vB-Brasil

**kyo** · #1 (**permalink**) 24-02-2008, 12:19

Depois que meu site foi hackeado resolvi correr atraz do prejuiizo e pesquisar meios de tornar os foruns mais seguros, seguem algumas dicas traduzidas do Steve Machol.

Faça sempre upgrade para a versão STABLE mais recente.
Nunca instale mods ou plugins que não sejam oficiais e revisados.
Proteja as pastas admincp e modcp com senha do tipo .htaccess/.htpassword http://www.javascriptkit.com/howto/htaccess3.shtml
Esteja certo que o arquivo tools.php não exista em seu forum.
Salve seu costumer number e delete todos os arquivos upgrade.php ou talvez toda a pasta install
Remova todos os arquivos do impex apos a importação, caso o tenha usado.
Mude sempre suas senhas do host, cpanel e banco de dados.
Sempre ative o Use Login "Strikes" System Admin CP -> vBulletin Options -> General Settings -> Use Login "Strikes" System -> Yes
Nunca permita HTML em canto algum do forum.
Proteja seu phpmyadmin com novas senhas sempre.
Sempre certifique=se que os admins e moderas tenham boas senhas.
Esteja certo de não ter virus, spywares e trojans no seu pc.
Nunca faça upload da pasta do_not_upload/
Use uma senha diferente para cada coisa, senha do forum, .htaccess e etc.
Atualize seu config.php e torne-o indeletavel e inreescrevivel para sua conta de ftp usando o comando chown.
Se você está num servidor compartilhado, esteja certo que todos os arquivos do vbullein estejam com chmod 644.
Caso deseje podera renomear as pastas admincp e modcp para os nomes que você quiser e depois é só mudar os nomes delas no config.php para que apontem corretamente no footer.
Caso seu ip seja fixo coloque um arquivo .htacess no admincp com estas informações:

Código:

order allow,deny allow from <seu ip FIXO>
allow from <IP FIXO de outro admin>
deny from all

Ficam ai estas dicas. Gostaria de pedir que se possivel coloquem esse topico como fixo. Obrigado.

**beduino** · #2 (**permalink**) 24-02-2008, 12:40

Otimo topico.
Fixando...
Beduino

**killerofnet** · #3 (**permalink**) 24-02-2008, 14:54

Como sempre, Kyo engrandecendo o VB-Brasil.

**lordozzy3112** · #4 (**permalink**) 25-02-2008, 02:44

valew kayo. parabens. boas sortes.

**kyo** · #5 (**permalink**) 05-03-2008, 14:01

Depois eu adiciono mais coisas aqui nesse topico.

To descobrindo coisas muito interessantes sobre segurança no vb.

**killerofnet** · #6 (**permalink**) 12-05-2008, 00:13

Tenho dúvida quanto aos passos 3 e 15. Podem me ajudar por favor? Não sei como fazer isso.

Brzinho · #7 (**permalink**) 12-05-2008, 13:23

Tremendo post amigo...a ver si aplicamos esses truques.!!

obrigadao..

Br...

João · #8 (**permalink**) 03-06-2008, 02:46

Adicione o o código abaixo em seu vb:

Código:

 Disable functions : show_source, shell_exec, system, passthru, popen, proc_open, allow_url_fopen

Dan · #9 (**permalink**) 04-06-2008, 06:08

Citação:

Postado Originalmente por killerofnet

Tenho dúvida quanto aos passos 3 e 15. Podem me ajudar por favor? Não sei como fazer isso.

Conseguiu?

Para o item 3 você faz o seguinte:

1) Vamos criar o arquivo .htpasswd
É nele que você vai definir todos os usuários e senhas.
Aqui vou dar exemplo de 3 usuários sendo eles: admin, moderador1 e moderador2

Para criar o arquivo .htpasswd vamos conectar via SSH para isso recomendo usar o programa Putty

...na tela do Putty faça como abaixo: coloque o nome do seu host >>> save>> e depois clique em "Open"

...vai abrir a tela de conexão pedindo o nome de usuário da sua conta de hospedagem e depois sua senha.

...se você digitou o usuário correto e a senha, você então está conectado em seu host via SSH

Digite o comando cd para ter certeza que estamos antes da área de hospedagem

Agora você vai precisar digitar o comando para criação do arquivo .htpasswd com usuário e senha... então digite conforme abaixo:

htpasswd -c .htpasswd admin
de enter
...vai pedir a senha do usuário admin
digite a senha
vai pedir para digitar a senha novamente

Pronto o primeiro usuário no caso admin está criado.... agora vamos criar os usuários moderador1 e moderador2

cd
htpasswd .htpasswd moderador1
vai pedir a senha 2 vezes
htpasswd .htpasswd moderador2
vai pedir a senha 2 vezes

Pronto .htpasswd e usuários e senhas criados!

Dê o comando exit para desconectar e sair do Putty

2) Agora vamos criar os arquivos .htaccess que vamos por no Admincp e no Modcp

Então vamos começar pelo que vamos colocar no diretório Admincp

Abra o bloco de notas e coloque os códigos abaixo:

AuthUserFile /home/suaconta/.htpasswd
AuthGroupFile /dev/null
AuthName Restrito
AuthType Basic
require user admin

ATENÇÃO: substitua a linha laranja pelo caminho do seu servidor onde está o arquivo .htpasswd (lembre-se ele está antes da pasta www)

Pronto.... agora você tem que salvar o arquivo para isso mude o tipo de arquivo do bloco de notas para "todos os arquivos", coloque o nome a ser salvo como .htaccess e salve (conforme figura abaixo).

