Как защитить SMF форум от взлома?

[mike]

Кто какие меры безопасности предпринимает?

Интересуют настройки htacess
жаль админка в SMF не вынесена в отдельную папку, подскажите:
какие папки и файлы в нем запрещаете?


а таже интересны настройки php и прочие меры по бесопасности.

Только не надо писать поставь себе на комп антивирус хороший, недавай никому пароли и т.д.

Интересны именно настройки безопасности сервера!
Заранее всем спасибо!

[BIOHAZARD]

делаю бэкап регулярно, вовремя обновляю форум до текущей версии
не ставлю то, что не собираюсь использовать
выключаю в настройках неиспользуемые приблуды

ещё в машине всегда пристёгиваюсь, вот

[Zlo]

Актуально. Нету ли базы данных айпи анонимайзеров(хайдэсов разных), чтобы забанить все прокси сервера?

[BIOHAZARD]

Актуально. Нету ли базы данных айпи анонимайзеров(хайдэсов разных), чтобы забанить все прокси сервера?

У Вас сервер повесится, пока все адреса всех проксей перебирать будет :о)

[Idrassil]

Актуально. Нету ли базы данных айпи анонимайзеров(хайдэсов разных), чтобы забанить все прокси сервера?

Есть списки ТОР http://proxy.org/tor.shtml

[Validoll]

А какой смысл банить IP проксей? По мне так это бесполезная работа...

[Idrassil]

Думаю смысл в том, чтоб не лезли некоторые особо упорные и упоротые граждане.

[Gnostis]

за день, появляется и умирает столько прокси серверов что проще весь интернет забанить...

[Bugo]

проще весь интернет забанить...

Образец такой установки не подскажете?

[Mavn]

Образец такой установки не подскажете?

через htaccess

Код Выделить Развернуть


Order Deny,Allow
Deny from all


[Bugo]

Это не бан всего интернета

[Gnostis]

А вот список анонимайзеров он более менее статичен. осталось его только найти...

[Mavn]

Это не бан всего интернета

а почему бы нет

[Validoll]

Поддерживаю идею про список анонимайзеров. Не думаю, что их так много, чтобы это было чрезмерно сложно. У кого какие надумки по этому поводу?

[BIOHAZARD]

Поддерживаю идею про список анонимайзеров. Не думаю, что их так много,

ну я по памяти с десяток назвать могу, хотя не пользуюсь ими ВООБЩЕ, если б пользовался, то мог бы наверное назвать и побольше :о)

[Yworld_garry]

Бекап всего проекта и базы, регулярный и частый. Анализ логов апача.

Остальное паранойя.

психическое нарушение, характеризующееся подозрительностью и хорошо обоснованной системой сверхценных идей, приобретающих при чрезмерной выраженности характер бреда.

Взломали> Восстановили > Дальше :
1) Радуйтесь вы популярны. Восстанавливайте, анализируйте, закрывайте, развивайтесь.
2) Забейте на проект, на весь инет и мир. Уйдите в себя.
3) Ваш вариант

[Roman_Grishin]

Это не бан всего интернета

это бан всего и всея, особенно если положить этот файлик выше папки для http доступа...

[Крокоидол]

Думаю смысл в том, чтоб не лезли некоторые особо упорные и упоротые граждане.

I. А как насчёт автоматизации сего процесса?
1. При бане прописываем IP "забаненного" ему же в куки.
2. Анализируем куки на бан.
Если бан в куки с одним IP, а забаненный явился с другим IP - значит это прокси.
->Выставить этому IP вечный бан независимо от того, на сколько забанен прошлый IP.
3. Не обслуживать пользователей отключивших куки и/или JS. Но это уже может вызвать возмущение с их стороны(нарушение анонимности).

Смысл тут такой, что большинство троллей, дартаньянов, эльфов, упоротых граждан и т.д. и т.п. либо знают про IP, но не знают про куки, либо наоборот, либо им просто лень всё время чистить куки(лентяев всегда больше), поэтому они вам "в автоматическом режиме" перетаскают все прокси-IP.

Минус метода в том, что если "упоротые граждане" используют систему анонимности Tor - то получается, что вы забанили одного, а забанился совсем другой(эта система перемешивает IP пользователей)...
Ну и там ещё минусы по мелочи.

Но если ваши посетители не занимаются забубенной анонимностью своей деятельности, то это всё должно работать.

II. Создание закрытых групп, скрытых тем.

III. Создание "банных" систем голосования.
Суть такая, что часть проверенных "старожилов" и пользователей с определёнными правами могут "голосовать" за бан того или иного "упоротого гражданина" и если он наберёт сколько-то "банных очков", то автоматически банится. Таким образом администратор передаёт часть работы по бану "упоротых граждан" пользователям же.

