[Info] Советы по защите Vbulletin и не только

Serberg

Гуру форума
Регистрация
6 Апр 2009
Сообщения
239
Реакции
69
Хотелось поблагодарить автора за его детище, действительно хорошая статья по обороне. От себя хотел бы дополнить защиту. Тут проскальзывала мысля что трояном могут стырить пароль от FTP - это конечно же беда самого админа, а не движка, но всеже.

Некоторые панели управления позволяю залочить вход на определенный IP, т.е. если у Вас статичнсый IP, то спросите у хостера возможно ли это сделать на его панели контроля аккаунтом. Далее, создавайте FTP аккацнт непосредственно в тот момент когда он Вам понадобится, и сразу после окончания работы с FTP - удаялйте аккаунт. Тогда никакие трои уже не помогут.

ps
Пишу из личного опыта, ламали форум уже 3 раза и все 3 раза в тот момент когда забывал удалить FTP. Сам вроде защитился и грешу на хостера, хотя кто знает.
 

oxxxy

Постоялец
Регистрация
30 Авг 2009
Сообщения
66
Реакции
5
Действительно - если уведут пароли через трояны, то это проблема самого админа, а не движка, в статье хорошо описаны, казалось бы и так понятные шаги защиты, внимательней будьте с нуллами, есть такие, которые идут сразу с шеллами, качайте с вбсуппорт нормальные нуллы.
 

ppbimix

Создатель
Регистрация
8 Янв 2008
Сообщения
12
Реакции
14
14) Установить плагин "Инспектор файлов". Автор - Ghost (Для просмотра ссылки Войди или Зарегистрируйся)
Описание:
Лазая по своим старым скриптам, напоролся на этот продукт -- Инспектор файлов. Это несколько модулей для vBulletin, при помощи которых можно сохранять в базе данных список существующих файлов и время от времени проверять, не изменились ли какие из них (для каждого файла сохраняется размер, владелец и права доступа) -- встроенная cron-задача уведомит администратора по почте о найденных несоответствиях. Можно сохранять в БД несколько различных копий (ревизий) списков файлов для сравнения (автоматическая проверка с уведомлением на email сверяется только с последней ревизией). Внешний вид и доступные настройки можно посмотреть на скриншотах.

INSTALL: Для установки необходимо залить два PHP-файла из архива на сервер и импортировать продукт из файла "product-gfi.xml".

UPDATE: Обновление версий не предусмотрено, так что для установки новой рекомендуется сперва удалить предыдущую версию.

З.Ы. Продукт успешно работал на всех версиях от 3.6.8 до 3.8.1 включительно. Правда ссылка в выпадающее меню в панели навигации добавлялась в разные места, но это уже мелочи.
Скачать плагин можно по ссылке: Для просмотра ссылки Войди или Зарегистрируйся или Для просмотра ссылки Войди или Зарегистрируйся (необходима регистрация)

Почему?: Незаменимая вещь в поиске шеллов на сайте, но ставить её необходимо заранее.


ЗЫ

Хотелось бы иметь возможность редактировать первый пост
 

ppbimix

Создатель
Регистрация
8 Янв 2008
Сообщения
12
Реакции
14
Также можно приглядеться к этому модулю Для просмотра ссылки Войди или Зарегистрируйся
тут от ддос защита на скриптах

вот CSRF защита
Для просмотра ссылки Войди или Зарегистрируйся

и такой нубоплагин как я понял Для просмотра ссылки Войди или Зарегистрируйся

когда все протещу, добавлю необходимое в первый пост.
 

AleX-DS

Создатель
Регистрация
8 Сен 2007
Сообщения
43
Реакции
7
Также можно приглядеться к этому модулю Для просмотра ссылки Войди или Зарегистрируйся
тут от ддос защита на скриптах
Модуль, в большей своей степени, бесполезен. Поскольку, против массивных ддосов он не справится. А постоянная его активность — лишь будет нагружать форум.
 

bacsi

Писатель
Регистрация
23 Окт 2007
Сообщения
8
Реакции
0
После установки chmod 644 на папки и файлы, как написано в пункте 6 первого поста vbulletin 4.0.0 beta 4 перестал работать. или показывает пустой белый экран или 403 ошибку при заходе в админку. как вернуть назад чтоб все работало?
 

Serberg

Гуру форума
Регистрация
6 Апр 2009
Сообщения
239
Реакции
69
Установи права на папки 755, на файлы 644 и будет тебе счастье. Ты читал бы внимательней.
 

tostrss

Мой дом здесь!
Регистрация
16 Окт 2007
Сообщения
768
Реакции
219
Ну "злой" код можно и в базу зашить. Переустановка не поможет, так что, при грамотных руках + логов, будет все равно, что чистить, что перезалить файлы.
 

itpeople

Гуру форума
Регистрация
6 Дек 2007
Сообщения
545
Реакции
64
Код:
order allow, deny
deny from all
allow from you.ip.add.res
Уже какой раз натыкаюсь на такую надпись, возможно ошибаюсь, но у меня так не работает.
Последовательность allow, deny разрешает всем, запрещает кому-то, а последовательность deny, allow - запрещает всем и разрешает кому-то. Может я чего-то не знаю, но у меня так и есть как я описал.
Пример: разрешение на доступ для определенных IP адресов
Код:
Order Deny,Allow
Deny from all
Allow from 192.168.1.1
Пример: запрет на доступ для определенных IP адресов
Код:
Order Allow,Deny
Allow from all
Deny from 192.168.1.1
 

Revenge-R

Mr. Revenge-R
Регистрация
6 Фев 2009
Сообщения
897
Реакции
320
А еще для владельцев VDS можно важные папки и файлы хранить под юзером root. (например .хтаксесс)
Тогда для того чтобы что то с ним замутить нужно будет сначала рут права поднять.
 
Сверху