Взлом XenForo (причина была в плагине Esthetic Extended BB-Codes 1.0.4)

C Fail2ban такое не пройдёт т.к. во первых айпи адреса удаляются автоматически (Можно настроить), во вторых банятся и проверяются IP-адреса "на уровне ОС", т.е. IPTables в этоге это гораздо быстрее и нагрузки никакой нет...

Я вот до сех-пор непонимаю зачем банить сканеров, ну сканируют и пофиг, главное что-бы небыло уязвимостей в движке, а блокировать сканеры например для WordPress, если у Вас XenForo это глупо...

Лучше задуматься как проверить сайт на уязвимости, пока нашёл такую программу:https://www.netsparker.com/

Там можно проверить сайт на XSS, SQL-Inject и уязвимости сервера, единственное проверяет долго я так и недождался !

 

Захотят, поломают, потому что стимул есть.

Бравируете. А другие молча окапываются.
О безопасности не принято писать, отсюда мало информации и видимость отсутствия нужды в ней. При этом, инфы о взломах, брутах, спамах... предостаточно. И что же рекомендуют потерпевшим - ты не ту капчу поставил, вот эта не пробиваемая, поставь этот движок, он надёжнее, тебе срочно надо поменять хостинг. А ещё хостер начинает дуть щёки, твой сайт создаёт большие нагрузки, надо тарифный план менять - так горе админы быстро "дорастают", до необходимости иметь свой хостинг. А потом, ищут логику в своём решении о приобретении сервера, самоутверждаясь в том, что демонстрируют своё превосходство над теми у кого нет СВОЕГО сервера.

))))))))))))))))))))))))))))))) Ещё есть сайты на которых можно сгенерировать супер пароль.

Ждите "гостей")))).

 

Если это ко мне, то у меня нет своего сервера, есть две VPS, но на разных технологиях, одна OpenVZ, другая KVM...

Ту которую на OpenVZ сейчас буду использовать для "Экспериментов" !

Превосходство я своё не перед кем недемонстрирую, т.к. тоже некопенгаген в этом деле, просто высказал свою точку зрения не более того !

Такие тесты делать необходимо, возможно та программа которую я указал нашла-бы уязвимость в плагине, а может и не нашла, в любом случае у Viodele это не первая уязвимость и наверное нужно задуматься перед тем как устанавливать его плагины, неужели нет альтернативы, к тому-же цена у него не маленькая, рискну предположить что за 300-400 баксов, можно найти нормального кодера, который напишит похожий плагин и без всяких там закладок и прочее...

 

Сканер AI-Bolit

Если есть время, то сама пишу. Опять, же, если и есть дыра, так это надо знать сам продукт, а его ни у кого нет, плюс оригинальный сервис на сайте.
--- добавлено : Dec 16, 2014 10:46 AM ---
Oleg-2012, вот, результат бездействия. Злодеев подпустили к скрипту и теперь не знают чего делать
http://www.vbstyle.ru/forum/f5/t1285-index2.html#post6743

 

Проблема по ссылке решается включением ReCaptcha. Simple.

С вашим подходом к защите форума, ни один нормальный человек на него не попадет. И, как из кеша гугла видно, и не попадает. За последние два года десяток постов.

 

Там лимиты слишком строгие, непонятно для чего ?

Три вкладки откроешь, на четвёртую уже блокировка, откроешь пять ссылок подрят, уже бан на всегда !

Про htaccess, вот Вы сделали ловушки, но как узнаете в каком файле уязвимость/беккдур, может совсем в другом файле, или не в файле вообще...

Считаю что мало это чем поможет !

И ещё, у меня например на форуме, банальная капча при регистрации, т.е. просто надпись, картинка которую пользователи легко поймут и введут, это не какая-то там гугл рекапча, которую хрен введёшь...

И даю 100% гарантию что у меня не будет неодного спам бота, нужно во всём соблюдать баланс безопасность/удобство, тогда и проблем с безопасностью не будет и у пользователей проблем невозникнет !

 

Можно другую капчу поставить, но это не решение.

Все хотят экспертами славится. У нас опубликовать сложно, поскольку редко, кто приходит со стоящим материалом - всё повторяют то, чему их научили кремлёвские тролли.
Ну, и сайт на новом домене мы открыли только весной этого года. И ещё раз. Не надо в эксперты двигаться. Есть же рейтинговая система.
Вот, одна из самых популярных, что пишет про сайт
http://www.alexa.com/siteinfo/vizantium.net#trafficstats
Сайт скоро войдёт в ТОП 100 лучших сайтов мира.
То есть посты и пользователи на сайте это не главное.
--- добавлено : 16 дек 2014 в 14:33 ---

Жалоб нет. Возможно плохой интернет канал, следствием чего имеются дополнительные запросы к сайту

На моём сайте игрушка вместо капчи. Пройти не могут страницу с Правилами форума, плохо читают, а бот вообще не хочет читать.

 

Скоро? Через 143 тысячи мест? Вы серьезно? http://www.alexa.com/topsites/global;4 - Одноклассники на 101 месте, Амазон на 100. Хватит уже грибы жрать и сюда писать, уже давно не смешно.

 

А вы чего, не знаете как называется сотня. Именно с этой точки отсчёта 100.000 появляется подробная информация о сайте
Вот пример сайта на булке с кучей тем, которые создаются ежедневно, с тысячами пользователей. Ну и заодно прочтите что написано на первом графике
http://www.alexa.com/siteinfo/legal-forum.ru
Для моего сайта информация уже публикуется потому что он уже находится в сотне, но alexa собрал не всю инфу о сайте.

Зачем так далеко ушли
http://www.alexa.com/siteinfo/xf-russia.ru#trafficstats

 

Вот на этой ноте можно и закрыть. Походу девочке не хватает внимания к себе в реале, она решила оттянуть его в виртуальной среде, при этом потроллить и забрать часть энергии людей, которые умнее и грамотнее её в техподдержке серверов как админы...