[Info] Советы по защите Vbulletin и не только

[Serberg]

Хотелось поблагодарить автора за его детище, действительно хорошая статья по обороне. От себя хотел бы дополнить защиту. Тут проскальзывала мысля что трояном могут стырить пароль от FTP - это конечно же беда самого админа, а не движка, но всеже.

Некоторые панели управления позволяю залочить вход на определенный IP, т.е. если у Вас статичнсый IP, то спросите у хостера возможно ли это сделать на его панели контроля аккаунтом. Далее, создавайте FTP аккацнт непосредственно в тот момент когда он Вам понадобится, и сразу после окончания работы с FTP - удаялйте аккаунт. Тогда никакие трои уже не помогут.

ps
Пишу из личного опыта, ламали форум уже 3 раза и все 3 раза в тот момент когда забывал удалить FTP. Сам вроде защитился и грешу на хостера, хотя кто знает.

 

[oxxxy]

Действительно - если уведут пароли через трояны, то это проблема самого админа, а не движка, в статье хорошо описаны, казалось бы и так понятные шаги защиты, внимательней будьте с нуллами, есть такие, которые идут сразу с шеллами, качайте с вбсуппорт нормальные нуллы.

 

[ppbimix]

14) Установить плагин "Инспектор файлов". Автор - Ghost (Для просмотра ссылки Войди или Зарегистрируйся)
Описание:

Лазая по своим старым скриптам, напоролся на этот продукт -- Инспектор файлов. Это несколько модулей для vBulletin, при помощи которых можно сохранять в базе данных список существующих файлов и время от времени проверять, не изменились ли какие из них (для каждого файла сохраняется размер, владелец и права доступа) -- встроенная cron-задача уведомит администратора по почте о найденных несоответствиях. Можно сохранять в БД несколько различных копий (ревизий) списков файлов для сравнения (автоматическая проверка с уведомлением на email сверяется только с последней ревизией). Внешний вид и доступные настройки можно посмотреть на скриншотах.

INSTALL: Для установки необходимо залить два PHP-файла из архива на сервер и импортировать продукт из файла "product-gfi.xml".

UPDATE: Обновление версий не предусмотрено, так что для установки новой рекомендуется сперва удалить предыдущую версию.

З.Ы. Продукт успешно работал на всех версиях от 3.6.8 до 3.8.1 включительно. Правда ссылка в выпадающее меню в панели навигации добавлялась в разные места, но это уже мелочи.

Скачать плагин можно по ссылке: Для просмотра ссылки Войди или Зарегистрируйся или Для просмотра ссылки Войди или Зарегистрируйся (необходима регистрация)

Почему?: Незаменимая вещь в поиске шеллов на сайте, но ставить её необходимо заранее.


ЗЫ

Хотелось бы иметь возможность редактировать первый пост

 

[ppbimix]

Также можно приглядеться к этому модулю Для просмотра ссылки Войди или Зарегистрируйся
тут от ддос защита на скриптах

вот CSRF защита
Для просмотра ссылки Войди или Зарегистрируйся

и такой нубоплагин как я понял Для просмотра ссылки Войди или Зарегистрируйся

когда все протещу, добавлю необходимое в первый пост.

 

[AleX-DS]

Также можно приглядеться к этому модулю Для просмотра ссылки Войди или Зарегистрируйся
тут от ддос защита на скриптах

Модуль, в большей своей степени, бесполезен. Поскольку, против массивных ддосов он не справится. А постоянная его активность — лишь будет нагружать форум.

 

[bacsi]

После установки chmod 644 на папки и файлы, как написано в пункте 6 первого поста vbulletin 4.0.0 beta 4 перестал работать. или показывает пустой белый экран или 403 ошибку при заходе в админку. как вернуть назад чтоб все работало?

 

[Serberg]

Установи права на папки 755, на файлы 644 и будет тебе счастье. Ты читал бы внимательней.

 

[tostrss]

Ну "злой" код можно и в базу зашить. Переустановка не поможет, так что, при грамотных руках + логов, будет все равно, что чистить, что перезалить файлы.

 

[itpeople]

order allow, deny
deny from all
allow from you.ip.add.res

Уже какой раз натыкаюсь на такую надпись, возможно ошибаюсь, но у меня так не работает.
Последовательность allow, deny разрешает всем, запрещает кому-то, а последовательность deny, allow - запрещает всем и разрешает кому-то. Может я чего-то не знаю, но у меня так и есть как я описал.
Пример: разрешение на доступ для определенных IP адресов

Order Deny,Allow
Deny from all
Allow from 192.168.1.1

Пример: запрет на доступ для определенных IP адресов

Order Allow,Deny
Allow from all
Deny from 192.168.1.1

 

[Revenge-R]

А еще для владельцев VDS можно важные папки и файлы хранить под юзером root. (например .хтаксесс)
Тогда для того чтобы что то с ним замутить нужно будет сначала рут права поднять.