Как защитить форум от взлома?

[Alexnet]

Сорри за тупой вопрос:

Вот я сделал:

 

<Files ~ "admin.php"> 
AuthName "Administration Zone"
AuthType Basic
AuthUserFile /pub/home/htdocs/files/.htpasswd
require valid-user
</Files>

 

создал .htpasswd, в нём просто написал Логин:пароль.

И ничего не происходит, т.е. парольне воспринимается, или может надо как-то подругому писать в .htpasswd.

[Garret]

Файлик .htpasswd генерируеться специальной одноименной утилитой, она обычно идем вместе с Апачем.

[Alexnet]

я в этом плохо разбираюсь - у меня хостинг, там стоит панель Plesk.

[Valera]

Возможно эта панель управления поддерживает паролирование директорий.

[Alexnet]

так я паролировал, но внешне ничего не заметно, по идеи же при входе в админку соответственно должен спашивать пароль, который был установлен на этот файл, но такого нет(((((((((

[LE_TALLEC]

http://www.softtime.ru/info/articlephp.php?id_article=27

[AngelNet]

Как сгенерировать файл .htaccess.

http://www.computerra.ru/gid/rtfm/web/292461/

[dimitry]

Существуют модификации типа Admin File Security 1.01, которая позволяет переименовать файл admin.php в другой и тем самым, если злоумышленник решит ввести в браузере

Код

Адрес форума/admin.php

то его ждет разочарование - там такого файла не окажется либо будет инфа типа:

Код

if ( ! defined( 'IN_ACP' ) )
{
print "<h1>403 - FORBIDDEN!!!</h1>У Вас нет разрешения на обращение к этому файлу! Ваше действие записано в логах и Вы лишитесь права доступа к форуму!";
exit();
}
?>

 

Однако, считаю, что даже несмотря на паролирование через htpassword htaccess мод secure login (после n неверных попыток ввода - блокировка аккаунта или бан IP атакующего) или паролирование файла admin.php через панель управления сайтом на хостинге,

возникает вопрос, а никто случайно не придумал тот же код, что работает, если идет несанкционированный доступ к панели модератора

Здесь работает скрипт sources/mod_cp.php и код в нем (строка 105):

Код

//-------------------------------------
	// Make sure we're a moderator...
	//-------------------------------------

	$pass = 0;

	if ($ibforums->member['id'])
	{
		if ($ibforums->member['g_is_supmod'] == 1)
		{
			$pass = 1;
		}
		else if ($ibforums->member['is_mod'])
		{
			// Load mod..

			// If we're not just viewing the forum list, then check the incoming forum ID and
			// ensure that they have mod powers

			if ($this->forum_id != "")
			{
				$qe = ' forum_id='.$this->forum_id.' AND ';
			}
			else
			{
				$qe = "";
			}

			$DB->query("SELECT * FROM ibf_moderators WHERE $qe (member_id='".$ibforums->member['id']."' OR (is_group=1 AND group_id='".$ibforums->member['mgroup']."'))");

			if ( $this->moderator = $DB->fetch_row() )
			{
				$pass = 1;
			}
		}
		else
		{
			$pass = 0;
		}
	}

	if ($pass == 0)
	{
		$std->Error( array( LEVEL => 1, MSG => 'no_permission') );
	}

 

Вопрос:

Можно ли подобный код прикрутить к файлу admin.php доступа к админке, чтобы выдавалось

Код

$std->Error( array( LEVEL => 1, MSG => 'no_permission') );

[SplideX]

я просто удалил admin.php

когда надо поправить что-то, то я просто его заливаю а это не так часто.

[djyuran]

а как защитить форум от, видимо, дос-атаки?

mysql валится...

[pikachu]

SplideX: к сожалению не все атаки на форум идут через admin.php

[$EGUR@]

от дос аттаки может тока твой хостер защититься сам сервер, путём автоматического блокирования ip адресов тех кто досит

[Denny]

от дос аттаки может тока твой хостер защититься сам сервер, путём автоматического блокирования ip адресов тех кто досит

Наивное предположение Во время бана сервер ляжет, показал бы на практике, но это стоит 1000-2000$ минимум

[replicant]

2 Denny: что стоит 1000-2000 $ минимум? ЗаДОСить ресурс или защитить от ДОСа? Кстати откуда цены?

[Denny]

2 Denny: что стоит 1000-2000 $ минимум? ЗаДОСить ресурс или защитить от ДОСа? Кстати откуда цены?

А ты внимательно читай и всё поймёшь я говорил о ДОСе, а не о защите.

[tend]

за 50$ подниму безопасность до уровня этого форума (антибрут в форме логина, защита паролей пользователей при передаче клиент->сервер, защита админки (или привязка на вход только с опеределенного IP, или динамически меняющийся логин/пароль)), защита хэшей паролей от брута + защита от кейлогера в админке. Защита полностью индивидуальна для каждого форума.

 

Есть несколько непоняток.

1. Что такое защита паролей пользователей при передаче клиент->сервер? По умолчанию этого в форуме нет?

