Расстроенный vbulletin. Наблюдения за vBulletin или попытки кэширования динамического контента. Является ли компания реселлером

Давно хотел написать об этом, да все руки не доходили, а тут как раз выдалась минутка опубликовать небольшую заметку по теме. Так почему же не опубликовать список того, на что пользователь смотреть в первую очередь перед выбором хостинга. Особенно для нас, тех кто пользуется vbulletin. Назовем это все просто - рекомендации. Понятное дело, что профессионалам и так все понятно, тут как бы объяснять нечего. А вот новичкам стоит все таки растасовать. Так как вижу нездоровую тенденцию, админ Vbulletin 4, хочет чтобы его форум работал на шаред хостинге за 5$ и все летало. такого не когда не будет!

Все мы знаем основы, но когда я искал свой хост когда-то я тоже совершал некоторые ошибки, вот и разберем некоторые.

Является ли компания оверселлером?

Господа, я вас умоляю, не пользуйтесь хостингом который перепродают (оверселлер). Скорее всего вам выделят кусок большого «гумна» с которым вы намучаетесь на долго. Но как нам определить, что хостинг перепродается через 50 руки? Тут секретов нет, вам предложат 500 или 1500ГБ места (тут я утрирую конечно но ненамного) и пропускную способность 100 ТБ и всего то за 5 баксов. Не слишком ли хорошо? Но это все бред сивой кобылы, на самом деле вам не нужно больше 2-10 ГБ дискового пространства, уж поверьте. А пропускной способности 50- 200 гб вам за уши, тем более на первых парах.

Является ли компания реселлером?

Тут тоже надо быть очень внимательным. Большинство реселлеров являются фирмами однодневками. Они берут деньги, поработают немного и все, вы их больше не увидите. Все ваши файлы и наработки пропадут! Но нам же это не надо, не правда ли? И даже если вам понравились цена на хостинг данных фирм, обязательно проверьте, как долго та или иная компания в бизнесе.

Предельный размер базы данных!

Это очень важный пункт, если вы планируете перенести ваш работоспособный vbulletin. Я осмотрелся в предложениях различных хостеров большинство предлагают 100мб. На первое время этого конечно вам будет достаточно, но как только ваш форум будет расти, вам этого будет мало и вы вынуждены будете перейти на VPS или выделенный сервер.

Количество одновременных подключений к базе данных.

О, да это 100% важная вещь. Это очень важно, тем более если вы работаете с Vbulletin. Так как со временем одновременное подключение только растет. Большинство компаний шаред хостинга предлагает 10-250, все зависит от хостинга. Просто позвоните в тех поддержку и спросите у них об этом. Но, не все шаред хостинги имеют эту информацию, или поделятся с вами.

Отзывы! Хорошо это или плохо?

Тех поддержка.

На большинстве хостингах есть круглосуточная тех поддержка, которая работает 24/7, через электронную почту, тикеты, icq, skype или еще каким либо способом. Но как долго они будут вам помогать? Иногда это играет решающую роль.

Вызовите тех поддержку и посмотрите как долго вы будете ждать ответа, особенно ночью или в 5-6 утра. И проверьте несколько вариантов и телефон и тикеты. Задайте простые вопросы на которые вы и так знаете ответы, нам нужно вычислить время их ответа. Получили! Отлично, посмотрите сколько вы ждали ответа на легкий вопрос, и прикиньте сколько вам будут отвечать на сложную ситуацию.

Большая известная компания или новая неизвестная?

В принципе тут выбор стоит только перед вами, чем старше компания и солиднее, цены у не будут немного выше, чем у только что созданных. Лично я выбираю компанию которая себя уже как-то зарекомендовала. Хотите знать почему? Все просто, представьте только себе, что вы в одночасье можете потерять множество полезных файлов и базу данных. То же самое про политику конфиденциальности, не всегда можно быть уверенным, что она соблюдается. Ваши данные могут быть скопированы и созданны сайты клоны. Этот список можно продолжать и продолжать. Ну вы меня поняли 🙂

Исключительно в ознакомительных целях. Администрация не несет ответственности за его содержимое. Скачать бесплатно .

vBulletin Connect v5.3.3 - мощный, масштабируемый и полностью настраиваемый пакет форумов для вашего сайта.

Версия: 5.3.3 (Nulled by vBSupport.org)

Минимальные требования php 5.6
Совместимость с php 7.1
При новой установке необходимо переименовать файл htaccess.txt в.htaccess
При обновлении удалить папку fonts (до запуска обновления).

