Переименовываем и защищаем admin.php

[Nayn]

Лучше конечно переименовать, 2й пароль поставить и вести лог атаки с уведомлением на email. Я бы так сделал. Соответственно следить за сервером, это самое главное, если сервер говно и дырявый, то переименование и пароли не спасут никого :)

 

[Exile]

Nayn, а лучше настроить в админке капчу от перебора паролей, защитить файл максимум через .htpasswd и не страдать с правой файлов движка. Порой ощущение, что у всех не иначе банковский форум, причем Сбербанка. Избыточная защита тоже не всегда хорошо.

 

[Nayn]

Exile, не плохо использовать капчу для админки, но нигде не нашел такую фишку.
Адрес админки надо спрятать и капча не нужна будет или как еще вариант, переход по ссылке с секретным ключом на файл админки :-)

 

[Exile]

Nayn, в настройках форума есть ограничения при неверной авторизации - ограничения на авторизацию пользователя на админку также распространяются. Блокировка или капча.

PS. Идеальный вход в админку - в полнолуние, стоя в бочке с глазами угрей на перекрестке трех дорог через посыпанный и трижды оплеванный ноутбук, да.

 

[Nayn]

Exile, на админку капча не включается только блокировка, если кто то балуется админкой, то ты сам не зайдешь по истечению 15минут.
При капче для пользователя, блокировка пользователя не работает по истечению 3 попыток.
Есть свои заморочки по поводу входа.

 

[sery2013]

Ошибка будет поскольку инструкция изначально не правильная)) Там еще есть файлы для замены.

Вот полная инструкция от меня для последней версии :wink:​

Cпасибо, хоть кто то правильно написал! А то эти ХАЦКЕРЫ))) Поустанавливал еле потом восстановил)

 

[anton0088]

• Защищаемся от залива шелл:

Достаточно часто заливают шелл в папку с аватарами. В XenForo к сожалению нет способа (покрайней мере я не нашел) хранить аватарки в БД, поэтому в папку Avatars и во все ее внутренние папки заливаем файл .htaccess с таким содержанием:
RemoveHandler .phtml
RemoveHandler .php
RemoveHandler .php3
RemoveHandler .php4
RemoveHandler .php5
RemoveHandler .cgi
RemoveHandler .exe
RemoveHandler .pl
RemoveHandler .asp
RemoveHandler .aspx
RemoveHandler .shtml

<Files ~ "\.php|\.phtml|\.cgi|\.exe|\.pl|\.asp|\.aspx|\.sht ml">
Order allow,deny
Deny from all
</Files>
Теперь если кулл хацкер и сможет что то залить, то запустить скрипт ему не удастся.

Подскажите где находятся папки Avatars?

 

[Hope]

В папке data

 

[anton0088]

В папке data

Спасибо нашел) только там в папке аватарс 3 папки l, m , s. В какую из этих папок нужно залить .htaccess или во вссе три папки залить?

 

[Hope]

Во все три. Только это нафиг конечно всё не нужно, но делайте, если Вам от этого будет спокойнее. :)

 

[anton0088]

Во все три. Только это нафиг конечно всё не нужно, но делайте, если Вам от этого будет спокойнее. :-)

тоесть она не спасет? А если в меня лицензионный скрипт, то его могут взломать а точней залить шел, или слить базу данных?

 

[Hope]

тоесть она не спасет?

Нет.

А если в меня лицензионный скрипт, то его могут взломать а точней залить шел, или слить базу данных?

Да.

 

[anton0088]

Нет.


Да.

А как тогда от этого можно уберегтись)? Вот например ваш форум, как он себя защищает от подобного рода атак?

 

[Hope]

А как тогда от этого можно уберегтись)?

Никак.

Вот например ваш форум, как он себя защищает от подобного рода атак?

Никак.

 

[JDavill]

Благодарю всех отписавшихся в теме за ответы и рекомендации :thumbsup:
Мне это сейчас как раз кстати :-)

 

[TwiX]

А где именно найти этот шаблон

moderator_bar

В каком стиле или как именно?
Что-то я не понял.

 

[Hope]

Шаблоны находятся в шаблонах...

 

[TwiX]

Hope, Так это для каждого стиля нужно, и у меня стоит 1.5.8 ну там этой строки нет(

 

[Hope]

[TMS] Система модификации шаблонов

 

[Mirovinger]

А лучше не занимайтесь ерундой, и включите двухфакторную авторизацию.