SMF Support > FAQ i Vodiči (Tutorials)

Zastita vaseg SMF-a...

(1/26) > >>

Dzonny:
:: Zaštita vašeg smf foruma ::
Posto je ovih dana povecan broj napada na smf forume, i mnogi napadi su uspesni tj forumi sa hackovani sa uspehom, pokrecem ovu temu kako bi clanovi bili upoznati sa nacinom zastite od hacka (i od spama)...

Slicna Tema: Trikovi za poboljsanje vaseg foruma.

Slede instrukcije koje vam mogu pomoci da zastitite svoj forum.

1. Nadogradite verziju foruma na poslednju!
 - Trenutno poslednja stabilna verzija smf-a je 2.0.1 ili starija 1.1.15 verzija.

* Upustva za nadogradnju - klik
* Download sekcija - Klik
2. Menjajte svoje sifre (passwords) tako da budu razlicite za:

* ftp pristup
* pristup bazi podataka (MySQL, PostgreSQL, ili SQLite)
* phpMyAdmin
* vas admin nalog na forumuSifre za mysql se cuvaju u settings.php fajlu, te se stoga preporucuje da vam za frp podaci budu razliciti.
Takodje se pobrinite da su vase sifre duge i teske za 'pogadjanje'. Nemojte koristiti vase ime ili nadimak kao sifru, i obavezno koristite nekoliko karaktera i nekoliko brojeva.

3. Izbrisite sve 'privremene' fajlove kao sto su install.php, converters, recovery tools, repair_settings.php i slicne...

4. Radite redovan backup fajlova i baze podataka.
Ovo vam samo moze pomoci, a oduzima malo vremena. (Kako uraditi backup/restore foruma?)


5. Iskljucite opciju Zabranite za goste ili za korisnicku grupu sa malim brojem postova/bez postova upladovanja avatara i attachmenta na server.
Ukljucujuci u upload sa URL stranice.
- Ova opcija je jako vazna, posto je otkriven sigurnosni propust u poslednjoj stabilnoj verziji tj 1.1.8.(patch je izasao, uradite upgrade na poslednju verziju!)
- Ukoliko ne zelite da iskljucite ovu opciju, preporucljuvo je da trenutno preimenujete direktorijum "attachments" u drugo ime,

Admin -> Attachments and avatars -> Avatar Settings

    * Uncheck "Download avatar at given URL
    * Uncheck all: "Membergroups allowed to upload an avatar to the server"


Admin -> Attachments and avatars -> Attachment settings
    * Attachments mode: Disable attachments
Update: Iako je ovaj sigurnosni propust resen sa verzijom 1.1.9 i 2.0RC1-1, ipak posto je ovo najefikasniji i najcesnji nacin hackovanja preporucuje se da upload attachmenta i avatara omogucite npr samo clanovima koji imaju vise od 10 postova...

6. Osigurajte forum protiv spama!
Osigurajte se protiv spamera ili spam botova, tako sto cete instalirati neki od sledecih modova:

Anti-Bot: Are You Human/Bot?
Stop Spammer Mod
reCAPTCHA for SMF
Anti-Bot Registration Puzzles

7. Izbrisite sve greske vezane za pogresnu lozinku administratora/moderatora u error logu.

8. Periodicno pregledajte error log, i nastojte da svaku gresku izpravite, jer je svaka greska moguci sigurnosni propust.


9. Isključite automatski backup fajlova nakon izmena
Packages - options - dečekirajte "Napravi rezervne kopije zamenjenih datoteka sa tildom (~) na krajevima njihovih imena."
Ova opcija kreira fajlove sa ~ koji služe kao kopija u slučaju da je izmena uzrokovala problem (kako bi lakše mogli da vratite fajl na početno stanje) ali istovremeno može predstavljati sigurnosni rizik. Ukoliko pak želite da vam ova opcija ostane uključena onda posle testiranja uklonite ~ fajlove koji vam ne trebaju, pošto ste sigurni da vam forum funkcioniše uredu posle većih promena.


Imate greske na forumu, forum vam ne radi i sumnjate da vam je hackovan ?
 Pogledajte ove teme:
*Klik
*Klik
*Klik
*Klik


Forum mi je hackovan, kako da oporavim zarazene fajlove?
*** Dodat je fajl kb_scan.php koji treba uploadovati u root foruma i pokreniti ga preko browsera...Ovaj tool ce ocistiti sve zarazene fajlove na forumu, a pored toga pregledajte i fajlove u ostalim direktorijumima na serveru, jer hack moze imati uticaj i na njih, a ovaj tool ih nece izbrisati...


Ili druga opcija:
Pogledajte link i pratite upustva...
http://www.simplemachines.org/community/index.php?topic=309997.msg2078832#msg2078832




Update:

* Patch je izasao, mozete videti ovde info, i mozete nadograditi svoje verzije na poslednje stabilne kako bi otklonili sve propuste!
http://www.simplemachines.org/community/index.php?topic=309997.msg2070194#msg2070194
* Ukoliko ste nadogradili forum na poslednje verzije, ne bi trebalo da ima opasnosti za hack od strane krisbate-a, o kome se dosta pricalo u proteklim mesecima.

srbija-tip.com:
Svaka cast, ovo sam i ja planirao uskoro da uradim Tj da otvorim temu o zastiti. Koju ti ver koristis? ja cu precina 2.0 kada izadje finalna verzija

EDIT:

Sada sam video koristis 1.1.8.  8)


Ja mislim da treba da izadje finalna verzija sto pre da nebi bilo sve vise hackovanih sajtova. Exploit je izasao pre oko 2nedelje na par domacih sajtova.  Po meni sve vise njih zeli nauciti da hackuju( klinci sta ce), pa ako im neko nesto kaze, a on( ti ces meni sacu ti jb* mamu i oborim ti forum)

Dzonny:
Trenutno 1.1.8. Imam i danas sam iskljucio uplad avatara i attachmenta...
Vidim dosta ljudi se zali da su im forumi hackovani...
Uskoro bi trebalo da izadje patch, pa se nadam da ce sve biti ok, ali svakako kad izadje 2.0 kao stabilna verzija, prelazim... :)

srbija-tip.com:
Mali off, ae ukljuci msn da te pitam nesto.


Mislis patch za prelazak na 2.0 ii patch za zastitu?

Dzonny:
Moram da palim trenutno, tako da samo me dodaj, pa cemo chat kasnije.. :)
Patch za ovu rupu za 1.1.8. posto ima javni exploit...

Navigation

[0] Message Index

[#] Next page