Как защитить SMF форум от взлома?

Автор mike, 20 октября 2009, 20:14:11

« назад - далее »

0 Пользователи и 2 гостей просматривают эту тему.

mike

Кто какие меры безопасности предпринимает?

Интересуют настройки htacess
жаль админка в SMF не вынесена в отдельную папку, подскажите:
какие папки и файлы в нем запрещаете?


а таже интересны настройки php и прочие меры по бесопасности.

Только не надо писать поставь себе на комп антивирус хороший, недавай никому пароли и т.д.

Интересны именно настройки безопасности сервера!
Заранее всем спасибо!

BIOHAZARD

делаю бэкап регулярно, вовремя обновляю форум до текущей версии
не ставлю то, что не собираюсь использовать
выключаю в настройках неиспользуемые приблуды

ещё в машине всегда пристёгиваюсь, вот
Мои моды:
  • RedirectPage
  • Counters
  • CustomSearch
  • SypexDumper
   адаптирую темы    1.1.хx<=>2.0задавая вопросы, старайтесь сразу указывать конечную цель, предполагаемый Вами путь не обязательно окажется самым коротким

Любые моды на заказ

Zlo

Актуально. Нету ли базы данных айпи анонимайзеров(хайдэсов разных), чтобы забанить все прокси сервера?

BIOHAZARD

Цитата: Zlo от 19 декабря 2009, 18:01:52
Актуально. Нету ли базы данных айпи анонимайзеров(хайдэсов разных), чтобы забанить все прокси сервера?
У Вас сервер повесится, пока все адреса всех проксей перебирать будет :о)
Мои моды:
  • RedirectPage
  • Counters
  • CustomSearch
  • SypexDumper
   адаптирую темы    1.1.хx<=>2.0задавая вопросы, старайтесь сразу указывать конечную цель, предполагаемый Вами путь не обязательно окажется самым коротким

Любые моды на заказ

Idrassil

Цитата: Zlo от 19 декабря 2009, 18:01:52
Актуально. Нету ли базы данных айпи анонимайзеров(хайдэсов разных), чтобы забанить все прокси сервера?
Есть списки ТОР http://proxy.org/tor.shtml

Validoll

А какой смысл банить IP проксей? По мне так это бесполезная работа...
Занимаюсь визуализацией модов и созданием рисунков-концептов для модификаций в разработке.
Что-то не работает? Проверьте права доступа к файлам.

Idrassil

Думаю смысл в том, чтоб не лезли некоторые особо упорные и упоротые граждане.

Gnostis

за день, появляется и умирает столько прокси серверов что проще весь интернет забанить...

Bugo

Цитата: Gnostis от 09 января 2010, 13:46:57
проще весь интернет забанить...
Образец такой установки не подскажете? :)

Mavn

Цитата: Bugo от 09 января 2010, 13:51:51
Образец такой установки не подскажете? :)
через htaccess

Order Deny,Allow
Deny from all

;D
SimpleMachines Russian Community Team
п.1 Пройду курсы гадалок для определения исходного кода по скриншоту.

п.2 У вас нет желания читать правила раздела, у меня нет желания одобрять темы, которые не соответствуют этим правилам.

Bugo


Gnostis

А вот список анонимайзеров он более менее статичен. осталось его только найти...

Mavn

SimpleMachines Russian Community Team
п.1 Пройду курсы гадалок для определения исходного кода по скриншоту.

п.2 У вас нет желания читать правила раздела, у меня нет желания одобрять темы, которые не соответствуют этим правилам.

Validoll

Поддерживаю идею про список анонимайзеров. Не думаю, что их так много, чтобы это было чрезмерно сложно. У кого какие надумки по этому поводу?
Занимаюсь визуализацией модов и созданием рисунков-концептов для модификаций в разработке.
Что-то не работает? Проверьте права доступа к файлам.

BIOHAZARD

Цитата: Validoll от 10 января 2010, 17:38:59
Поддерживаю идею про список анонимайзеров. Не думаю, что их так много,
ну я по памяти с десяток назвать могу, хотя не пользуюсь ими ВООБЩЕ, если б пользовался, то мог бы наверное назвать и побольше :о)
Мои моды:
  • RedirectPage
  • Counters
  • CustomSearch
  • SypexDumper
   адаптирую темы    1.1.хx<=>2.0задавая вопросы, старайтесь сразу указывать конечную цель, предполагаемый Вами путь не обязательно окажется самым коротким

Любые моды на заказ

Yworld_garry

Бекап всего проекта и базы, регулярный и частый. Анализ логов апача.

