Защита админ панели с баном в htaccess

[Bluebird]

Почитав данную инструкцию и выполнив её "Инструкция - Переименовываем файл admin.php", я решил ещё добавить некую хитрую защиту и при этом на автомате закрывает полностью доступ к сайту по ипишнику :-D
Автор данного мануала не йа и взята из версии dle.

Установка:

1. Создаем в корне файл ips.txt, там будут записываться ип-адресса "мега кулц хакеров", даем права 777.
2. Ставим на файл .htaccess права 777

Создаём файл admin.php в корне вашего сайта и вставляем данный код туда:

<?php
$ip = getenv ("REMOTE_ADDR");
 
$log = fopen("ips.txt", "a+");
fwrite($log, "// ".$ip."\n");
fclose($log);

$f = fopen($_SERVER['DOCUMENT_ROOT'] . '/.htaccess', "a");
fwrite($f, "\ndeny from " . $ip);
fclose($f);

echo <<<HTML
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="ru" lang="ru">

<head>
    <meta http-equiv="content-type" content="text/html; charset=1251" />
    <meta name="author" content="admin" />

    <title>Админ панель XenForo</title>
</head>

<body bgcolor="black" text="white">

<center><img src="http://dematom.com/images/2010/07/17/52212-obyknovennyi_agro_shkolo_trolo_lo.jpg"></center>
<center><h1>Прости, но ты от него не отличаешься...</h1></center>

<!-- Пошел как ты найух отсюда, нехер исх. код смотреть :-) -->

</body>
</html>
HTML;

echo "<center><h1>Кстати, твой ип($ip) в логах и доступ к сайту закрыт;)</center></h1>"
?>

Демки нет, проверяйте у себя на сайте.

Ах и ещё, чтоб открыть доступ к сайту - откройте файл .htaccess и сотрите строку "deny from 127.0.0.1"
А файл ips.txt для логов, чтоб потом проследить по ип пользователя у себя на сайте)

p.s. Вот только я понять не могу, почему сайт не грузиться после того как убрали свой ип с htaccess

 

[mearceAlex]

Чётко :-D
Хотя и элементарной защиты через .htpasswd хватало(лично мне)

 

[tnAnGel]

А вы никогда не думали менять имя файла? Говорят помогает

 

[Airen]

Что то условия исполнения не понятны, задумка прикольная, автору благодарочка но инструкцию допилить бы до ума, а то есть такие как я, в коде таво. СПАСИБО!

 

[Onlayn]

Если злоумышленник не по "админке" будет пробовать зайти,а просто как обычный юзер,только
подбирая данные администратора.
Тогда IP сохраняются или это не учитывается?

 

[Chuck Norris]

Если злоумышленник не по "админке" будет пробовать зайти,а просто как обычный юзер,только
подбирая данные администратора.
Тогда IP сохраняются или это не учитывается?

Вход в админку только с своего айпи, нормас) и ниже прописать в htacess название своего сайта чтобы перекидывало на сайт если кто то захотел в админку зайти. Хотя кул хакеры если понадобится сайт 1000 спосабами обойдут все и взламают)

 

[Smalesh]

Вообще это детский сад. Уже многократно проверенно - нет ничего лучше, чем фейковая админка, желательно с имитацией защиты от брута. И какиру не скучно и под ногами не путается - сидит себе тихонько и брутит до посинения.

 

[Airen]

Smalesh, А можно где почитать про реализацию сия метода, киньте ссылочку плз.

 

[Onlayn]

Chuck Norris, Это стандартная защита,но у нее есть минус,если вы к примеру в гостях и нужно срочно зайти на свой сайт в админку не попадешь.

 

[Nappsel]

А другие варианты, кроме как наглухо закрыть от посторонних админ-панель никто не рассматривает?
Есть же например AdminCP Firewall , если кто-то попытается войти в панель, вы сразу же получите e-mail с его ip-адресом и логином, если это пользователь форума. А уж как вырубить этого человека или целую сеть, можно найти кучу способов.
Вообще оспаривать можно любой вариант и находить доводы почему он плох, но тут уже главное найти грань между реальностью и паранойей. :)

 

[Chuck Norris]

Chuck Norris, Это стандартная защита,но у нее есть минус,если вы к примеру в гостях и нужно срочно зайти на свой сайт в админку не попадешь.

придется попросить чтобы установили файл зилу) а так да неудобно когда где то на выезде

 

[Onlayn]

чтобы установили файл зилу

Не вариант если нужно быстрый доступ к "админке",пока установят Filezilla или другой какой FTP Client.
Потом нужно знать все данные (хост,имя,пароль).
Затем нужно узнать IP ПК с которого хотим зайти,и внести изменения с нашим IP.
Довольно "громадное" дело.

Для чего вообще скрывать или защищать "админ панель"?
Просто данные для входа держите в надежном месте (лучше в голове своей).
И не какой защиты не потребуется, как таковой!

 

[Airen]

Olya, тогда это должен быть к примеру 16-значный пароль в двух регистрах с циферами и знаками. Сомневаюсь что большинство здесь будет заморачиваться запоминанием абракадабры на взлом которой понадобиться надцать лет =). А вот у ТСа задумка прикольная, ну она просто улыбку на лицо натягивает своей оригинальностью что ли =)

 

[Volkinson]

Вообще это детский сад. Уже многократно проверенно - нет ничего лучше, чем фейковая админка, желательно с имитацией защиты от брута. И какиру не скучно и под ногами не путается - сидит себе тихонько и брутит до посинения.

А есть пример такого чуда? Мне лично понравился сей метод. Оригинально ). А такой вопрос еще: Если просто поменять месторасположение админки сменив admin.php и прописать об этом в движок, то при обновлении будет обратно на стандартную переименовываться, или обновление не затрагивает admin.php файл?

 

[Smalesh]

А есть пример такого чуда?

Под булку есть, под xenforo не знаю, надо искать или писать (по сути там не сложно). А к фейковой админке и логгер можно приписать и собирать словарик паролей; а можно отдельно лог вести с ip нарушителей и дальше работать на уровне системы. Много чего можно.

 

[Volkinson]

Под булку есть, под xenforo не знаю, надо искать или писать (по сути там не сложно). А к фейковой админке и логгер можно приписать и собирать словарик паролей; а можно отдельно лог вести с ip нарушителей и дальше работать на уровне системы. Много чего можно.

Спасибо за идею. Я с этим движком пока на Вы. Как разберусь, может придумаю такое. Но идея супер! :thumbsup:

 

[Onlayn]

тогда это должен быть к примеру 16-значный пароль в двух регистрах с циферами и знаками. Сомневаюсь что большинство здесь будет заморачиваться запоминанием абракадабры на взлом которой понадобиться надцать лет :-). А вот у ТСа задумка прикольная, ну она просто улыбку на лицо натягивает своей оригинальностью что ли :-)

Это по мой му глупость или паранойе!
16-значный пароль можно и меньше знаков брать.
Это уже кому как удобно!
У меня знакомы,так у его пароли по 32-64 значные есть еще больше знаков разных символов и кириллицы.(у него работа требует этого)
На каждом сайте,устройстве постоянно разный пароль у него.
Все эти пароли держит постоянно в голове.
Не когда не забывает и не мучается при вводе.
Так и тут каждому свое,кто то просто применяет стандартные меры защиты,
а кто то прячется тщательно)

 

[Smalesh]

У меня знакомы,так у его пароли по 32-64 значные есть еще больше знаков разных символов и кириллицы.(у него работа требует этого)

Если бы у меня какой нибудь падаван бегал с такими паролями - выгнал бы нафиг. За неумение использовать ключи.

 

[Onlayn]

Если бы у меня какой нибудь падаван бегал с такими паролями - выгнал бы нафиг. За неумение использовать ключи.

Структура требования у всех почти разная.
У одних выгнали,а у других приветствуется!

 

[Kolya groza morey]

У меня знакомы,так у его пароли по 32-64 значные есть еще больше знаков разных символов и кириллицы.(у него работа требует этого)

Вот только смысла в этом нет. Сложный пароль помогает в двух случаях : когда брутят пароль и когда есть база данных з зашифрованными паролями и есть алгоритм шифровки и програмно подбирают пароли под каждый хеш. Но дело в том что при увеличении длины пароля число итераций возрастает в геометрической прогрессии и при определенном числе наступает такой момент когда дальнейшее увеличение длины стает бессмысленным