

Уверены что только под админским? А остальные юзеры? Есть у них такое или нет? Сделайте пару клонов и проверьте. Также проверьте сможет ли юзер зайти на форум если с него разлогиниться. То есть нажать выход.

Если будет, такое как у вас, то пишите хостеру. Такое бывает при неправильной настройке ngnix.

[Ночная странница]

Раз уж тут темка по безопасности форума, задам вопрос именно тут.
В справке администратора написано:

Цитата:

Хранение изображений пользователя:
Форум поддерживает два вида хранения аватаров и фотографий: базу данных и файловую систему.

Оба метода имеют преимущества и недостатки. База данных позволяет быстро делать резервную копию индивидуальных файлов. Однако хранение изображений пользователя в базе данных дополнительно перегружает её, когда пользователи загружают изображения со страниц форума. Но с помощью базы данных вы сможете ограничить доступ к аватарам, без использования системы безопасности форума и прав директорий как htaccess.

Какие именно параметры htaccess имеются в виду для защиты директорий с изображениями?

[Veter]

Ночная странница, я вот здесь рассказывал https://wmboard.net/vbulletin/2659-k...html#post30373

[Ночная странница]

Спасибки опять на нуле
Спасибо! Даже и не вспомнила про ту тему - вроде как "уязвимость закрывала", а то что это и для этой цели подойдет... не догадалась. Буду знать теперь.

[Ksenia]

Veter, здравствуйте!

Посоветуйте, пожалуйста.

В том случае, если vbSeo не установлено на форум, то перечисленные Вами в этом посте меры безопасности тоже лучше предпринять? Или же это разумно сделать только, если на форум установлено vbSeo?

Заранее спасибо Вам за ответ.

[Veter]

Ksenia, лучше защищать. Поверьте, приняв меры по защите вашего форума сейчас, завтра будет меньше проблем

[Ksenia]

Veter, так и сделаю!

Огромное Вам спасибо за советы и рекомендации!

[Veter]

Не проблема, обращайтесь