Если Вы держите свой vbulletin форум, то рано или поздно приходится думать о защите Вашего форума. Начнем: 1) Апдейтимся в самый конец своей линейки(3.5.х,3.6.х,3.7.х) Описание: - Почему?: JelSoft постоянно закрывает всплывшие уязвимости. 2) Переименовываем админку и модерку Описание: Переименовываем админку, но в конфигурации ни в коем случае не пишем путь к нашей переименованной админке. Также переименовываем модерку, но её уже можно прописать в конфигурации(хотя тоже не желательно), так как она менее уязвима Почему?: Если переименовать админку и не указать путь в конфигурации, то будет гораздо сложнее её найти и следовательно применить XSS или еще что похуже. Есть минусы: - редактирование профиля и добавление модераторов перестанут работать без ручной правки ссылок. 3) Ставим .htaccess на админку: Описание: a) если ip статичен, то code: order allow, deny deny from all allow from you.ip.add.res b) Также ставим дополнительный пароль: Идём по ссылке: _http://vbsupport.org/htaccess.php, заполняем поля и дописываем по инструкции в наш файл htaccess. Почему?: Дополнительное паролирование админки никогда не помешает. 4) Удаляем файлы и папки: Описание: a) Удаляем файлы: /validator.php(если имеется) /checksum.md5(если имеется) b) Удаляем папки: /install/ Почему?: Небезопасные файлы от нулёных версий могут дать возможность просматривать список файлов, а также папка install очень вредная=) 5) Перемещаем вложения и аватары Описание: Идем в админку, далее: a) Вложения -> Метод хранения вложений Вложения должны храниться в базе данных Цитата: Сейчас вложения сохраняются в базе данных , если это не так, то переносим их туда с помощью кнопки 'Вперед'. b) Аватары -> Тип хранения изображений пользователя Аватары должны храниться в базе данных code: Сейчас изображения хранятся в базе данных , если это не так, то переносим их туда с помощью кнопки 'Вперед'. конфигурации хостинга, давало шанс залить через это шелл. 6)Выставляем права на папки Описание: Если выполнен пункт 5), то теперь смело ставим права на папки custom***** 644, так как они нам тепеорь не нужны(или можете их удалить). Дальше, если Вы устанавливали vbulletin по инструкции, у вас все папке в /(корне) должны иметь права 644. Проверьте это, если не так, то выставите права 644. Почему?: Затрудняем хакеру заливку шелла. 7) Нигде, никогда, никому не включаем опцию 'Разрешить html'. Описание: - Почему?: Возможность XSS атак при включенной функции. 8) Ставим .htaccess на папку includes Описание: Ставим .htaccess на папку includes следующего содержания: code: order allow, deny deny from all Почему?: - если туда каким-либо образом зальют шелл, то не смогут зайти на него. - если вас будут ддосить, то возможен такой вариант, когда интерпретатор php отваливается и остается только апач - и апача разрешает уже читать файлы php - следовательно можно будет прочитать все файлы из папки /includes/ - тот же config.php, что не очень хорошо. 9) Пихните в дир. с файлами, на которых стоят атрибуты 0777 такой хтаксесс: - (c) kerk _http://vbsupport.org/forum/member.php?u=30 Описание: code: RemoveHandler .phtml RemoveHandler .php RemoveHandler .php3 RemoveHandler .php4 RemoveHandler .php5 RemoveHandler .cgi RemoveHandler .exe RemoveHandler .pl RemoveHandler .asp RemoveHandler .aspx RemoveHandler .shtml <Files ~ "\.php|\.phtml|\.cgi|\.exe|\.pl|\.asp|\.aspx|\.sht m l"> Order allow,deny Deny from all </Files> добавить своих хэндлеров, если необходимо все, в этой директории никакой из перечисленных скриптов, выполнить нельзя Почему?: - ---------- Небольшой итог: доступ к админке получить достаточно сложно - следовательно залить шелл через админку тоже, значит можно залить шелл через уязвимости воблы, но если лить в инклуды - там есть для некоторых хаков файлы, которые требуют 777- то у нас на папке includes стоит deny from all - шелл не заюзать! а на остальные папки можно ставить права 644, если проделали все пункты - тогда достаточно сложно будет залить при правильной настройке chroot'инга(или как его там- на не совсем трезвую голову вылетело слово)... также добавилась защита от самих админов, которые лазают где не попадя, тем самым сажая себя на XSS'ки и трояны.