2. Защита хэшей паролей от брута - это я понимаю мудреное шифрование с солью. Так? Или что-то совсем другое?

3. А вот это вообще не понял: защита от кейлогера в админке. Что это за защита такая?

[Чёртос-2]

за 50$ подниму безопасность до уровня этого форума (антибрут в форме логина, защита паролей пользователей при передаче клиент->сервер, защита админки (или привязка на вход только с опеределенного IP, или динамически меняющийся логин/пароль)), защита хэшей паролей от брута + защита от кейлогера в админке. Защита полностью индивидуальна для каждого форума.

Есть несколько непоняток.

1. Что такое защита паролей пользователей при передаче клиент->сервер? По умолчанию этого в форуме нет?

2. Защита хэшей паролей от брута - это я понимаю мудреное шифрование с солью. Так? Или что-то совсем другое?

3. А вот это вообще не понял: защита от кейлогера в админке. Что это за защита такая?

С одной стороны, это сообщение GiV’а было написано два с половиной года назад и уже успело безбожно устареть, но, с другой стороны, мне тоже интересно: как такая защита делалась? Особенно интересно, конечно же, защита паролей при передаче через Интернет и усложнение перебора паролей, ну и «антибрут в форме логина» — это что такое?

 

Защиту от слежки за нажатиями на клавиши (читай: защиту от KeyLogger’ов) можно довольно просто сделать, например, с использованием JavaScript. Нажимаешь на кнопочку или ссылочку на странице, и в поле для ввода пароля самостоятельно появляется соответствующий символ. А еще лучше, если даже и не в поле ввода пароля.

 

P.S. Если имя пользователя и пароль для входа в админцентр, как обещано, меняются динамически, как же их может узнать сам администратор, которому их надо ввести?

[tend]

Антибрут в форме логина - это от перебора паролей для аккаунта. После нескольких неудачных попыток аккаунт блокируется до разблокирования админом.

Если вводить пароль по кнопочкам, запариться можно от 14-значного пароля. Я думаю, здесь что-то другое имелось в виду.

При динамической смене пароль и логин автоматически присылаются на e-mail админу.

[hsania]

Извините, ну чтото не могу розобраться с вот етим!!!

 

<Files  admin.php> 
AuthName "Administration Zone"
AuthType Basic
AuthUserFile /home/vol3/php0h.com/clubmusic/.htpasswd
require valid-user
</Files>

Ето у файле .htaccess

 

 

Sany:$apr1$9m5.....$Y2.OGT28kNioD?????????.
Shooroop:$apr1$Xp5.....$F1XkJUiMtq??????????.

Ето у файле .htpasswd

 

Хостер все поддерживает, тоесть файл .htaccess!!!

Когда захожу в админку, появляется окно ввода пароля, (тоесть перед доступом к файлу admin.php) ввожу пароль, тот что сгенерировала утилита htpasswd и меня никуда не пускает. Что делать? Может ето ошибки в файлах .htaccess, .htpasswd???? Файл .htpasswd

лежит в папке www, там где и сам форум!!!

(По форумах только начинающии)

[Arhar]

вот здесь наверно ошибка, в путе

AuthUserFile /home/vol3/php0h.com/clubmusic/.htpasswd

[hsania]

Уже что не делал!!!! А что туда нужно написать вот даные хостера Path to your site /home/vol3/php0h.com/clubmusic .

[hsania]

Когда я делаю так с папками, то все работает!!!! Я просто стираю строку <Files admin.php>. Когда переношу файл admin.php в другой каталог, тот что защищен, то открывается просто белая страница, ето посли ввода пароля!!! Даже если защита не включена, всеравно белая страница! Как поступить!!!???

[eklips13]

Доброе время суток!

 

Вобщем вопрос по секурити ипб. Я чото в нём разочаровался

просьба дать ответы хоть на какие-либо ниже написанных пунктов:

1. Осушествление входа в админку исключительно по определённым айпи адрессам!

2. При входе в админку пишеться мол сессии администратора не найдены.... Это как понимать если я админ? Если действительно вход не по сессиям, то подскажите как сделать отдельные сессиии для админки.

3. Очень хотелось бы переименовать стандартное имя admin.php на другое..... Там так просто как в слаеде не сделаешь

4. Переименовать админскую группу id вроде с 4 на другую цифру. Где на хак сайте прочитал это решение

5. Запретить ссылку /forum/index.php?act=Online&st=-1 Через неё узнать можно префикс таблиц.

 

Очень надеюсь на вашу помошь. Заранее спасибо!

[$EGUR@]

от дос аттаки может тока твой хостер защититься сам сервер, путём автоматического блокирования ip адресов тех кто досит

Наивное предположение Во время бана сервер ляжет, показал бы на практике, но это стоит 1000-2000$ минимум

 

ну так у моих знакомых свой хостинг был, и они покупали скрипт который автоматом блокирует все айпи которые начинают грузить или ддосить сервак

[Song]

Очень надеюсь на вашу помошь. Заранее спасибо!

ну а пальцем ударить, поискать на форуме?

Или вы считаете, что мы должны подорваться и это всё для вас сделать?