IV. А теперь вопрос от меня(как следствие предложения).
1. Большинство бесплатных анонимайзеров расположено в других странах.
2. Из этого следует, что если ваш форум "заточен" под целевую аудиторию(только русскоязычную, к примеру), то можно не обслуживать ВСЕ "нерусские" IP. Это сократит список бесплатных, легкодоступных анонимайзеров процентов на 80.
3. Вопрос. Видел, что по IP можно определить страну и город. А как это сделать?(например, видел как по IP определяется на каком языке выводить текст)

P.S. Это конечно даже не вершина айсберга обеспечения безопасности. Но так как я всё-таки не специалист в этой области, то и не буду говорить о системах шифрования передаваемых данных, криптосистемах и т.д. и т.п.
А вот советы знающих людей в этой и других областях послушаю с удовольствием.

[trora]

III. Создание "банных" систем голосования.
Суть такая, что часть проверенных "старожилов" и пользователей с определёнными правами могут "голосовать" за бан того или иного "упоротого гражданина" и если он наберёт сколько-то "банных очков", то автоматически банится. Таким образом администратор передаёт часть работы по бану "упоротых граждан" пользователям же.

мод  репутация.
доработать чтоб при уходе в минус после определенного значения  юзер банился.  на время. еще в минус дальше- банился навсегда.  время и цифры минусов чтоб из админки задавались.
либо доработать таким же способом мод предупреждений

[Validoll]

мод  репутация.
доработать чтоб при уходе в минус после определенного значения  юзер банился.  на время. еще в минус дальше- банился навсегда.  время и цифры минусов чтоб из админки задавались.
либо доработать таким же способом мод предупреждений

То есть, раз в час каждый юзер может попытать счастье - забанить друга?
Нужно создать отделный мод в котором будут вносится предупреждения (от админов\модеров исключительно)

[trora]

время настраивается- каждый час или раз в сутки.
либо вообще чередуя юзеров- одному и тому же нельзя  ставить оценку подряд 2 раза.

[Крокоидол]

время настраивается- каждый час или раз в сутки.
либо вообще чередуя юзеров- одному и тому же нельзя  ставить оценку подряд 2 раза.

Дык понятное дело.
1. Нельзя голосовать дважды.
2. Нельзя голосовать новичкам(только старожилам со столькими-то звёздами или такой-то кармой).

Далее.
Почитал тут всякое, подумал.

http://ru.wikipedia.org/wiki/Троллинг

http://lurkmore.ru/Троллинг

НЕ окрмите тролля(статья).
http://forum.codeby.net/lofiversion/index.php/t25554.html

Кажется, у троллей считается за честь когда их банят. А что если и не банить?
Вместо бана наказание.
Например, так:
1. Создать категорию "Мусорка"(или там "Зоопарк").
2. На ней разделы "Крысятник", "Бомжатник"(СНУГ - Содружество Независимых Упоротых Граждан), "пещера тролля", "эльфятник", "серпентарий" и т.д.
3. Присваивать особо отличившимся "упоротым гражданам" почётные группы с урезанными правами "Бомж", "Алкан", "снуг" - упоротым гражданам, "тролль" - троллям и т.д.
4. И так, чтобы такие "отличившиеся" видели только свои разделы. Тролль - только пещеру тролля и т.д., а чтобы другие разделы форума были им недоступны.

Что скажете? На SMF это реально? А если да, то как примерно?

[BIOHAZARD]

Вместо бана наказание.
Например, так:
1. Создать категорию "Мусорка"(или там "Зоопарк").
2. На ней разделы "Крысятник", "Бомжатник"(СНУГ - Содружество Независимых Упоротых Граждан), "пещера тролля", "эльфятник", "серпентарий" и т.д.
3. Присваивать особо отличившимся "упоротым гражданам" почётные группы с урезанными правами "Бомж", "Алкан", "снуг" - упоротым гражданам, "тролль" - троллям и т.д.
4. И так, чтобы такие "отличившиеся" видели только свои разделы. Тролль - только пещеру тролля и т.д., а чтобы другие разделы форума были им недоступны.

Что скажете? На SMF это реально? А если да, то как примерно?

права доступа по разделам

[Крокоидол]

права доступа по разделам

Ага нашёл, нашёл.
Просто поначалу немного запутался не получалось.
Нашёл, можно так сделать.

[Elrond604]

недавно обсуждал эту тему с друпальщиком, он дал ссылку на мод для друпала называемый Trol Cave (кажется).
Пещера троля, если по русски.
Идея в том, что если тролю поставить галку "посадить", то его посты видит только он сам. Может тролить сколько влезет. Поначалу он будет думать, что его просто жестко игнорят... Думаю он будте в дикой ярости, когда через несколько дней зайдет гостем и поймет что с ним случилось, и что все его "труды" ушли впустую.