Остальное паранойя.
Цитироватьпсихическое нарушение, характеризующееся подозрительностью и хорошо обоснованной системой сверхценных идей, приобретающих при чрезмерной выраженности характер бреда.
:)

Взломали> Восстановили > Дальше :
1) Радуйтесь вы популярны. Восстанавливайте, анализируйте, закрывайте, развивайтесь.
2) Забейте на проект, на весь инет и мир. Уйдите в себя.
3) Ваш вариант

Roman_Grishin

Цитата: Bugo от 09 января 2010, 14:12:04
Это не бан всего интернета :)
это бан всего и всея, особенно если положить этот файлик выше папки для http доступа...
Христианский форум для всех! - Видение G12 в России!
►СПАСИБО ВСЕМ УЧАСТНИКАМ ЭТОГО ФОРУМА, БЛАГОДАРЯ ВАМ У МЕНЯ ФОРУМ РАБОТАЕТ БЕЗ ПРОБЛЕМ◄

Крокоидол

Цитата: Idrassil от 09 января 2010, 13:38:50
Думаю смысл в том, чтоб не лезли некоторые особо упорные и упоротые граждане.

I. А как насчёт автоматизации сего процесса?
1. При бане прописываем IP "забаненного" ему же в куки.
2. Анализируем куки на бан.
Если бан в куки с одним IP, а забаненный явился с другим IP - значит это прокси.
->Выставить этому IP вечный бан независимо от того, на сколько забанен прошлый IP.
3. Не обслуживать пользователей отключивших куки и/или JS. Но это уже может вызвать возмущение с их стороны(нарушение анонимности).

Смысл тут такой, что большинство троллей, дартаньянов, эльфов, упоротых граждан и т.д. и т.п. либо знают про IP, но не знают про куки, либо наоборот, либо им просто лень всё время чистить куки(лентяев всегда больше), поэтому они вам "в автоматическом режиме" перетаскают все прокси-IP.

Минус метода в том, что если "упоротые граждане" используют систему анонимности Tor - то получается, что вы забанили одного, а забанился совсем другой(эта система перемешивает IP пользователей)...
Ну и там ещё минусы по мелочи.

Но если ваши посетители не занимаются забубенной анонимностью своей деятельности, то это всё должно работать.

II. Создание закрытых групп, скрытых тем.

III. Создание "банных" систем голосования.
Суть такая, что часть проверенных "старожилов" и пользователей с определёнными правами могут "голосовать" за бан того или иного "упоротого гражданина" и если он наберёт сколько-то "банных очков", то автоматически банится. Таким образом администратор передаёт часть работы по бану "упоротых граждан" пользователям же.

IV. А теперь вопрос от меня(как следствие предложения).
1. Большинство бесплатных анонимайзеров расположено в других странах.
2. Из этого следует, что если ваш форум "заточен" под целевую аудиторию(только русскоязычную, к примеру), то можно не обслуживать ВСЕ "нерусские" IP. Это сократит список бесплатных, легкодоступных анонимайзеров процентов на 80.
3. Вопрос. Видел, что по IP можно определить страну и город. А как это сделать?(например, видел как по IP определяется на каком языке выводить текст)

P.S. Это конечно даже не вершина айсберга обеспечения безопасности. Но так как я всё-таки не специалист в этой области, то и не буду говорить о системах шифрования передаваемых данных, криптосистемах и т.д. и т.п.
А вот советы знающих людей в этой и других областях послушаю с удовольствием.

trora

ЦитироватьIII. Создание "банных" систем голосования.
Суть такая, что часть проверенных "старожилов" и пользователей с определёнными правами могут "голосовать" за бан того или иного "упоротого гражданина" и если он наберёт сколько-то "банных очков", то автоматически банится. Таким образом администратор передаёт часть работы по бану "упоротых граждан" пользователям же.
мод  репутация.
доработать чтоб при уходе в минус после определенного значения  юзер банился.  на время. еще в минус дальше- банился навсегда.  время и цифры минусов чтоб из админки задавались.
либо доработать таким же способом мод предупреждений
я не доллар чтоб всем нравиться

Validoll

Цитата: trora от 21 апреля 2010, 02:42:50
мод  репутация.
доработать чтоб при уходе в минус после определенного значения  юзер банился.  на время. еще в минус дальше- банился навсегда.  время и цифры минусов чтоб из админки задавались.
либо доработать таким же способом мод предупреждений
То есть, раз в час каждый юзер может попытать счастье - забанить друга?
Нужно создать отделный мод в котором будут вносится предупреждения (от админов\модеров исключительно)
Занимаюсь визуализацией модов и созданием рисунков-концептов для модификаций в разработке.
Что-то не работает? Проверьте права доступа к файлам.

