Alexnet Опубликовано 16 Сентября 2006 Жалоба Поделиться Опубликовано 16 Сентября 2006 Сорри за тупой вопрос:Вот я сделал: <Files ~ "admin.php"> AuthName "Administration Zone" AuthType Basic AuthUserFile /pub/home/htdocs/files/.htpasswd require valid-user </Files> создал .htpasswd, в нём просто написал Логин:пароль.И ничего не происходит, т.е. парольне воспринимается, или может надо как-то подругому писать в .htpasswd. Ссылка на комментарий Поделиться на других сайтах Прочее
Garret Опубликовано 16 Сентября 2006 Жалоба Поделиться Опубликовано 16 Сентября 2006 Файлик .htpasswd генерируеться специальной одноименной утилитой, она обычно идем вместе с Апачем. Ссылка на комментарий Поделиться на других сайтах Прочее
Alexnet Опубликовано 16 Сентября 2006 Жалоба Поделиться Опубликовано 16 Сентября 2006 я в этом плохо разбираюсь - у меня хостинг, там стоит панель Plesk. Ссылка на комментарий Поделиться на других сайтах Прочее
Valera Опубликовано 16 Сентября 2006 Жалоба Поделиться Опубликовано 16 Сентября 2006 Возможно эта панель управления поддерживает паролирование директорий. Ссылка на комментарий Поделиться на других сайтах Прочее
Alexnet Опубликовано 16 Сентября 2006 Жалоба Поделиться Опубликовано 16 Сентября 2006 так я паролировал, но внешне ничего не заметно, по идеи же при входе в админку соответственно должен спашивать пароль, который был установлен на этот файл, но такого нет((((((((( Ссылка на комментарий Поделиться на других сайтах Прочее
LE_TALLEC Опубликовано 16 Сентября 2006 Жалоба Поделиться Опубликовано 16 Сентября 2006 http://www.softtime.ru/info/articlephp.php?id_article=27 Ссылка на комментарий Поделиться на других сайтах Прочее
AngelNet Опубликовано 4 Ноября 2006 Жалоба Поделиться Опубликовано 4 Ноября 2006 Как сгенерировать файл .htaccess.http://www.computerra.ru/gid/rtfm/web/292461/ Ссылка на комментарий Поделиться на других сайтах Прочее
dimitry Опубликовано 5 Ноября 2006 Жалоба Поделиться Опубликовано 5 Ноября 2006 Существуют модификации типа Admin File Security 1.01, которая позволяет переименовать файл admin.php в другой и тем самым, если злоумышленник решит ввести в браузере КодАдрес форума/admin.phpто его ждет разочарование - там такого файла не окажется либо будет инфа типа:Кодif ( ! defined( 'IN_ACP' ) ) { print "<h1>403 - FORBIDDEN!!!</h1>У Вас нет разрешения на обращение к этому файлу! Ваше действие записано в логах и Вы лишитесь права доступа к форуму!"; exit(); } ?> Однако, считаю, что даже несмотря на паролирование через htpassword htaccess мод secure login (после n неверных попыток ввода - блокировка аккаунта или бан IP атакующего) или паролирование файла admin.php через панель управления сайтом на хостинге,возникает вопрос, а никто случайно не придумал тот же код, что работает, если идет несанкционированный доступ к панели модератораЗдесь работает скрипт sources/mod_cp.php и код в нем (строка 105):Код//------------------------------------- // Make sure we're a moderator... //------------------------------------- $pass = 0; if ($ibforums->member['id']) { if ($ibforums->member['g_is_supmod'] == 1) { $pass = 1; } else if ($ibforums->member['is_mod']) { // Load mod.. // If we're not just viewing the forum list, then check the incoming forum ID and // ensure that they have mod powers if ($this->forum_id != "") { $qe = ' forum_id='.$this->forum_id.' AND '; } else { $qe = ""; } $DB->query("SELECT * FROM ibf_moderators WHERE $qe (member_id='".$ibforums->member['id']."' OR (is_group=1 AND group_id='".$ibforums->member['mgroup']."'))"); if ( $this->moderator = $DB->fetch_row() ) { $pass = 1; } } else { $pass = 0; } } if ($pass == 0) { $std->Error( array( LEVEL => 1, MSG => 'no_permission') ); } Вопрос: Можно ли подобный код прикрутить к файлу admin.php доступа к админке, чтобы выдавалосьКод$std->Error( array( LEVEL => 1, MSG => 'no_permission') ); Ссылка на комментарий Поделиться на других сайтах Прочее
SplideX Опубликовано 6 Ноября 2006 Жалоба Поделиться Опубликовано 6 Ноября 2006 я просто удалил admin.phpкогда надо поправить что-то, то я просто его заливаю а это не так часто. Ссылка на комментарий Поделиться на других сайтах Прочее
