- 23, Mar 2012
- #1
Данные меры обязательны для всех, кто заботится о безопасности своего ресурса, не только при установленном vbSEO, но и без него!
Возвращаясь к теме vbSEO https://lumtu.com/vbulletin/2530-naidena-uyazvimost-vbseo.html
и к серии взломов форумов на vBulletin с установленным данным модулем можно констатитровать тот факт, что заплатка которая была выложена на vbsupport не спасает от взлома. В этом мы убедились как на собственном форуме, так и на форумах наших друзей и партнеров, которые пострадали уже после обновления vbSEO. Можно долго дискутировать о реальной пользе vbSEO как такового, так как есть как противники данного модуля, так и поклонники, к числу которых отношу себя и я. Но в настоящий момент фактом является то, что с установленным модулем vbSEO повышается релевантность страниц в поисковых системах, и как следствие повышается трафик. Что как вы понимаете, является несомненным плюсом, в частности для молодых, развивающихся форумов необъятной сети. Но, вернемся к нашей проблеме защиты форума на vBulletin.
Серия взломов, описанная выше по ссылке заставила искать варианты решения проблемы.
Тк снять vbSEO с форумов на котором работал данный модуль равносильно катастрофе.
Вариант решения проблемы был найден. К сожалению не могу сказать где как и что работает после инъекции, хотя метод взлома известен, но после проведения комплекса мер по защите движка данная уязвимость больше не работает.
Поэтому в этой статье я расскажу о полном комплексе мер, которые защищают ваш форум на vBulletin. Как защитить форум на vBulletin?
1. После установки форума на хостинг удаляем папку install, наличие которой может инициировать новую установку форума, а также файлы в корневой системе вашего форума под именами validator.php и checksum.md5 (они могут быть, а могут и не быть)
2. Пепеименовываем папку администратора и модератора (admincp и modcp). В конфиг форума прописываем новые имена ваших папок:
3. В конфиге прописываем ID админа в той строке, где указывается неизменяемый и неудаляемый пользователь.
4. В корневой .htaccess дописываем строку, запрещающую изменение конфига из вне:
5. Пароли в админку, на хостинг, в базу данных должны быть сложные для подбора: перебор цифр, букв, символов в разном регистре и в случайном порядке.
6. Если вложения форума хранятся в файловой системе это дополнительно ослабляет форум для злоумышленников.
Но на самом деле во многих форумах вложения хранятся не в базе данных, а в файловой системе.
Это связано с тем, что вложения хранящиеся в базе данных на больших старых форумах начинают тормозить его работу, и значительно повышают нагрузку на хостинг, поэтому приходится облегчать базу данных. В папки: customavatars, customgroupicons, images/customprofilepics, images, signaturepics, cpstyles а также во все папки в которые осуществляются загрузки (как правило папки хаков специализирующихся на этом) заливаем .htaccess следующего содержания:
7. В папку includes заливаем .htaccess следующего содержания:
8. В папку вашей переименованной админки заливаем .htaccess ограничения по IP. В случае если ваш IP статический:
8.1 Защищаем админку .htaccess если у вас динамический IP
Конечно рисков больше, чем если у вас был бы статический IP, но вероятность того что злоумышленник будет из вашей подсети ничтожно мала.
9. Устанавливаем хак «Инспектор файлов
», который будет сообщать вам об изменении файлов в файловой системе. К сожалению файлы, добавляемые пользователями по ходу работы форума он не отслеживает. Кроме всего вышесказанного есть возможность защиты админки двойным паролем. Об этом способе я расскажу немного позднее. Кроме того на vBulletin 3.8.4 & 3.8.5 существует небольшая уязвимость благодаря которой злоумышленник может зарегистрироваться под админским ником и читать почту админа. Фикс: админ панель - регистрация пользователей - запрещённые имена пользователей - добавляем & # @ ' и сохраняем изменение После всех вышеперечисленных мер защиты форума уязвимость vbSEO перестает работать! Наличие дыр в vbSEO это еще не повод отказываться от поисковой оптимизации, и я надеюсь мы и дальше будем успешно бороться со злоумышленниками. Для тех, кто все же опасается ставить этот модуль, существует , хоть и неполноценная, но замена: хак ЧПУ
и хак alt и title картинок
, которые также в ближайшее время будут выложены для свободного скачивания и установки.
и к серии взломов форумов на vBulletin с установленным данным модулем можно констатитровать тот факт, что заплатка которая была выложена на vbsupport не спасает от взлома. В этом мы убедились как на собственном форуме, так и на форумах наших друзей и партнеров, которые пострадали уже после обновления vbSEO. Можно долго дискутировать о реальной пользе vbSEO как такового, так как есть как противники данного модуля, так и поклонники, к числу которых отношу себя и я. Но в настоящий момент фактом является то, что с установленным модулем vbSEO повышается релевантность страниц в поисковых системах, и как следствие повышается трафик. Что как вы понимаете, является несомненным плюсом, в частности для молодых, развивающихся форумов необъятной сети. Но, вернемся к нашей проблеме защиты форума на vBulletin.