Este arquivo não é reconhecido pelo rWindows então ele vai aparecer como arquivo inválido (sem extensão)...

Daí é só abrir seu programa de FTP e mandar este arquivo para o Admincp. OBS: Procure no seu gerenciador de FTP a opção de envio em ASCII (estou postando o exemplo do WS Profissional que uso - veja foto abaixo - fica na opção "transfer mode")

Beleza!!!

Agora vamos criar o arquivo que vai para Modcp

AuthUserFile /home/suaconta/.htpasswd
AuthGroupFile /dev/null
AuthName Restrito
AuthType Basic
require valid-user

ATENÇÃO: Novamente substitua a linha laranja pelo caminho do seu servidor onde está o arquivo .htpasswd (lembre-se ele está antes da pasta www)

Pronto.... agora novamente você tem que salvar o arquivo não esquecendo de mude o tipo de arquivo do bloco de notas para "todos os arquivos", colocando o nome a ser salvo como .htaccess
Envia este para o diretório Modcp não esquecendo de usar a forma de envio ASCII.

Para entender ... o arquivo .htaccess que mandamos para o Admincp dá permissão unica e exclusivamente para o usuário que criamos como admin
Já o arquivo .htaccess que enviamos para o Modcp permite que todos os usuários que criamos possam fazer login. Dessa forma nem os moderadores vão conseguir chegar na tela de login do Admincp ;-)

IMPORTANTE:
Caso necessite mudar as senhas é só digitar assim:

cd
htpasswd .htpasswd usuarioquedesejaalterar

Bom acho que dá para entender....

AHHHH....

Para saber como fica essa proteção tente acessar meu Modcp pelo endereço:

http://www.dragrace.com.br/forum/modcp

No meu fórum eu não mudei nome do diretório modcp pois não achei necessário... já o admincp eu sumi com ele

Abraços

Dan · #10 (**permalink**) 06-06-2008, 07:00

para completar a resposta......

Sobre o item 15....

Programa FTP >>> selecione o arquivo que deseja e coloque permissão 0444

Abraços

**kyo** · #11 (**permalink**) 06-06-2008, 19:15

Citação:

Postado Originalmente por Dan

para completar a resposta......

Sobre o item 15....

Programa FTP >>> selecione o arquivo que deseja e coloque permissão 0444

Abraços

O bom nesses casos é criar varias contas de ftp com privilegios resumidos, e determinar a propropiedade do arquivo a uma delas.

**beduino** · #12 (**permalink**) 21-06-2008, 11:48

Citação:

Postado Originalmente por João

Adicione o o código abaixo em seu vb:

Código:

 Disable functions : show_source, shell_exec, system, passthru, popen, proc_open, allow_url_fopen

Isso eu nao entendi ................

Leo Doido · #13 (**permalink**) 12-11-2008, 11:32

Uma dica que não encontrei aqui e é simples do pessoal cometer erros.

Nas pastas do Vb é comum encontrar arquivos do tipo index.html que na verdade estão zerados, não há nada neles. Eles de certa forma ajudam a não permitir o acesso direto a estas pastas, somente for ftp se alguém colocar no brouser o link desta pasta.
Já vi alguns "dançarem" por que tinham pastas que eram usadas como arquivos e linkadas de outros pontos, mas deixando esta porta aberta.

Outra coisa, não só invasão do site propriamente dito, mas a onda de robôs postadores de spam está infernal. Desculpe a piada, mas se os caras estão pensando em vender tanto viagra assim não vai ter espaço na terra pra tanta gente que vai surgir.
A piada é só pra dizer que todos os dias era atacado por estes Spamers.

Como resolvi ? Simples....no campos de usuário, ou vc cria um novo ou altera algum já existente como sendo campo obrigatório e se quiser ir além, crie um campo obrigatório com uma lista de opções somente, e sem default, aí um novo usuário terá que preencher e/ou selecionar estas opções e pelo menos por enquanto os robôs não conseguem ainda.
Por hora com isso, nuca mais tive spamers se registrando.

Abs.

vB-Brasil

Como Deixar os fóruns mais seguros.

Como Deixar os fóruns mais seguros.

Os seguintes 16 Usuários disseram Obrigado kyo por essa útil mensagem:
adrianobr (24-02-2008), beduino (24-02-2008), Brzinho (12-05-2008), freakjs (12-12-2008), João (03-06-2008), killerofnet (24-02-2008), lambary (08-10-2008), Morcego (03-03-2008), overdigo (25-09-2008), pingolinkin (21-07-2008), Setokaiba (12-11-2008), vadio (26-02-2008), velias (05-03-2008), Virus (04-04-2008), w4kk0 (04-07-2008), Weigom (13-08-2008)

Os seguintes 5 Usuários disseram Obrigado Dan por essa útil mensagem:
beduino (21-06-2008), kyo (05-06-2008), Pedroenf (11-06-2008), velias (04-06-2008), vithorius (04-06-2008)

O seguinte Usuário agradeceu à Leo Doido por essa útil mensagem:
killerofnet (12-11-2008)