Folgenden Inhalt umfasst das Tutorial:
a) Erste Sicherheitshinweise
b) Löschen des „Install“-Folders
c) Verändern des AdminCP & ModCP-Pfads
d) Setzen einer Passwortabfrage
e) IP-Logging deaktivieren/unterbinden
f) Regelmäßiges, automatisches Datenbank-Backup
a) Erste Sicherheitshinweise
Wichtigste Regel bei jeder Art von Forensoftware ist, dass jedes Plugin eines zu viel ist, d.h. man sollte möglichst wenig verwenden, damit das Forum nicht angreifbar wird. Die vBulletin-Software ist z.B. sehr sicher, erst die ganzen Erweiterungen öffnen Lücken für Angreifer.
Sollte es jemals zu einem Hack & einer anschließenden Publizierung der Datenbank kommen, so sind insbesondere in der Hacking & Warez-Szene IP-Adressen sehr begehrt. Damit können die einzelnen User zurückverfolgt & überführt werden. Um dies zu verhindern, sollten keinerlei Daten über die Benutzer erstellt werden, vor allem IP-Adressen. Auch wenn dies z.B. bei Rippern zu Nachteilen führt, so überwiegt doch die Sicherheit der restlichen User. Wie ihr euer vBulletin (hier Version 3.8.x) sicher macht, wird euch in den nachfolgenden Zeilen erläutert.
b) Löschen des „Install“-Folders
Ist vBulletin installiert worden, so kann jederzeit über die FORUM/install/install.php ein neues Adminkonto erstellt werden. Um dies zu verhindern, sollte nach jeder Installation zumindest die install.php gelöscht werden. Um Missbrauch von anderen Personen zu verhindern, sollte gleich der ganze Ordner „install“ entfernt werden.
c) Verändern des AdminCP & ModCP-Pfads
Standardmäßig befindet sich der AdminCP-Pfad bei vBulletin in FORUM/admincp, der ModCP-Pfad in FORUM/modcp. Um eventuellen Angriffen vorzubeugen, sollte der Pfad verändert werden. Das ist bei vBulletin sehr einfach im Konfigurationsfile möglich. Dieses befindet sich in FORUM/includes. Öffnet dort die „config.php“, wo sämtliche Einstellungen des Forums vorgenommen werden können.
Folgendermaßen sollte dieses Config-File in etwa aussehen:
$config[‚Misc‘][‚admincpdir‘] = ’28a3c7402082c70988490d781a4d02cb‘;
$config[‚Misc‘][‚modcpdir‘] = ’64f34a7d7373ca028348e98fad993e87′;
Suche nun folgende Option:
Ändere den rot markierten Teil in deinen gewünschten Pfad. Möchtest du deinen AdminCP-Pfad in „adminadmincp“ umbenennen & den ModCP-Pfad in „modunwichtig“, so sieht der Code folgendermaßen aus:
Speichere nun die Config.php & ersetze sie mit der alten, damit die Änderungen wirksam werden.
d) Setzen einer Passwortabfrage
Um unberechtigten Zugriff zu vermeiden, sollte eine Passwortabfrage in AdminCP & bei Bedarf auch ModCP gesetzt werden. Diese Methode nennt man „.htaccess“.
Um einen .htaccess zu setzen, solltest du dir vorher folgenden Beispielcode ansehen.
„/home/hba-crew/hba-crew/example/.htpasswd“ stellt den Pfad da, wo sich der AdminCP oder ModCO deines Forums befindet. „HIER KOMMT DEINE AUSGABE REIN!“ kannst du beliebig varrieren, das wird als Hinweis ausgegeben.
Speichere den Code mit entsprechendem Pfad & Text als „.htaccess“-Datei.
Nun benötigst du noch die Zugangsdaten, die im „.htpasswd“ abgefragt werden. Hierzu nutze einen .htaccess-Generator, wie z.B. diesen hier.
