У Вас в настройках PHP register_globals=ON? какеры идут к Вам!!!

Файловый Архив

  • Неограниченное количество категорий и суб-категорий
  • Настройки прав доступа по группам
  • Настройки прав доступа по каждой категории
  • Предпросмотр медиа файлов: FLV, IFLV, F4A, F4V, MP4, MP3, MOV и других...
  • Мультизагрузка файлов - SWFUploader
  • Добавление файлов с сервера
Подробности и история обновлений продукта в этой теме
Loading

Go Back   форум vBSupport.org > > >
Register Изображения Меню vBsupport Files Manager Аллея Звёзд Реклама на форуме Search Today's Posts Mark Forums Read
  • Мемберка
  • Администраторам
  • Premoderation
  • For English speaking users
  • Изменения в правах
  • Каталог Фрилансеров
Пароли на скачивание файлов в Member Area меняются автоматически каждый день
Если вам нужно скачать какой то скрипт, за паролем ко мне в ЛС
привет какирам kerk
Ещё раз обращаем Ваше внимание: всё, что Вы скачиваете и устанавливаете на свой форум, Вы устанавливаете исключительно на свой страх и риск.
Сообщество vBSupport'а физически не в состоянии проверять все стили, хаки и нули, выкладываемые пользователями.
Помните: безопасность Вашего проекта - Ваша забота.
Убедительная просьба: при обнаружении уязвимостей или сомнительных кодов обязательно отписывайтесь в теме хака/стиля
Спасибо за понимание
На форуме введена премодерация ВСЕХ новых пользователей

Почта с временных сервисов, типа mailinator.com, gawab.com и/или прочих, которые предоставляют временный почтовый ящик без регистрации и/или почтовый ящик для рассылки спама, отслеживается и блокируется, а так же заносится в спам-блок форума, аккаунты удаляются
for English speaking users:
You may be surprised with restriction of access to the attachments of the forum. The reason is the recent change in vbsupport.org strategy:

- users with reputation < 10 belong to "simple_users" users' group
- if your reputation > 10 then administrator (kerk, Luvilla) can decide to move you into an "improved" group, but only manually

Main idea is to increase motivation of community members to share their ideas and willingness to support to each other. You may write an article for the subject where you are good enough, you may answer questions, you may share vbulletin.com/org content with vbsupport.org users, receiving "thanks" equal your reputation points. We should not only consume, we should produce something.

- you may:
* increase your reputation (doing something useful for another members of community) and being improved
* purchase temporary access to the improved category:
10 $ for 3 months. - this group can download attachments, reputation/posts do not matter.
20 $ for 3 months. - this group can download attachments, reputation/posts do not matter + adds eliminated + Inbox capacity increased + files manager increased permissions.

Please contact kerk or Luvilla regarding payments.

Important!:
- if your reputation will become less then 0, you will be moved into "simple_users" users' group automatically.*
*for temporary groups (pre-paid for 3 months) reputation/posts do not matter.
Не можете скачать вложение?
Изменения в правах групп пользователей
внимательно читаем эту и эту темы
Короткая версия - тут
Уважаемые пользователи!

На форуме открыт новый раздел "Каталог фрилансеров"

и отдельный раздел для платных заказов "Куплю/Закажу"

 
 
Old  
andrejke
Продвинутый
Post [Статья] [F.A.Q.] Основные способы защиты админ-панели 21

[F.A.Q.] Основные способы защиты админ-панели

Зачастую молодые веб-мастера, установив себе на хостинг vBulletin, считают необходимым лишь удалить папку install. А некоторые и вовсе просто переименовывают ее во что-нибудь, не желая ждать. А потом разводят руками, когда зайдя в очередной раз на свой форум видят что-то вроде "H@CkED bY V@sY@".
Способов защитить админку – множество, но я расскажу только лишь о некоторых, самых необходимых.