[Validoll]

недавно обсуждал эту тему с друпальщиком, он дал ссылку на мод для друпала называемый Trol Cave (кажется).
Пещера троля, если по русски.
Идея в том, что если тролю поставить галку "посадить", то его посты видит только он сам. Может тролить сколько влезет. Поначалу он будет думать, что его просто жестко игнорят... Думаю он будте в дикой ярости, когда через несколько дней зайдет гостем и поймет что с ним случилось, и что все его "труды" ушли впустую.

А что, неплохо... Если вы не слишком кровожадны, то через заданное время можно будет ему подсветить крохотное сообщение о том, что он троль и его никто не видит...

[karavan]

Почитал, и как-то не увидел конкретной информации, как же всё-таки защитить SMF форум от взлома?  )

[Validoll]

А что тут особо говорить-то? Следить за ним, ставить пароли посложнее, делать бекапы и обновлять ядро и установленные моды.
п.с. да, и слежение за уязвимостями никто не отменял...

[user666]

SMF вроде, как самый защищённый форум....

[BIOHAZARD]

свыкнитесь с мыслью, что за популярность надо платить, потому и smf, и phpbb ломают регулярно, но они оба быстро выпускают обновления с решением проблем
просто следите за новостями в админке форума

[Digharatta]

Прилагаю свой файл .htaсcess c защитой от скачивания php-файлов и запретом прокси ТОРа.

Еще помогают разнообразные моды для SMF: Forum Firewall, Stop Spammer, Login Security, httpBL, Bad Behaviour.

[Innaboro]

Прилагаю свой файл .htaсcess c защитой от скачивания php-файлов и запретом прокси ТОРа.

Еще помогают разнообразные моды для SMF: Forum Firewall, Stop Spammer, Login Security, httpBL, Bad Behaviour.

эти моды где безопасно взять?меня достали силиконовый сиськи уже и т.д.

[human]

эти моды где безопасно взять?меня достали силиконовый сиськи уже и т.д.

На официальном сайте http://custom.simplemachines.org/mods/

[Digharatta]

Join Reason - http://custom.simplemachines.org/mods/index.php?mod=2326

reCAPTCHA for SMF - http://custom.simplemachines.org/mods/index.php?mod=1044

Forum Firewall - http://custom.simplemachines.org/mods/index.php?mod=2815

Login Security - http://custom.simplemachines.org/mods/index.php?mod=2181

Stop Spammer - http://custom.simplemachines.org/mods/index.php?mod=1547

httpBL - http://custom.simplemachines.org/mods/index.php?mod=2155

К сожалению, эти моды неважно переведены на русский, а иногда и вообще не переведены, и поэтому приходится вручную доделывать или переделывать русские языковые файлы в папке

Themes/default/languages/

исправляя русский перевод, или добавляя в русские файлы нужные части из сответствующих английских файлов.

[Digharatta]

Локализация некоторых модов:

reCAPTCHA for SMF - http://dragomano.ru/page/recaptcha-for-smf

Login Security - http://dragomano.ru/page/login-security

[0daliska]

Есть прекрасная игровая капча для SMF 1 ветки... И к тому же русская... Ее еще ни разу не взломали пока что...
http://www.simplemachines.ru/index.php?topic=11534.msg83829#msg83829

[Digharatta]

Еще помогает система защиты CrawlProtect:

http://www.crawltrack.net/crawlprotect/
http://community.smfhelper.info/index.php?topic=5222.0

[Digharatta]

Проверить сайт и форум на уязвимости можно с помощью Acunetix Web Vulnerabilty Scanner (Free Edition) http://www.acunetix.com/cross-site-scripting/scanner.htm .

[Digharatta]

thanks!

test1.gif

Видно, хакеры нервничают, раз загружают в эту тему под видом изображений (test1.gif) php-скрипты (наверное, вредоносные).

[yrygvay]

какие хакеры то)))) обычный спам!

[Digharatta]

Актуально. Нету ли базы данных айпи анонимайзеров(хайдэсов разных), чтобы забанить все прокси сервера?

С помощью мода Bad Behavior можно забанить те айпи, с которых обычно заходят спаммеры:

http://custom.simplemachines.org/mods/index.php?mod=2502

Правда, у меня после установки стали всплывать некоторые ошибки, и пришлось исправить их вручную.

[Digharatta]

Переведенные на русский моды, защищающие форум от спам-ботов и злоумышленников, от Dragomano:

http://dragomano.ru/category/security

[Digharatta]

Бесплатная проверка сайта и форума на уязвимости:

https://freescan.qualys.com/