ExBB Community ExBB Community
 Сайт проекта ExBB Общение объединяет!
Войдите на форум при помощиВойти через loginza
 Чат на форуме      Помощь      Поиск      Пользователи     BanList BanList


 Страниц (2): « 1 [2]   

> Без описания
M-A-X
Отправлено: 25 января 2011 — 10:59
Post Id


Пользователь
Advanced Member


Покинул форум
Сообщений всего: 278
Дата рег-ции: Июль 2009  
Откуда: Киев
Репутация: 10




ОМГ. Ну как можно говорить, что было ощущение?
А точно сказать Вы не можете?
Что выдает функция
CODE:
phpinfo()
?

И из чего Вы взяли, что вирусню Вам подкидывал метод GET, а не чьи-то кривые руки?
 
 
BON
Отправлено: 25 января 2011 — 11:16
Post Id



Администратор
ExBB Team
Admin


Покинул форум
Сообщений всего: 2762
Дата рег-ции: Нояб. 2010  
Откуда: СССР/Белгород
Репутация: 72




M-A-X, логи рулят, и в них посмотрел что происходило. и щас пытаются к этому ПО обращаться во только я эти ип позапретил и ошибки получаются что каталогов не существует. Ну щас register_globals off стоит.
 
 
BON
Отправлено: 26 января 2011 — 01:00
Post Id



Администратор
ExBB Team
Admin


Покинул форум
Сообщений всего: 2762
Дата рег-ции: Нояб. 2010  
Откуда: СССР/Белгород
Репутация: 72




Народ вот ещё что, средствами .htaccess можно дополнительно усилить доступ в админку.

Делается просто. На сайта х и форумах присуствует папка admin или administrator или что то в таком духе. Берем в ней кладем фаил .htaccess с таким собдержанием:
CODE:
AuthName "Zapretna9| zona"
AuthType Basic
AuthUserFile /home/................../admin/.htpasswd
require valid-user


AuthName "Zapretna9 zona" в ковычках можно написать на ваш вкус и цвет любую надпись но только латиницей.
AuthUserFile путь к фаилу .htpasswd
Путь к каталогу в который вы хотите положить фаил .htpasswd можно определить положив в ту папку фаил php такого содержания
CODE:
<?php
phpinfo () ;
?>

там найдете строку DOCUMENT_ROOT.
Пароли хранятся в зашифрованном виде. Сделать их можно программной htgen.
Если всё сделали правильно будет получаться двойная авторизация: 1я авторизация - авторизация чтобы сам сервер вас пропустил, а потом авторизация чтобы пропустил сам скрипт двига.

Вот пример

ЗДЕСЯ

 
 
Таня
Отправлено: 1 марта 2011 — 00:02
Post Id



Пользователь
Newbie


Покинул форум
Сообщений всего: 29
Дата рег-ции: Февр. 2011  
Репутация: 8




Это админка, а нужно ли как-то дополнительно защищать служебные директории data, forumХХ, include и другие?

И все пугают загрузкой шела, как от этого защититься, если пользователям разрешить загрузку файлов на форум?

(Отредактировано автором: 1 марта 2011 — 00:02)

 
 
yura3d
Отправлено: 1 марта 2011 — 00:11
Post Id


Пользователь
ExBB Team
ExBB Developer
ExBB Mods Author


Покинул форум
Сообщений всего: 3394
Дата рег-ции: Февр. 2009  
Откуда: Минск, Беларусь
Репутация: 353




Таня пишет:
Это админка, а нужно ли как-то дополнительно защищать служебные директории data, forumХХ, include и другие?

Если права доступа расставлены верно, согласно инструкции хостера, никаких дополнительных мер предпринимать не нужно

Таня пишет:
И все пугают загрузкой шела, как от этого защититься, если пользователям разрешить загрузку файлов на форум?

Подобная проблема была в ранних версиях форума, и уже скоро 5 лет как она устранена. Если у Вас установлена последняя версия форума (на данный момент это ExBB FM 1.0 RC1), то Вам нечего бояться
 
 
Таня
Отправлено: 1 марта 2011 — 00:21
Post Id



Пользователь
Newbie


Покинул форум
Сообщений всего: 29
Дата рег-ции: Февр. 2011  
Репутация: 8




Я пока только собираюсь устанавливать, начальник хочет себе форум, но без БД, - на файлах, вот решила остановиться на вашем как на наиболее надежном и с поддержкой.

А под видом аватарки нельзя шел загрузить, это как-то проверяется?

Извиняюсь за возможно глупые вопросы, я просто никогда раньше не сталкивалась с созданием форумов.
 
 
yura3d
Отправлено: 1 марта 2011 — 00:27
Post Id


Пользователь
ExBB Team
ExBB Developer
ExBB Mods Author


Покинул форум
Сообщений всего: 3394
Дата рег-ции: Февр. 2009  
Откуда: Минск, Беларусь
Репутация: 353




Таня пишет:
А под видом аватарки нельзя шел загрузить, это как-то проверяется?

Проверяются как расширение файла, так и его графические параметры (формат, ширина и высота)
 
 
Таня
Отправлено: 1 марта 2011 — 00:31
Post Id



Пользователь
Newbie


Покинул форум
Сообщений всего: 29
Дата рег-ции: Февр. 2011  
Репутация: 8




Спасибо, понятно, буду пробовать устанавливать форум, мне важна не столько "навороченность" сколько безопасность.
 
 
M-A-X
Отправлено: 1 марта 2011 — 10:44
Post Id


Пользователь
Advanced Member


Покинул форум
Сообщений всего: 278
Дата рег-ции: Июль 2009  
Откуда: Киев
Репутация: 10




CODE:
http://
из этого списка лучше убрать, а то будут жаловаться, что мод редиректов не работает. Улыбка

+ Еще есть POST
 
 
Страниц (2): « 1 [2]
Сейчас эту тему просматривают: 2 (гостей: 2, зарегистрированных: 0)
« Уязвимости »

> Похожие темы: Безопасность средствами .htaccess
Темы Форум Информация о теме Обновление
Как убрать index.htm через htaccess?
HTML Ответов: 3
Автор темы: nikk
3 октября 2013 — 09:24
Автор: 1Bot
Перенаправление в .htaccess
Хостинг Ответов: 4
Автор темы: bruno
13 апреля 2010 — 07:34
Автор: M-A-X
О .htaccess
Об использовании mod_rewrite и других модулей вебсервера Apache
PHP/Perl Ответов: 4
Автор темы: variant0
25 февраля 2014 — 07:18
Автор: 1Bot
Запрет на скачивание mp3 другими сайтами через .htaccess
Хостинг Ответов: 3
Автор темы: Gori
31 января 2015 — 12:29
Автор: electron
Замена внешних ссылок на внутренние средствами PHP
PHP/Perl Ответов: 5
Автор темы: Gori
13 июля 2015 — 08:41
Автор: Gori
 



Все гости форума могут просматривать этот раздел.
Только администраторы и модераторы могут создавать новые темы в этом разделе.
Только администраторы и модераторы могут отвечать на сообщения в этом разделе.
 




Яндекс.Метрика   

Powered by ExBB
ExBB FM 1.0 RC1 by TvoyWeb.ru
InvisionExBB Style converted by Markus®

[Script Execution time: 0.0852]     [ ]