«Где я?» или переименовываем admincp & modcp
Итак. Самое главное – сменить названия для этих директорий. Эту операцию можно производить сразу после установки форума, но я обычно этим занимаюсь после установки всех необходимых хаков – так как зачастую приходиться заливать файлы, и в админ-панель в том числе, а название папки там будет, сами понимаете, стандартное – admincp. Так что немного отойду от темы – господа, если вы уже переименовали свои директории, а затем занимаетесь установкой хаков – будьте внимательны, если в архиве с хаком есть папка admincp – переименуйте ее в название своей.
А теперь давайте разберемся, как же поменять пути к директориям.
Итак, сначала нужно поправить пути в конфигурационном файле. В папке includes находим config.php, открываем его и ищем такие строки:
PHP Code:
$config['Misc']['admincpdir'] = 'admincp';
$config['Misc']['modcpdir'] = 'modcp'
и заменяем значения внутри кавычек на свои. Я чаще всего пользуюсь для этого генераторами паролей (не сочтите за рекламу, например, вот этим). Т.е. я генерирую что-то вроде ijn7c6houm и получаю adminijn7c6houm. Параноики могут полностью заменить название директории, не оставив части "admin". Самое главное – в названии директории не должно быть слешей ("/"), пробелов и некоторых других символов. Для новичков лучше просто запомнить, что нужно использовать только латинские буквы и цифры (ах да, название директории регистронезависимо, т.е. что ADM, что adm).
После того, как мы сменили названия директорий в config.php и получили что-то вроде этого:
PHP Code:
$config['Misc']['admincpdir'] = 'adminltromd4r3h';
$config['Misc']['modcpdir'] = 'modb00o5x2z0w'
сохраняем файл и отправляемся в корневую папку нашего форума. Там находим папочки admincp и modcp и переименовываем их в соответствии с тем, как задали в config'е. Ну что, поздравляю, первый пункт мы осилили!

Двойная оборона или закрываем доступ к админке с использование .htaccess
Теперь давайте усилим защиту на случай, если хитрый хацкер все-таки отыскал месторасположение наших директорий. Для этого воспользуемся .htaccess. Что это такое я расписывать не буду, в Сети множество ресурсов, посвященных этой теме, ограничусь лишь тем, что используя этот файл можно установить дополнительную авторизацию (окно логин-пароль) на админ-панель, причем сначала будет появляться именно это окно, а затем уже, в случае удачного логина, появится авторизация в админку форума. Итак, что же нужно сделать.
Для организации защиты используется два файла - .htaccess и .htpasswd.
Примерное содержимое файла .htaccess:
Code:
AuthType Basic 
AuthName "Private zone!" 
AuthUserFile /path/to/your/.htpasswd 
require valid-user
Во второй строке хранится надпись, которая будет выводиться на экран при входе, в нашем случае это "Private zone!". В третьей – путь к файлу с паролями. Тут очень важно указать не относительный путь (вида http://site.ru/.htpasswd), потому что он не будет работать, а абсолютный. Абсолютный путь можно получить так – создаете файл fullpath.php со следующим содержимым:
PHP Code:
<?
echo $_SERVER['DOCUMENT_ROOT'];
?>
и заливаете его в папку админ-панели. Далее открываете его (получится что-то вроде http://yoursite.ru/admincp/fullpath.php, естественно, вместо yoursite.ru – линк на ваш форум, вместо admincp – название вашей админки). В открывшемся окне будет показана всего одна строка – это и есть ваш относительный путь.
Итак, мы получили относительный путь (допустим, у меня это /home/g/user/myforum/public_html/admincp). Значит в строке AuthUserFile у нас будет вот это:
Code:
/home/g/user/myforum/public_html/admincp/.htpasswd
Итак, с .htaccess мы разобрались. Теперь давайте с .htpasswd – в этом файле хранятся логины и пароли. Для генерации этого файла можно пользоваться разными сервисами, коих десятки (на vBSupport есть и свой - клик), но мне привычнее генерировать у себя на ПК. Для этого я пользуюсь одноименной программой htpasswd.exe (скачать ее можно тут).
Управление программой – через командную строку. К примеру, поместили мы программу в корневую папку диска C:\. Тогда открываем командную строку и вводим:
Code:
cd C:\
htpasswd –cm .htpasswd admin
Разберем вторую строку поподробнее.
-cm – это ключи (первый указывает, что нужно создать файл, второй – что используется md5)
.htpasswd – название генерируемого файла
admin – логин
Если вы все сделали правильно, вам предложат ввести пароль, а затем его повторить. После всех этих действий в папке с утилитой должен появиться файл .htpasswd с логином и паролем внутри.
Теперь копируем оба полученных файла в папку админ-панели. Вуаля!
Кстати, вполне не обязательно помещать файл .htpasswd в папку админ-панели, вы можете поместить его в любую другую, только не забудьте поправить путь к нему в .htaccess.