trora

время настраивается- каждый час или раз в сутки.
либо вообще чередуя юзеров- одному и тому же нельзя  ставить оценку подряд 2 раза.
я не доллар чтоб всем нравиться

Крокоидол

Цитата: trora от 22 апреля 2010, 04:24:20
время настраивается- каждый час или раз в сутки.
либо вообще чередуя юзеров- одному и тому же нельзя  ставить оценку подряд 2 раза.
Дык понятное дело.
1. Нельзя голосовать дважды.
2. Нельзя голосовать новичкам(только старожилам со столькими-то звёздами или такой-то кармой).

Далее.
Почитал тут всякое, подумал.

http://ru.wikipedia.org/wiki/Троллинг

http://lurkmore.ru/Троллинг

НЕ окрмите тролля(статья).
http://forum.codeby.net/lofiversion/index.php/t25554.html

Кажется, у троллей считается за честь когда их банят. А что если и не банить?
Вместо бана наказание.
Например, так:
1. Создать категорию "Мусорка"(или там "Зоопарк").
2. На ней разделы "Крысятник", "Бомжатник"(СНУГ - Содружество Независимых Упоротых Граждан), "пещера тролля", "эльфятник", "серпентарий" и т.д.
3. Присваивать особо отличившимся "упоротым гражданам" почётные группы с урезанными правами "Бомж", "Алкан", "снуг" - упоротым гражданам, "тролль" - троллям и т.д.
4. И так, чтобы такие "отличившиеся" видели только свои разделы. Тролль - только пещеру тролля и т.д., а чтобы другие разделы форума были им недоступны.

Что скажете? На SMF это реально? А если да, то как примерно?

BIOHAZARD

Цитата: Крокоидол от 22 апреля 2010, 14:54:40
Вместо бана наказание.
Например, так:
1. Создать категорию "Мусорка"(или там "Зоопарк").
2. На ней разделы "Крысятник", "Бомжатник"(СНУГ - Содружество Независимых Упоротых Граждан), "пещера тролля", "эльфятник", "серпентарий" и т.д.
3. Присваивать особо отличившимся "упоротым гражданам" почётные группы с урезанными правами "Бомж", "Алкан", "снуг" - упоротым гражданам, "тролль" - троллям и т.д.
4. И так, чтобы такие "отличившиеся" видели только свои разделы. Тролль - только пещеру тролля и т.д., а чтобы другие разделы форума были им недоступны.

Что скажете? На SMF это реально? А если да, то как примерно?
права доступа по разделам
Мои моды:
  • RedirectPage
  • Counters
  • CustomSearch
  • SypexDumper
   адаптирую темы    1.1.хx<=>2.0задавая вопросы, старайтесь сразу указывать конечную цель, предполагаемый Вами путь не обязательно окажется самым коротким

Любые моды на заказ

Крокоидол

Цитата: BIOHAZARD от 22 апреля 2010, 16:05:03
права доступа по разделам
Ага нашёл, нашёл.
Просто поначалу немного запутался не получалось.
Нашёл, можно так сделать.

Elrond604

недавно обсуждал эту тему с друпальщиком, он дал ссылку на мод для друпала называемый Trol Cave (кажется).
Пещера троля, если по русски.
Идея в том, что если тролю поставить галку "посадить", то его посты видит только он сам. Может тролить сколько влезет. Поначалу он будет думать, что его просто жестко игнорят... Думаю он будте в дикой ярости, когда через несколько дней зайдет гостем и поймет что с ним случилось, и что все его "труды" ушли впустую.

Validoll

Цитата: Elrond604 от 02 июня 2010, 16:38:00
недавно обсуждал эту тему с друпальщиком, он дал ссылку на мод для друпала называемый Trol Cave (кажется).
Пещера троля, если по русски.
Идея в том, что если тролю поставить галку "посадить", то его посты видит только он сам. Может тролить сколько влезет. Поначалу он будет думать, что его просто жестко игнорят... Думаю он будте в дикой ярости, когда через несколько дней зайдет гостем и поймет что с ним случилось, и что все его "труды" ушли впустую.