Серия взломов, описанная выше по ссылке заставила искать варианты решения проблемы.
Тк снять vbSEO с форумов на котором работал данный модуль равносильно катастрофе.
Вариант решения проблемы был найден. К сожалению не могу сказать где как и что работает после инъекции, хотя метод взлома известен, но после проведения комплекса мер по защите движка данная уязвимость больше не работает.
Поэтому в этой статье я расскажу о полном комплексе мер, которые защищают ваш форум на vBulletin. Как защитить форум на vBulletin?
1. После установки форума на хостинг удаляем папку install, наличие которой может инициировать новую установку форума, а также файлы в корневой системе вашего форума под именами validator.php и checksum.md5 (они могут быть, а могут и не быть)
2. Пепеименовываем папку администратора и модератора (admincp и modcp). В конфиг форума прописываем новые имена ваших папок:
// ****** PATH TO ADMIN & MODERATOR CONTROL PANELS ******
// This setting allows you to change the name of the folders that the admin and
// moderator control panels reside in. You may wish to do this for security purposes.
// Please note that if you change the name of the directory here, you will still need
// to manually change the name of the directory on the server.
$config['Misc']['admincpdir'] = 'admincp';
$config['Misc']['modcpdir'] = 'modcp';3. В конфиге прописываем ID админа в той строке, где указывается неизменяемый и неудаляемый пользователь.
4. В корневой .htaccess дописываем строку, запрещающую изменение конфига из вне:
<Files config.php>
deny from all
</Files>5. Пароли в админку, на хостинг, в базу данных должны быть сложные для подбора: перебор цифр, букв, символов в разном регистре и в случайном порядке.
6. Если вложения форума хранятся в файловой системе это дополнительно ослабляет форум для злоумышленников.
Но на самом деле во многих форумах вложения хранятся не в базе данных, а в файловой системе.
Это связано с тем, что вложения хранящиеся в базе данных на больших старых форумах начинают тормозить его работу, и значительно повышают нагрузку на хостинг, поэтому приходится облегчать базу данных. В папки: customavatars, customgroupicons, images/customprofilepics, images, signaturepics, cpstyles а также во все папки в которые осуществляются загрузки (как правило папки хаков специализирующихся на этом) заливаем .htaccess следующего содержания:
RemoveHandler .phtml
RemoveHandler .php
RemoveHandler .php3
RemoveHandler .php4
RemoveHandler .php5
RemoveHandler .cgi
RemoveHandler .exe
RemoveHandler .pl
RemoveHandler .asp
RemoveHandler .aspx
RemoveHandler .shtml
<Files ~ "\.php|\.phtml|\.cgi|\.exe|\.pl|\.asp|\.aspx|\.sht ml">
Order allow,deny
Deny from all
</Files>7. В папку includes заливаем .htaccess следующего содержания:
Order allow,deny
Deny from all8. В папку вашей переименованной админки заливаем .htaccess ограничения по IP. В случае если ваш IP статический:
Order Deny,Allow
Deny from all
Allow from 195.168.56.568.1 Защищаем админку .htaccess если у вас динамический IP
Order Deny,Allow
Deny from all
Allow from 195.168.Конечно рисков больше, чем если у вас был бы статический IP, но вероятность того что злоумышленник будет из вашей подсети ничтожно мала.
9. Устанавливаем хак «Инспектор файлов
», который будет сообщать вам об изменении файлов в файловой системе. К сожалению файлы, добавляемые пользователями по ходу работы форума он не отслеживает. Кроме всего вышесказанного есть возможность защиты админки двойным паролем. Об этом способе я расскажу немного позднее. Кроме того на vBulletin 3.8.4 & 3.8.5 существует небольшая уязвимость благодаря которой злоумышленник может зарегистрироваться под админским ником и читать почту админа. Фикс: админ панель - регистрация пользователей - запрещённые имена пользователей - добавляем & # @ ' и сохраняем изменение После всех вышеперечисленных мер защиты форума уязвимость vbSEO перестает работать! Наличие дыр в vbSEO это еще не повод отказываться от поисковой оптимизации, и я надеюсь мы и дальше будем успешно бороться со злоумышленниками. Для тех, кто все же опасается ставить этот модуль, существует , хоть и неполноценная, но замена: хак ЧПУ
и хак alt и title картинок
, которые также в ближайшее время будут выложены для свободного скачивания и установки.
Спасибо! Даже и не вспомнила про ту тему - вроде как "уязвимость закрывала", а то что это и для этой цели подойдет... не догадалась. Буду знать теперь.
Если только убрать вас как потенциального конкурента 
Но кстати фигня.
ardon: Гемор, но зато спокойней как то 
hmy:
![[хасай Алиев] Метод](/assets/images/icons/forum0.png){kind=icon}
![[Веремеева Ольга] Вебинар](/assets/images/icons/forum2.png){kind=icon}