Удаляем лишние ссылки
Зачастую, даже сменив путь к админ-панели, администраторы забывают убрать ссылки на нее, благодаря чему полезность смены путей стремится к нулю.
Для начала нужно убрать линк из footer'а. Делается это следующим образом. Заходим в админ-панель, далее: «Стили и шаблоны» – «Управление стилями» – в нужном стиле отмечаем «Редактировать шаблоны» – шаблон footer. Ищем следующие строки:
Code:
<if condition="$show['admincplink']"><a href="$admincpdir/index.php$session[sessionurl_q]">$vbphrase[admin]</a> -</if>
и просто удаляем их. Все, со ссылкой на админку в футере покончено. Хорошо было бы еще удалить ссылку на модерку. Для этого ищем и удаляем следующее:
Code:
<if condition="$show['modcplink']"><a href="$modcpdir/index.php$session[sessionurl_q]">$vbphrase[mod]</a> -</if>
Готово!

Теперь давайте удалим ссылку на админ-панель из профилей пользователей. Выглядит она как «Редактировать профиль» и почему-то ее довольно часто забывают убрать. Итак.
«Стили и шаблоны» – «Управление стилями» – в нужном стиле отмечаем «Редактировать шаблоны» – шаблон MEMBERINFO (в русскоязычной версии vB находится в категории «шаблоны информации о пользователе»). Ищем там строки:
Code:
<if condition="$show['edit_profile']">
<li class="thead"><a href="moderator.php?$session[sessionurl]do=useroptions&amp;u=$userinfo[userid]">$vbphrase[edit_user_profile]</a></li>
</if>
и удаляем их. На этом, думаю, все.


Лирическое отступление
Смена путей в админ-панель, вырезание ссылок, добавление дополнительного этапа авторизации – все это, несомненно, хорошо, но только если администратор заботится о собственной безопасности. Затрону два важных аспекта.
Аспект первый – сложность пароля. Никогда не используйте легкие пароли, будь то 123456, qwerty и им подобные. Этим вы перечеркнете все свои попытки защитить админ-панель. Используйте длинный пароль, состоящий из букв, цифр и знаков, используйте разные регистры.
Аспект второй – хранение пароля. Какой бы ни был сложности ваш пароль, если вы халатно относитесь к его хранению – быть беде. Лучше всего хранить пароль где-то в блокноте (бумажном), только следите, чтобы никто из оффлайна уже не подобрался к нему. Можно хранить в программах вроде KeePass. В крайнем случае храните где-нибудь в текстовом файле в глубине вашего ПК. И лучше не жать «Сохранить пароль» в браузере, когда заходите в админ-панель. Потратьте лучше десять секунд своего драгоценного времени на вставку пароля, и если вдруг (тьфу-тьфу) вы попадетесь на троян или связку и у вас уведут все ваше добро, по крайней мере, за форум вы можете быть спокойны.

Если есть какие-либо вопросы – задавайте, постараюсь помочь.

P.S. Первая моя проба пера, если есть предложения, замечания или поправки – также пишите, сделаем статью вместе лучше! Повторюсь, статья ну претендует на уникальность, я лишь попытался разжевать все основные моменты.

Спасибо.

Last edited by andrejke : 07-30-2011 at 05:00 PM. Reason: Добавлено сообщение
 
Bot
Yandex Bot Yandex Bot is online now
 
Join Date: 05.05.2005
Реклама на форуме А что у нас тут интересного? =)
Old  
Prosper
Продвинутый
Default 1

Quote:
Теперь давайте удалим ссылку на админ-панель из профилей пользователей. Выглядит она как «Редактировать профиль» и почему-то ее довольно часто забывают убрать. Итак.
«Стили и шаблоны» – «Управление стилями» – в нужном стиле отмечаем «Редактировать шаблоны» – шаблон MEMBERINFO (в русскоязычной версии vB находится в категории «шаблоны информации о пользователе»). Ищем там строки:
Так, а смысл? Те кто полезет за этой ссылкой просто подставят ее...

Оффтоп

Last edited by Prosper : 07-31-2011 at 03:58 AM.
 
Old  
andrejke
Продвинутый
Default 0

Quote:
Originally Posted by Prosper View Post
Так, а смысл? Те кто полезет за этой ссылкой просто подставят ее...
Перефразирую одно известное выражение: меньше видишь - лучше спишь. Думаю, дополнительная мера безопасности никогда не помешает.