djyuran Опубликовано 2 Декабря 2006 Жалоба Поделиться Опубликовано 2 Декабря 2006 а как защитить форум от, видимо, дос-атаки?mysql валится... Ссылка на комментарий Поделиться на других сайтах Прочее
pikachu Опубликовано 2 Декабря 2006 Жалоба Поделиться Опубликовано 2 Декабря 2006 SplideX: к сожалению не все атаки на форум идут через admin.php Ссылка на комментарий Поделиться на других сайтах Прочее
$EGUR@ Опубликовано 3 Декабря 2006 Жалоба Поделиться Опубликовано 3 Декабря 2006 от дос аттаки может тока твой хостер защититься сам сервер, путём автоматического блокирования ip адресов тех кто досит Ссылка на комментарий Поделиться на других сайтах Прочее
Denny Опубликовано 5 Декабря 2006 Жалоба Поделиться Опубликовано 5 Декабря 2006 от дос аттаки может тока твой хостер защититься сам сервер, путём автоматического блокирования ip адресов тех кто доситНаивное предположение Во время бана сервер ляжет, показал бы на практике, но это стоит 1000-2000$ минимум Ссылка на комментарий Поделиться на других сайтах Прочее
replicant Опубликовано 5 Декабря 2006 Жалоба Поделиться Опубликовано 5 Декабря 2006 2 Denny: что стоит 1000-2000 $ минимум? ЗаДОСить ресурс или защитить от ДОСа? Кстати откуда цены? Ссылка на комментарий Поделиться на других сайтах Прочее
Denny Опубликовано 6 Декабря 2006 Жалоба Поделиться Опубликовано 6 Декабря 2006 2 Denny: что стоит 1000-2000 $ минимум? ЗаДОСить ресурс или защитить от ДОСа? Кстати откуда цены?А ты внимательно читай и всё поймёшь я говорил о ДОСе, а не о защите. Ссылка на комментарий Поделиться на других сайтах Прочее
tend Опубликовано 8 Февраля 2007 Жалоба Поделиться Опубликовано 8 Февраля 2007 за 50$ подниму безопасность до уровня этого форума (антибрут в форме логина, защита паролей пользователей при передаче клиент->сервер, защита админки (или привязка на вход только с опеределенного IP, или динамически меняющийся логин/пароль)), защита хэшей паролей от брута + защита от кейлогера в админке. Защита полностью индивидуальна для каждого форума. Есть несколько непоняток.1. Что такое защита паролей пользователей при передаче клиент->сервер? По умолчанию этого в форуме нет?2. Защита хэшей паролей от брута - это я понимаю мудреное шифрование с солью. Так? Или что-то совсем другое?3. А вот это вообще не понял: защита от кейлогера в админке. Что это за защита такая? Ссылка на комментарий Поделиться на других сайтах Прочее
Чёртос-2 Опубликовано 8 Февраля 2007 Жалоба Поделиться Опубликовано 8 Февраля 2007 за 50$ подниму безопасность до уровня этого форума (антибрут в форме логина, защита паролей пользователей при передаче клиент->сервер, защита админки (или привязка на вход только с опеределенного IP, или динамически меняющийся логин/пароль)), защита хэшей паролей от брута + защита от кейлогера в админке. Защита полностью индивидуальна для каждого форума.Есть несколько непоняток.1. Что такое защита паролей пользователей при передаче клиент->сервер? По умолчанию этого в форуме нет?2. Защита хэшей паролей от брута - это я понимаю мудреное шифрование с солью. Так? Или что-то совсем другое?3. А вот это вообще не понял: защита от кейлогера в админке. Что это за защита такая?С одной стороны, это сообщение GiV’а было написано два с половиной года назад и уже успело безбожно устареть, но, с другой стороны, мне тоже интересно: как такая защита делалась? Особенно интересно, конечно же, защита паролей при передаче через Интернет и усложнение перебора паролей, ну и «антибрут в форме логина» — это что такое? Защиту от слежки за нажатиями на клавиши (читай: защиту от KeyLogger’ов) можно довольно просто сделать, например, с использованием JavaScript. Нажимаешь на кнопочку или ссылочку на странице, и в поле для ввода пароля самостоятельно появляется соответствующий символ. А еще лучше, если даже и не в поле ввода пароля. P.S. Если имя пользователя и пароль для входа в админцентр, как обещано, меняются динамически, как же их может узнать сам администратор, которому их надо ввести? Ссылка на комментарий Поделиться на других сайтах Прочее