Новые возможности:
Новый UI с обширной социальной интеграцией;
Оптимизирован под мобильные устройства;
Упрощена установка, управление и настройка;
Новая архитектура базы данных для улучшения поиска и лучшей производительности;
Удобное динамическое изменение контента;
Расширенная для обмена видео и изображениями;
Полная интеграция с VigLink;
Больше чем 100 других новых функций и улучшений;

Встроенные приложения:
Дискуссионный форум
Группы
Опросы
Блог

Оптимизация поисковой системы:
SEO дружественные URL
Пользовательский тег ключевых слов/описания META

Гибкость:
Расширяемые профили пользователей
Перезапись URL
Интерфейсная локализация
Метаданные

Соответствие стандартов:
Объединение в синдикаты содержания (RSS)
Объединение в синдикаты содержания: RSS, Atom, XML
PHP v5.4 совместимый

Без разрывный интегрированная система:
Единственный задействованный вход в систему
Единственная система разрешения
Единственная администраторская панель управления
Создайте непрерывный Стиль/тему через Статьи, Блоги, Форум

Панели управления для каждой роли:
Администраторские средства управления
Панель управления модератора
Пользовательская панель управления
Объединенная система разрешения
Движок шаблонов питания для усовершенствованной настройки

Управление пользователя:
Многопользовательская система с неограниченными ролями и полномочиями
Задействованные группы
Безопасность
Гранулированные полномочия
Проблемное уведомление
Совместимый SSL
Captcha
Подтверждение адреса электронной почты
Администраторский редактор новостей панели управления
Система "забастовки" входа в систему
Электронная почта и изменения Пароля требуют текущего пароля
Совместимый с Children"s Online Privacy Protection Act (COPPA) 1998

1. Зайдите в панель управления администратора:
Languages & Phrases - Download / Upload Languages.
2. В поле "EITHER upload the XML file from your computer" введите путь к
файлу vbulletin-language_ru.xml на Вашем компьютере.
3. В параметре "Overwrite Language" выберите пункт "Create New Language"
4. В поле "Title for Uploaded Language" введите название языка.
При отсутствии введённых данных язык будет называться "Russian (RU)"
5. Установите "Yes" в параметре "Ignore Language Version"
6. Установите "Yes" в параметре "Read Charset from XML File"
7. Нажмите на кнопку "Import" и ждите завершения процесса загрузки.
7А При желании, Вы можете сделать новый язык языком "По умолчанию",
нажав возле него кнопку "Default" / "Значение по умолчанию".

Если Вы держите свой форум, то рано или поздно приходится думать о защите Вашего форума - ведь злоумышленники не дремлют! В этом топике я (при помощи хабраюзера ReaM) собрал список советов по увеличению безопасности Вашего форума. Заинтересовало? Добро пожаловать под хабракат:)

Итак… Начнем:

1) Апдейтимся в самый конец своей линейки(3.5.х,3.6.х,3.7.х)

Описание: Без комментариев

Почему?: Jelsoft постоянно закрывает всплывшие уязвимости. Никому не хочется работать на прошлогоднем дырявом форуме, правда?

2) Переименовываем админку и модерку

Описание: Переименовываем админку, но в конфигурации ни в коем случае не пишем путь к нашей переименованной админке. Также переименовываем модерку, но её уже можно прописать в конфигурации(хотя тоже нежелательно), так как она менее уязвима. Смотрите сами:)

Почему?: Если переименовать админку и не указать путь в конфигурации, то будет гораздо сложнее её найти и следовательно применить XSS или еще что похуже. Есть минусы: - редактирование профиля и добавление модераторов перестанут работать без ручной правки ссылок.

3) Ставим.htaccess на админку:

Описание:
a) если ip статичен, то
order allow, deny
deny from all
allow from %ваш_IP%

B) Также ставим дополнительный пароль:

Почему?: Дополнительное паролирование админки никогда не помешает.

4) Удаляем файлы и папки:

Описание:
a) Удаляем файлы:
/validator.php(если имеется)
/checksum.md5(если имеется)
b) Удаляем папки:
/install/

Почему?: Небезопасные файлы от нулёных версий могут дать возможность просматривать список файлов, а также папка install очень вредная=)

5) Перемещаем вложения и аватары

B) Аватары -> Тип хранения изображений пользователя
Аватары должны храниться в базе данных

Почему? : Линейка 3.5, если мне не изменяет память, давала прямые ссылки на картинки - что при неправильной конфигурации хостинга, давало шанс залить шелл.

6)Выставляем права на папки

Описание: Если выполнен пункт 5, то теперь смело ставим права на папки custom_* 644, так как они нам теперь не нужны(или можете их удалить). Дальше, если Вы устанавливали vBulletin по инструкции, у вас все папке в / (корне) должны иметь права 644. Проверьте это, если не так, то выставите права 644.

Почему?: Затрудняем хакеру заливку шелла.

7) Нигде, никогда, никому не включаем опцию "Разрешить html".

Описание: Без комментариев. Зачем кому-то HTML?
Почему?: Возможность XSS атак при включенной функции.

8) Ставим.htaccess на папку includes

Описание : Ставим.htaccess на папку includes следующего содержания:

Order allow, deny
deny from all

Почему?:

если туда каким-либо образом зальют шелл, то не смогут зайти на него.
если вас будут ддосить, то возможен такой вариант, когда интерпретатор php отваливается и остается только апач - и апача разрешает уже читать файлы php - следовательно можно будет прочитать все файлы из папки /includes/ - тот же config.php, что не очень хорошо.

9) Пихните в директорию с файлами, на которых стоят атрибуты 0777 такой.htaccess:

kerk _http://vbsupport.org/forum/member.php?u=30

Описание:

RemoveHandler .phtml
RemoveHandler .php
RemoveHandler .php3
RemoveHandler .php4
RemoveHandler .php5
RemoveHandler .cgi
RemoveHandler .exe
RemoveHandler .pl
RemoveHandler .asp
RemoveHandler .aspx
RemoveHandler .shtml

Order allow,deny
Deny from all

Почему?: Скрипты с указанными расширениями более невозможно использовать в пределах директории с таким htaccess.

10) Отредактируйте config.php, впишите id администраторов в поле undeletable user(неудаляемые/неизменяемые пользователи).

Описание: /includes/config.php. Просто вписать id администраторов, после того когда внесли все необходимые изменения в профиль.
Почему?: Незачем лишний раз кому-то менять профили администраторов, даже им самим. Понадобится - удалят ID из файла, поменяют, вернут обратно. Безопасность - превыше всего! :)

11) После удаления модов/хаков не забывайте удалять файлы, которые Вы закачали вместе с ними.

Описание: Без комментариев
Почему?: А зачем вам на сервере лишние файлы? Незачем…

12) Никогда не сохраняйте бэкапы в пределах доступности веб-сервера.

Описание: Без комментариев
Почему?: Они будут доступны для скачивания любому, кто узнает имя бэкапа. Конечно, можно htaccess прикрутить, но все равно, безопасности ради, выносите бекапы за пределы доступности веб-сервера.

13) Установить плагин «Инспектор файлов».

Автор - Ghost (http://www.vbsupport.org/forum/member.php?u=38422)

Описание (цитата):

Лазая по своим старым скриптам, напоролся на этот продукт - Инспектор файлов. Это несколько модулей для vBulletin, при помощи которых можно сохранять в базе данных список существующих файлов и время от времени проверять, не изменились ли какие из них (для каждого файла сохраняется размер, владелец и права доступа) - встроенная cron-задача уведомит администратора по почте о найденных несоответствиях. Можно сохранять в БД несколько различных копий (ревизий) списков файлов для сравнения (автоматическая проверка с уведомлением на email сверяется только с последней ревизией). Внешний вид и доступные настройки можно посмотреть на скриншотах.
INSTALL: Для установки необходимо залить два PHP-файла из архива на сервер и импортировать продукт из файла «product-gfi.xml».
UPDATE: Обновление версий не предусмотрено, так что для установки новой рекомендуется сперва удалить предыдущую версию.
З.Ы. Продукт успешно работал на всех версиях от 3.6.8 до 3.8.1 включительно. Правда ссылка в выпадающее меню в панели навигации добавлялась в разные места, но это уже мелочи.

Скачать с vbsupport.org

Почему?: Незаменимая вещь в поиске шеллов на сайте, но ставить её необходимо заранее.

Итог:

Доступ к админке получить довольно сложно - следовательно залить шелл через админку тоже. Можно залить шелл через уязвимости vB, но если лить в /includes (там есть для некоторых хаков файлы, которые требуют 777), то у нас на папке includes стоит deny from all - шелл попросту не будет доступен извне!

На остальные папки можно ставить права 644, если проделали все пункты - тогда достаточно сложно будет залить, особенно при правильной настройке chroot. И наконец, мы добавили защиту от самих админов, которые лазают где не попадя, тем самым сажая себя на XSS"ки и трояны.

Собственно, на этом всё… Это первый мой топик на хабре, так что просьба сильно не пинать:)

UPD: Перенес в «Информационную безопасность».

Если Вы держите свой vbulletin форум, то рано или поздно приходится думать о защите Вашего форума. Начнем:

1) Апдейтимся в самый конец своей линейки(3.5.х,3.6.х,3.7.х)
Описание: -
Почему?: JelSoft постоянно закрывает всплывшие уязвимости.

2) Переименовываем админку и модерку
Описание: Переименовываем админку, но в конфигурации ни в коем случае не пишем путь к нашей переименованной админке. Также переименовываем модерку, но её уже можно прописать в конфигурации(хотя тоже не желательно), так как она менее уязвима
Почему?: Если переименовать админку и не указать путь в конфигурации, то будет гораздо сложнее её найти и следовательно применить XSS или еще что похуже. Есть минусы: - редактирование профиля и добавление модераторов перестанут работать без ручной правки ссылок.

3) Ставим.htaccess на админку:
Описание:
a) если ip статичен, то
Код:
Order allow, deny deny from all allow from you.ip.add.res
b) Также ставим дополнительный пароль:
Идём по ссылке: _http://vbsupport.org/htaccess.php, заполняем поля и дописываем по инструкции в наш файл htaccess.
Почему?: Дополнительное паролирование админки никогда не помешает.

4) Удаляем файлы и папки:
Описание:
a) Удаляем файлы:
/validator.php(если имеется)
/checksum.md5(если имеется)
b) Удаляем папки:
/install/
Почему?: Небезопасные файлы от нулёных версий могут дать возможность просматривать список файлов, а также папка install очень вредная=)

5) Перемещаем вложения и аватары
Описание:
Идем в админку, далее:
a) Вложения -> Метод хранения вложений
Вложения должны храниться в базе данных
Цитата:
Сейчас вложения сохраняются в базе данных
, если это не так, то переносим их туда с помощью кнопки "Вперед".
b) Аватары -> Тип хранения изображений пользователя
Аватары должны храниться в базе данных
Цитата:
Сейчас изображения хранятся в базе данных, если это не так, то переносим их туда с помощью кнопки "Вперед".
Почему?: Линейка 3.5, если мне не изменяет память давала прямые ссылки на картинки, что,при неправильной конфигурации хостинга, давало шанс залить через это шелл.
6)Выставляем права на папки
Описание: Если выполнен пункт 5), то теперь смело ставим права на папки custom***** 644, так как они нам тепеорь не нужны(или можете их удалить). Дальше, если Вы устанавливали vbulletin по инструкции, у вас все папке в /(корне) должны иметь права 644. Проверьте это, если не так, то выставите права 644.
Почему?: Затрудняем хакеру заливку шелла.
7) Нигде, никогда, никому не включаем опцию "Разрешить html".
Описание: -
Почему?: Возможность XSS атак при включенной функции.

8) Ставим.htaccess на папку includes
Описание: Ставим.htaccess на папку includes следующего содержания:
Order allow, deny deny from all
Почему?:
- если туда каким-либо образом зальют шелл, то не смогут зайти на него.
- если вас будут ддосить, то возможен такой вариант, когда интерпретатор php отваливается и остается только апач - и апача разрешает уже читать файлы php - следовательно можно будет прочитать все файлы из папки /includes/ - тот же config.php, что не очень хорошо.
9) Пихните в дир. с файлами, на которых стоят атрибуты 0777 такой хтаксесс: - (c) kerk _http://vbsupport.org/forum/member.php?u=30
Описание:
Код:
RemoveHandler .phtml RemoveHandler .php RemoveHandler .php3 RemoveHandler .php4 RemoveHandler .php5 RemoveHandler .cgi RemoveHandler .exe RemoveHandler .pl RemoveHandler .asp RemoveHandler .aspx RemoveHandler .shtml

Order allow,deny
Deny from all

добавить своих хэндлеров, если необходимо
все, в этой директории никакой из перечисленных скриптов, выполнить нельзя
Почему?: -

10) Устанавливаем хак: http://allcheats.ru/product-firewall_vb_rs.xml
Описание:
Импортируем хак и создаем файл: logfile_worms.txt с правами на запись вебсервера(777)
Почему?: -
Защита от кучи "плохих" присваиваний переменных Подробнее в посте ниже

11) Отредактируйте config.php, впишите id администраторов в поле undeletable user(неудаляемые/неизменяемый пользователи).

Описание:
/vb/includes/config.php. Просто вписать id администраторов, после того когда внесли все необходимые изменения в профиль.
Почему?: -

12) После удаления модов/хаков не забывайте удалять файлы, которые Вы закачали вместе с ними.

Описание: -
Почему?: -

13) Никогда не сохраняйте бэкапы в папке public_html.

Описание: -
Почему?: Они будут доступны для скачивания любому, кто узнает имя бэкапа.
14) Установить плагин "Инспектор файлов". Автор - Ghost (http://www.vbsupport.org/forum/member.php?u=38422)
Описание:
Лазая по своим старым скриптам, напоролся на этот продукт -- Инспектор файлов. Это несколько модулей для vBulletin, при помощи которых можно сохранять в базе данных список существующих файлов и время от времени проверять, не изменились ли какие из них (для каждого файла сохраняется размер, владелец и права доступа) -- встроенная cron-задача уведомит администратора по почте о найденных несоответствиях. Можно сохранять в БД несколько различных копий (ревизий) списков файлов для сравнения (автоматическая проверка с уведомлением на email сверяется только с последней ревизией). Внешний вид и доступные настройки можно посмотреть на скриншотах.
INSTALL: Для установки необходимо залить два PHP-файла из архива на сервер и импортировать продукт из файла "product-gfi.xml".
UPDATE: Обновление версий не предусмотрено, так что для установки новой рекомендуется сперва удалить предыдущую версию.
З.Ы. Продукт успешно работал на всех версиях от 3.6.8 до 3.8.1 включительно. Правда ссылка в выпадающее меню в панели навигации добавлялась в разные места, но это уже мелочи.
Нажмите, чтобы раскрыть...

Скачать плагин можно по ссылке: http://allcheats.ru/gfi.zip или http://www.vbsupport.org/forum/showthread.php?t=29131 (необходима регистрация)
Почему?: Незаменимая вещь в поиске шеллов на сайте, но ставить её необходимо заранее.
----------

Небольшой итог:
доступ к админке получить достаточно сложно - следовательно залить шелл через админку тоже, значит можно залить шелл через уязвимости воблы, но если лить в инклуды - там есть для некоторых хаков файлы, которые требуют 777- то у нас на папке includes стоит deny from all - шелл не заюзать!
а на остальные папки можно ставить права 644, если проделали все пункты - тогда достаточно сложно будет залить при правильной настройке chroot"инга(или как его там- на не совсем трезвую голову вылетело слово)...
также добавилась защита от самих админов, которые лазают где не попадя, тем самым сажая себя на XSS"ки и трояны.
(c) me

Основные преимущества:

Быстрая и эффективная основа на базе данных
Интерфейс, состоящий из шаблонов
Мощная поисковая система
Многоязыковая поддержка
Профили пользователей
Мощная и удобная панель администратора
Неограниченное количество разделов/тем/сообщений
Уведомления по email
Поддержка COPPA

Ввиду того что демки форума, которую можно инсталлировать, фирма-производитель не предоставляет, пришлось устанавливать левую версию, скачанную с какого-то варезника. Так что инструкция может не совсем соответствовать процессу установки лицензионного форума. После инсталляции, сайт был удалён, по назначению не использовался.

Для инсталляции vBulletin, переходим в панель управления хостингом (кнопка с шестерёнкой напротив заказа хостинга в биллинге), там в "Менеджер файлов", в нём переходим в директорию "www". Нажимаем кнопку "Закачать файл в текущую директорию":

Указываем путь к файлу на своём компьютере:

Выделяем архив с vBulletin, распаковываем его:

Удаляем ненужные нам файлы и директории, в том числе директорию нашего www домена - при условии что там у вас ничего нужного нет. Если вы ставите не в корень сайта, или в директории сайта есть что-то нужное - удалять директорию www домена не надо:

Выделяем директорию с инсталлятором vBulletin, переименовываем её:

Вводим имя нашего сайта, в качестве имени директории:

Переходим в раздел "Базы данных", панели управления хостингом:

Создаём новую базу данных MySQL, и пользователя, с полными правами доступа к ней:

Обратите внимание, что и пользователь и база автоматически получили преффикс, по имени вашего аккаунта на хостинг-сервере:

Заходим на главную страницу нашего сайта, получаем такую ошибку vBulletin:

Вбиваем путь к инсталлятору в адресной строке, надо дописать "install/install.php", после чего запускется программа установки форума vBulletin:

Установщик vBulletin проверяет наличие файлов:

На следующем шаге присходит проверка соединения с базой данных, она не проходит - т.к. в файле конфигурации форума вбиты неверные данные:

Возвращаемся в панель управления хостингом, файловый менеджер, заходим в директорию с форумом, дальше субдиректория "includes". Открываем файл "config.php":