Quote:
Originally Posted by Prosper View Post
то тут уже как говорится проблема в ДНК
Это я и старался донести в эпилоге, что нужно еще и головой думать.

Quote:
Originally Posted by Prosper View Post
PS: Добавил ваш "FAQ" в "Обзор" Обеспечение безопасности
Спасибо!
 
Old  
kerk
k0t
 
kerk's Avatar
Default 6

на полноценную статью не тянет, поэтому добавлю к этой теме парочку ссылок на утилы, которые помогают мониторить важные участки компьютера
разумеется, все это можно сделать руками и через реестр, но тут все визуально и просто, и что самое важное, не требуют установки на комп, работают с флэшки
итак:
  • список служебных программ
    http://technet.microsoft.com/ru-ru/s...rnals/bb545027

  • Process Explorer Программа Process Explorer для Windows (версия 15.01)
    продвинутая замена стандартному менеджеру задач (использую вместо стандартного)
    Quote:
    Рабочая область программы Process Explorer состоит из двух окон. В верхнем окне отображается список активных процессов, включая имена учетных записей, которым принадлежат эти процессы. Информация, которая отображается в нижнем окне, зависит от выбранного режима работы программы. В режиме дескрипторов в нижнем окне отображаются все открытые дескрипторы выбранного в верхнем окне процесса, а в режиме библиотек DLL — все загруженные процессом динамические библиотеки и отображенные в память файлы. Помимо этого в программе Process Explorer также есть мощные возможности поиска, благодаря которым можно быстро узнать, у какого процесса открыт определенный дескриптор или загружена определенная библиотека DLL.

    Благодаря своим уникальным возможностям, программа Process Explorer полезна для разрешения проблем с версиями библиотек DLL и утечками дескрипторов, а также для понимания принципов работы ОС Windows и приложений.

  • AutoRuns Программа AutoRuns для Windows (версия v10.06)
    показывает все, что стартует вместе со стартом виндовс (программы, установленные драйверы, кодеки и т.д. Использую постоянно, в основном на зараженных машинах клиентов)
    Quote:
    Это средство проверяет большее количество мест, из которых происходит автозапуск программ, чем любой другой монитор автозагрузки. Оно показывает, какие программы настроены на запуск в процессе загрузки или входа в систему, причем эти программы отображаются в том порядке, в каком система Windows обрабатывает их. Такие программы могут находиться в папке автозагрузки или быть прописаны в разделах реестра Run, RunOnce и других. Средство Autoruns можно настроить на отображение и других расположений, таких как расширения оболочки проводника, панели инструментов, объекты модулей поддержки обозревателя, уведомления Winlogon, автоматически запускаемые службы и многие другие. Средство Autoruns обладает более широким спектром возможностей, чем служебная программа MSConfig, которая входит в состав Windows Me и XP.

    Параметр Hide Signed Microsoft Entries (Не показывать элементы с цифровой подписью Microsoft) средства Autoruns позволяет сосредоточить внимание на автоматически запускаемых элементах сторонних производителей, если такие элементы были добавлены в систему. Кроме того, можно просматривать объекты, настроенные на автоматический запуск для других учетных записей, имеющихся в системе. В архив для загрузки также включен вариант программы для работы из командной строки, Autorunsc. Выходные данные этого средства можно получить в формате CSV.
  • Process Monitor Программа Process Monitor версии 2.94
    подробно показывает, процессы в системе и чем каждый процесс занимается (пользуюсь редко)
    Quote:
    Программа Process Monitor является усовершенствованным инструментом отслеживания для Windows, который в режиме реального времени отображает активность файловой системы, реестра, а также процессов и потоков. В этой программе сочетаются возможности двух ранее выпущенных программ от Sysinternals: Filemon и Regmon, а также огромный ряд улучшений, включая расширенную и безвредную фильтрацию, всеобъемлющие свойства событий, такие как ID сессий и имена пользователей, достоверную информацию о процессах, полноценный стек потока со встроенной поддержкой всех операций, одновременную запись информации в файл и многие другие возможности. Эти уникальные возможности делают программу Process Monitor ключевым инструментом для устранения неполадок и избавления от вредоносных программ.
 
 

Thread Tools

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is On
Smilies are On
[IMG] code is On
HTML code is Off




All times are GMT +4. The time now is 10:01 AM.


Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd.