VBsupport перешел с домена .ORG на родной .RU
Ура!
Пожалуйста, обновите свои закладки - VBsupport.ru
Блок РКН снят, форум доступен на всей территории России, включая новые терртории, без VPN
На форуме введена премодерация ВСЕХ новых пользователей
Почта с временных сервисов, типа mailinator.com, gawab.com и/или прочих, которые предоставляют временный почтовый ящик без регистрации и/или почтовый ящик для рассылки спама, отслеживается и блокируется, а так же заносится в спам-блок форума, аккаунты удаляются
Если вы хотите приобрести какой то скрипт/продукт/хак из каталогов перечисленных ниже: Каталог модулей/хаков
Ещё раз обращаем Ваше внимание: всё, что Вы скачиваете и устанавливаете на свой форум, Вы устанавливаете исключительно на свой страх и риск.
Сообщество vBSupport'а физически не в состоянии проверять все стили, хаки и нули, выкладываемые пользователями.
Помните: безопасность Вашего проекта - Ваша забота. Убедительная просьба: при обнаружении уязвимостей или сомнительных кодов обязательно отписывайтесь в теме хака/стиля
Спасибо за понимание
Очень долго искал по форуму и так и не нашел исчерпывающей информации по этому вопросу. Так что хотелось бы лично спросить администраторов:
Какие, конкретно, шаги следует принимать после установки форума чтобы обеспечить надежную защиту от взлома??? В какой последовательности? Что для этого нужно?
Ведь известно много случаев взлома vBulletin. А наш любимый ни разу. Поделитесь знаниями...
Удалить папку install.
Переименовать админпанель.
Поставить дополнительную защиту паролем на папку админки (можно через .htaccess).
Не использовать уникальный админский пароль где-либо еще.
Не держать базу vb вместе с базами других скриптов.
Если на эккаунте несколько разных баз, на каждую из них завести уникального юзера и пароль. Не использовать общие.
Не интегрировать в vb других скриптов, которые можно взломать.
kerk
k0t
Join Date: May 2005
Location: localhost
Posts: 28,842
Версия vB: 3.8.x
Пол:
Reputation:
Гуру 20333
Репутация в разделе: 8468
0
Quote:
Originally Posted by Krad
известно много случаев взлома vBulletin
расскажи об одном или двух, для примера... =))
===========
1. пароль админа/модера = не меньше 11-13 символов + буквы/цифры/символы - разного регистра
2. .htaccess на админку и модерку (уже писал, как сделать - поиск)
3. пароли для разных форумов/майл ящиков должны быть всегда разные
===========
все это прописные истины, которыми многие пренебрегают =))
@Krad
Простоузер
Join Date: Sep 2005
Posts: 54
Версия vB: 4.1.10
Reputation:
Novice 1
Репутация в разделе: 1
0
Наткнулся в нете на следующее:
Quote:
Смени пароль на доступ в БД ...
Если сервер поддерживает шифрованные скрипты Zend Encode, то зашифруй скрипты Zend Encoder-ом, хотя-бы config.php, чтобы не смогли юзеры открывать файлы как локальные ...
Кто нибудь так делал?
@андэд
Продвинутый
Join Date: Aug 2005
Location: север
Posts: 289
Версия vB: 3.7.2
Reputation:
Опытный 61
Репутация в разделе: 53
0
Quote:
Originally Posted by Krad
Кто нибудь так делал?
у меня на хостинге написанно что Zend Optimizer стоит, но как им пользоваться хз =) хотя может он стоит только чтобы декодировать файлы а пакет кодирования стоит деньги
@Rule
Продвинутый
Join Date: Jan 2006
Location: улицы Города
Posts: 567
Reputation:
Опытный 78
Репутация в разделе: 55
0
Quote:
Originally Posted by КотЪ
Поставить дополнительную защиту паролем на папку админки (можно через .htaccess).
Quote:
Originally Posted by КотЪ
Переименовать админпанель.
Если несложно, то опишите вкратце как это сделать.
Rule добавил 10.02.2006 в 06:52
Quote:
Originally Posted by КотЪ
Удалить папку install.
Всю папку? А зачем тогда просят удалить только один файл из папки а не всё целиком?
Last edited by Rule : 02-10-2006 at 07:52 AM.
Reason: Добавлено сообщение
@КотЪ
Администратор
Неадекватный
Join Date: Aug 2005
Posts: 5,263
Версия vB: 3.8.x
Reputation:
Гуру 3907
Репутация в разделе: 2414
0
Quote:
Если несложно,
Сложно.
Вам сложно юзать поиск, а мне сложно повторяться.
Quote:
А зачем тогда просят удалить только один файл из папки а не всё целиком?
А зачем тогда вообще спрашивать тут советов, если вам всё лучше известно из других источников?
@Krad
Простоузер
Join Date: Sep 2005
Posts: 54
Версия vB: 4.1.10
Reputation:
Novice 1
Репутация в разделе: 1
0
Я еще слышал что существует файл под названием
"vbulletin_md5.js"
Если удается получить доступ к нему то можно подобрать в браузере код. Его как то надо изменять?
Last edited by Krad : 02-11-2006 at 02:26 AM.
@Heepa
Продвинутый
Join Date: Jan 2006
Location: .ru/.org/.net/.com
Posts: 63
Версия vB: 3.5.3
Reputation:
Опытный 11
Репутация в разделе: 11
0
Не подобрать в браузере код, а подменить куки, тобиж если у тебя автологин на форуме, если кто то получает твой пароль в хешированном виде, он может залогинеться от тебя на форуме, но в админку так просто он не попадет, для начала надо будет разшифровать пас...
@RASTABUMPER
Простоузер
Join Date: Mar 2006
Posts: 6
Reputation:
Novice 0
Репутация в разделе: 0
0
млять! нихера не спасибо...
Я конечно ламер еще тот...
Вот короче ставил ставил и тут на те:
Потом сюда пришел а сдесь УДАЛИТЕ инсталл... ну я и удалил... во млин... теперь перезаливать...
А вот че с этой надписью делать так и не понил... и как об этом в поиске писать тоже не разобрался ибо все относительно...
Взлом vBulletin