А что, неплохо... Если вы не слишком кровожадны, то через заданное время можно будет ему подсветить крохотное сообщение о том, что он троль и его никто не видит...
Занимаюсь визуализацией модов и созданием рисунков-концептов для модификаций в разработке.
Что-то не работает? Проверьте права доступа к файлам.

karavan

Почитал, и как-то не увидел конкретной информации, как же всё-таки защитить SMF форум от взлома?  )

Validoll

А что тут особо говорить-то? Следить за ним, ставить пароли посложнее, делать бекапы и обновлять ядро и установленные моды.
п.с. да, и слежение за уязвимостями никто не отменял...
Занимаюсь визуализацией модов и созданием рисунков-концептов для модификаций в разработке.
Что-то не работает? Проверьте права доступа к файлам.

user666

SMF вроде, как самый защищённый форум....

BIOHAZARD

свыкнитесь с мыслью, что за популярность надо платить, потому и smf, и phpbb ломают регулярно, но они оба быстро выпускают обновления с решением проблем
просто следите за новостями в админке форума
Мои моды:
  • RedirectPage
  • Counters
  • CustomSearch
  • SypexDumper
   адаптирую темы    1.1.хx<=>2.0задавая вопросы, старайтесь сразу указывать конечную цель, предполагаемый Вами путь не обязательно окажется самым коротким

Любые моды на заказ

Digharatta

Прилагаю свой файл .htaсcess c защитой от скачивания php-файлов и запретом прокси ТОРа.

Еще помогают разнообразные моды для SMF: Forum Firewall, Stop Spammer, Login Security, httpBL, Bad Behaviour.

Innaboro

Цитата: Digharatta от 14 февраля 2011, 20:09:52
Прилагаю свой файл .htaсcess c защитой от скачивания php-файлов и запретом прокси ТОРа.

Еще помогают разнообразные моды для SMF: Forum Firewall, Stop Spammer, Login Security, httpBL, Bad Behaviour.
эти моды где безопасно взять?меня достали силиконовый сиськи уже и т.д.
Большое всем спасибо за понимание, терпение и консультации.

human

Цитата: Innaboro от 14 февраля 2011, 20:56:09
эти моды где безопасно взять?меня достали силиконовый сиськи уже и т.д.
На официальном сайте http://custom.simplemachines.org/mods/
Правильно заданный вопрос - половина ответа..

Digharatta

Join Reason - http://custom.simplemachines.org/mods/index.php?mod=2326

reCAPTCHA for SMF - http://custom.simplemachines.org/mods/index.php?mod=1044

Forum Firewall - http://custom.simplemachines.org/mods/index.php?mod=2815

Login Security - http://custom.simplemachines.org/mods/index.php?mod=2181

Stop Spammer - http://custom.simplemachines.org/mods/index.php?mod=1547

httpBL - http://custom.simplemachines.org/mods/index.php?mod=2155

К сожалению, эти моды неважно переведены на русский, а иногда и вообще не переведены, и поэтому приходится вручную доделывать или переделывать русские языковые файлы в папке

Themes/default/languages/

исправляя русский перевод, или добавляя в русские файлы нужные части из сответствующих английских файлов.

Digharatta


0daliska

Есть прекрасная игровая капча для SMF 1 ветки... И к тому же русская... Ее еще ни разу не взломали пока что... :)
http://www.simplemachines.ru/index.php?topic=11534.msg83829#msg83829
Уехала отдыхать. Сейчас без интернета до 1 августа. Приеду - выполню все обещания
® For members of Russian community (simplemachines.ru) only


Digharatta

Проверить сайт и форум на уязвимости можно с помощью Acunetix Web Vulnerabilty Scanner (Free Edition) http://www.acunetix.com/cross-site-scripting/scanner.htm .

Digharatta

Цитата: t3st3r от 08 апреля 2011, 13:09:42
thanks!

test1.gif

Видно, хакеры нервничают, раз загружают в эту тему под видом изображений (test1.gif) php-скрипты (наверное, вредоносные).

yrygvay

какие хакеры то)))) обычный спам!
Music in Soul
Помогу с переездом с UCOZ

Digharatta

Цитата: Zlo от 19 декабря 2009, 18:01:52Актуально. Нету ли базы данных айпи анонимайзеров(хайдэсов разных), чтобы забанить все прокси сервера?

С помощью мода Bad Behavior можно забанить те айпи, с которых обычно заходят спаммеры:

http://custom.simplemachines.org/mods/index.php?mod=2502

Правда, у меня после установки стали всплывать некоторые ошибки, и пришлось исправить их вручную.

Digharatta

Переведенные на русский моды, защищающие форум от спам-ботов и злоумышленников, от Dragomano:

http://dragomano.ru/category/security

Digharatta

Бесплатная проверка сайта и форума на уязвимости:

https://freescan.qualys.com/