tend Опубликовано 9 Февраля 2007 Жалоба Поделиться Опубликовано 9 Февраля 2007 Антибрут в форме логина - это от перебора паролей для аккаунта. После нескольких неудачных попыток аккаунт блокируется до разблокирования админом.Если вводить пароль по кнопочкам, запариться можно от 14-значного пароля. Я думаю, здесь что-то другое имелось в виду.При динамической смене пароль и логин автоматически присылаются на e-mail админу. Ссылка на комментарий Поделиться на других сайтах Прочее
hsania Опубликовано 27 Февраля 2007 Жалоба Поделиться Опубликовано 27 Февраля 2007 Извините, ну чтото не могу розобраться с вот етим!!! <Files admin.php> AuthName "Administration Zone" AuthType Basic AuthUserFile /home/vol3/php0h.com/clubmusic/.htpasswd require valid-user </Files>Ето у файле .htaccess Sany:$apr1$9m5.....$Y2.OGT28kNioD?????????. Shooroop:$apr1$Xp5.....$F1XkJUiMtq??????????.Ето у файле .htpasswd Хостер все поддерживает, тоесть файл .htaccess!!! Когда захожу в админку, появляется окно ввода пароля, (тоесть перед доступом к файлу admin.php) ввожу пароль, тот что сгенерировала утилита htpasswd и меня никуда не пускает. Что делать? Может ето ошибки в файлах .htaccess, .htpasswd???? Файл .htpasswdлежит в папке www, там где и сам форум!!!(По форумах только начинающии) Ссылка на комментарий Поделиться на других сайтах Прочее
Arhar Опубликовано 27 Февраля 2007 Жалоба Поделиться Опубликовано 27 Февраля 2007 вот здесь наверно ошибка, в путеAuthUserFile /home/vol3/php0h.com/clubmusic/.htpasswd Ссылка на комментарий Поделиться на других сайтах Прочее
hsania Опубликовано 27 Февраля 2007 Жалоба Поделиться Опубликовано 27 Февраля 2007 Уже что не делал!!!! А что туда нужно написать вот даные хостера Path to your site /home/vol3/php0h.com/clubmusic . Ссылка на комментарий Поделиться на других сайтах Прочее
hsania Опубликовано 27 Февраля 2007 Жалоба Поделиться Опубликовано 27 Февраля 2007 Когда я делаю так с папками, то все работает!!!! Я просто стираю строку <Files admin.php>. Когда переношу файл admin.php в другой каталог, тот что защищен, то открывается просто белая страница, ето посли ввода пароля!!! Даже если защита не включена, всеравно белая страница! Как поступить!!!??? Ссылка на комментарий Поделиться на других сайтах Прочее
eklips13 Опубликовано 5 Марта 2007 Жалоба Поделиться Опубликовано 5 Марта 2007 Доброе время суток! Вобщем вопрос по секурити ипб. Я чото в нём разочаровался просьба дать ответы хоть на какие-либо ниже написанных пунктов:1. Осушествление входа в админку исключительно по определённым айпи адрессам!2. При входе в админку пишеться мол сессии администратора не найдены.... Это как понимать если я админ? Если действительно вход не по сессиям, то подскажите как сделать отдельные сессиии для админки.3. Очень хотелось бы переименовать стандартное имя admin.php на другое..... Там так просто как в слаеде не сделаешь 4. Переименовать админскую группу id вроде с 4 на другую цифру. Где на хак сайте прочитал это решение 5. Запретить ссылку /forum/index.php?act=Online&st=-1 Через неё узнать можно префикс таблиц. Очень надеюсь на вашу помошь. Заранее спасибо! Ссылка на комментарий Поделиться на других сайтах Прочее
$EGUR@ Опубликовано 15 Марта 2007 Жалоба Поделиться Опубликовано 15 Марта 2007 от дос аттаки может тока твой хостер защититься сам сервер, путём автоматического блокирования ip адресов тех кто доситНаивное предположение Во время бана сервер ляжет, показал бы на практике, но это стоит 1000-2000$ минимум ну так у моих знакомых свой хостинг был, и они покупали скрипт который автоматом блокирует все айпи которые начинают грузить или ддосить сервак Ссылка на комментарий Поделиться на других сайтах Прочее
Song Опубликовано 16 Марта 2007 Жалоба Поделиться Опубликовано 16 Марта 2007 Очень надеюсь на вашу помошь. Заранее спасибо!ну а пальцем ударить, поискать на форуме?Или вы считаете, что мы должны подорваться и это всё для вас сделать? Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения