Brute force атаки

[soldier2003]

Добрый день, Ранее получил письмо от хостинга:
Уважаемые клиенты! В связи с участившимися массированными Brute force атаками на различные административные части CMS, просьба принять меры к их защите:
- ограничить доступ к административным частям CMS через .htaccess
- установить спец. плагины защиты
- сменить адрес / переместить административные части CMS
- принять любые другие меры по защите

В противном случае Ваши IP адреса могут быть заблокированы нашим анти ДДОС ПО, а также существует большой риск взлома CMS и аккаунта в целом.

сейчас файл haccess после письма изменен содержит:

Спойлер

Код: Выделить всё

<Files "config.php">
Order Allow,Deny
Deny from All
</Files>

<Files "common.php">
Order Allow,Deny
Deny from All
</Files>

# Common
AddDefaultCharset utf-8
AddCharset utf-8 .html .css .js .xml .json .rss
Options -Indexes
<IfModule mod_php5.c>
php_flag magic_quotes_gpc off
php_flag register_globals off
</IfModule>
FileETag None

<IfModule mod_expires.c>
ExpiresActive On
</IfModule>

# Multimedia MIME types
AddType audio/ogg                  ogg oga
AddType video/ogg                  ogv
AddType audio/webm                  webma
AddType video/webm                  webm webmv
AddType audio/mp4                  m4a
AddType video/mp4                  mp4 m4v
AddType audio/opus                  opus
AddType audio/flac                  flac
AddType audio/aac                  aac
AddType audio/mpeg                  mp1 mp2 mp3 mpg mpeg
AddType audio/wav                  wav

<IfModule mod_expires.c>
ExpiresByType audio/ogg               "access plus 3 month"
ExpiresByType video/ogg               "access plus 3 month"
ExpiresByType audio/webm            "access plus 3 month"
ExpiresByType video/webm            "access plus 3 month"
ExpiresByType audio/mp4               "access plus 3 month"
ExpiresByType video/mp4               "access plus 3 month"
ExpiresByType audio/opus            "access plus 3 month"
ExpiresByType audio/flac            "access plus 3 month"
ExpiresByType audio/aac               "access plus 3 month"
ExpiresByType audio/mpeg            "access plus 3 month"
ExpiresByType audio/wav               "access plus 3 month"
</IfModule>

# Image MIME types
AddType image/png                  png
AddType image/gif                  gif
AddType image/jpeg                  jpg jpeg
AddType image/webp                  webp
AddType image/svg+xml               svg svgz

<IfModule mod_expires.c>
ExpiresByType image/png               "access plus 1 month"
ExpiresByType image/gif               "access plus 1 month"
ExpiresByType image/jpeg            "access plus 1 month"
ExpiresByType image/webp            "access plus 1 month"
ExpiresByType image/svg+xml            "access plus 1 month"
</IfModule>

# Font MIME types
AddType font/ttf                  ttf
AddType font/otf                  otf
AddType application/x-font-woff         woff

<IfModule mod_expires.c>
ExpiresByType font/ttf               "access plus 1 month"
ExpiresByType font/otf               "access plus 1 month"
ExpiresByType application/x-font-woff   "access plus 1 month"
</IfModule>

# Text MIME types
AddType text/cache-manifest            manifest
AddType text/javascript               js
AddType text/css                  css
AddType text/html                  html
AddType text/plain                  txt log csv tsv

<IfModule mod_expires.c>
ExpiresByType text/cache-manifest      "access plus 7 days"
ExpiresByType application/javascript    "access plus 7 days"
ExpiresByType application/x-javascript    "access plus 7 days"
ExpiresByType text/javascript         "access plus 7 days"
ExpiresByType text/css               "access plus 7 days"
ExpiresByType text/html               "access plus 7 days"
</IfModule>

# Binary MIME types
AddType application/x-7z-compressed      7z
AddType application/x-shockwave-flash   swf

<IfModule mod_expires.c>
ExpiresByType application/x-7z-compressed   "access plus 1 month"
ExpiresByType application/x-shockwave-flash   "access plus 1 month"
</IfModule>

# Gzip compression for Apache 2
<IfModule mod_deflate.c>
AddOutputFilterByType DEFLATE text/plain text/html text/xml text/css
AddOutputFilterByType DEFLATE text/javascript application/javascript application/x-javascript application/json
AddOutputFilterByType DEFLATE application/xml application/xhtml+xml application/rss+xml
AddOutputFilterByType DEFLATE font/ttf font/otf image/svg+xml
</IfModule>

# Gzip compression for Apache 1
<IfModule mod_gzip.c>
mod_gzip_on Yes
mod_gzip_dechunk Yes
mod_gzip_item_include file \.(html?|txt|css|js|php)$
mod_gzip_item_include mime ^text/.*
mod_gzip_item_exclude mime ^image/.*
mod_gzip_item_exclude rspheader ^Content-Encoding:.*gzip.*
</IfModule>

Изначально форум был создан на основе phpbbex 1.7.1 потом было внесено множество изменений в том числе обновление и переустановка cleantalk.

[Sumanai]

В противном случае Ваши IP адреса могут быть заблокированы нашим анти ДДОС ПО,

Они так шутят? Для чего блочить ваш айпи, когда нужно блочить айпи брутфорсеров?
Но раз они так просят, то можно пошевелиться. В файле config.php в конце новой строкой прописать

Код: Выделить всё

@define('PHPBB_ADMIN_PATH', '../adminko/');

В файле /includes/functions.php Строку

Код: Выделить всё

      'U_ACP' => ($auth->acl_get('a_') && !empty($user->data['is_registered'])) ? append_sid("{$phpbb_root_path}adm/index.$phpEx", false, true, $user->session_id) : '')

Заменить на

Код: Выделить всё

      'U_ACP' => ($auth->acl_get('a_') && !empty($user->data['is_registered'])) ? append_sid("{$phpbb_root_path}adminko/index.$phpEx", false, true, $user->session_id) : '')

Ну и переименовать саму папку adm в adminko.
Само собой вместо adminko нужно использовать своё, секретное слово.
Потом можно отчитаться хостеру о проделанной работе.

[HD321kbps]

на заметку)

[Test]

soldier2003, можно узнать, что ха хостинг такой?

[Amney]

Они так шутят?

Действительно,что за бред??

[soldier2003]

soldier2003, можно узнать, что ха хостинг такой?

best-hoster.ru
в принципе адекватный хостинг, если руки есть, пример: писали про высокую нагрузку на сервер, подсказали где найти логи сервера, потом частично подсказали где копаться в итоге починил все
вообще советую попробовать, если ищите хостинг, я уже так просто хочу сделать чтобы все работало, но времени нет
много проблем в связи с выходом phpbb 3.1.1

Действительно,что за бред??

шутки шутками, но многие хостинги лочат все IP потом по записке в службу поддержки разлочивают только определенные, защита от дурака из России, за границой есть другая защита, но реакции хостера на предмет например поддержки, внесение изменений в dns очень долгие

Но раз они так просят, то можно пошевелиться. В файле config.php в конце новой строкой прописать

Код: Выделить всё

@define('PHPBB_ADMIN_PATH', '../adminko/');

я правильно понимаю, что данный код необходимо прописать на новой строке к после всех параметров именно так как он указан?

[Sumanai]

я правильно понимаю, что данный код необходимо прописать на новой строке к после всех параметров именно так как он указан?

Да. Само собой заменив слово adminko, как я собственно и написал.

[dnHyper]

многие хостинги лочат все IP

шутки шутками, но адекватные блокируют не ip, а только аккаунт и только в случае превышения нагрузки (т.е. ДДоС атаки).

В данном-же случае очень коряво написано предупреждение, к тому-же практически скопипащенно оно (мне встречалась подобная-же подборка рекомендаций на просторах глобальной помойки сети).
Если вдуматься в текст, то становится понятно, что блокировать будут только в случае подозрения о переборе пароля. И, боюсь, могут блокировать так-же простых пользователей, что пытаются войти в свой аккаунт и… методом подбора вспоминают пароль. Так что… хостеру.

В общем и целом процитирую Нагиева касательно этой ситуации, — «братцы… это становится уже опасным… бегите братцы, бегите»

[factotum]

https://bruteprotect.com/
Думаю, при наличии желанию можно прикрутить и к phpbb
Меня устраивает на все 100. Однажды был вопрос - не пускало юзвера с "черным" ай-пи. Решается добавлением исключений в настройке. В общем-то довольно неплохой инструмент против подбора пароля.

[Test]

factotum, ахаха. Чтобы защититься от перебора паролей, надо подключить сторонний сервис Ты меня насмешил.
Достаточно записывать все неправильные попытки входа на форум и блокировать форму входа/выводить дополнительную капчу/хитрый вопрос при превышении числа попыток входа за определенный период.

[factotum]

Сервис используется как расширение стандартной защиты. Подключить сервис и использовать по усмотрению или ограничиться чем-то своим - выбор каждого, а не как выразились - "надо". Что смешного?

[ЖЪРЧИК]

solve какой то юзает ЖЖ капчу.

[Test]

factotum, смешно то, что есть более простое решение. А сторонние сервисы не есть хорошо. Даже гугль иногда падает ;)