Erstelle dann eine .htpasswd-Datei & füge deinen entsprechenden Zugang ein. Beispiel für Username „forum“ & Passwort „forum“:
WICHTIG: Folgende Beifügung in der .htaccess-File darf NIEMALS verwendet werden, denn sie kann umgangen werden.
O.g. Beispiel ist korrekt & sicher.
e) IP-Logging deaktivieren/unterbinden
Speichern von IP-Adressen in den vBulletin Einstellungen deaktivieren!
Hierbei muss folgendermaßen vorgegangen werden:
Öffne das Administrator-Kontrollzentrum des betreffenden Forums & logge dich ein.
-> Öffne die „vBulletin-Einstellungen“.
-> Öffne den Reiter „vBulletin-Einstellungen“.
-> Öffne die Kategorie „Texte: Erstellen und bearbeiten“.
-> Suche den Abschnitt „IP-Adressen speichern“.
-> Wähle dort „IP-Adressen nicht speichern“ aus.
-> Speichere die Einstellungen mit Klick auf „Speichern“.
Nun muss die Anmeldeversuchsbeschränkung deaktiviert werden.
Öffne das Administrator-Kontrollzentrum des betreffenden Forums & logge dich ein.
-> Öffne die „vBulletin-Einstellungen“.
-> Öffne den Reiter „vBulletin-Einstellungen“.
-> Öffne die Kategorie „Allgemeines“.
-> Suche den Abschnitt „Anmeldeversuche beschränken“.
-> Wähle dort „Nein“ aus.
-> Speichere die Einstellungen mit Klick auf „Speichern“.
HIER GIBT ES ZWEI MÖGLICHKEITEN!
Die erste ist mit e.1) und die zweite mit e.2) gekennzeichnet.
e.1) Komplettes Speichern unterbinden!
Gehe auf FORUM/includes/. Schaue dort nach class_core.php und verändere sie wie folgt:
Suche:
{
return $_SERVER[‚REMOTE_ADDR‘];
}
Ersetze es mit:
{
return „127.0.0.1“;
}
Suche:
{
$alt_ip = $_SERVER[‚HTTP_FROM‘];
}return $alt_ip;
Ersetze es mit:
{
$alt_ip = $_SERVER[‚HTTP_FROM‘];
}return „127.0.0.1“;
Danach ist das Forum logfrei.
e.2) Löschen von IP-Adressen alle 10 Minuten!
Diese zweite Methode erlaubt, sämtliche IP-Adressen kontinuierlich zu löschen. Das geht alles vollautomatisch.
Downloade zuallerst das angehängte Archiv „PruneIPs v0.6.1.zip“ & entpacke es. Lade die Datei „pips_cron.php“ hoch & kopiere sie nach „includes/cron“. Installiere nun das sich ebenfalls im Archiv befindende „product-prune_ips.xml“ im AdminCP. Öffne im Anschluss die vBulletin Einstellungen wie in Schritt e) beschrieben.
Öffne nun aber statt „Texte: Erstellen und bearbeiten“ die Kategorie „IP-Adressen löschen“. Gib nun bei „Höchstalter“ die Zahl „0“ (Null) ein & wähle bei „Gelöschte Beiträge auslassen?“ die Antwort „Nein“.
Gehe nun – weiterhin im AdminCP – auf „Zeitgesteuerte Aufgaben“ & dann auf den Reiter „Aufgaben verwalten“. Suche den Titel „Prune IP Addresses – Betroffene Beiträge werden gesucht und die IPs gelöscht.“ Klicke im nebenstehenden Dropdown-Menü auf „Aktivieren“ und gleich danach auf „Bearbeiten“. Nun siehst du die jeweiligen Einstellungen dieses sogenannten „Cronjobs“. Wähle bei „Wochentag“, „Monatstag“ & „Stunde“ – falls nicht bereits eingestellt – das Sternchen (*) aus. Bei „Minute“ wählst du 0, 10, 20, 30, 40 & 50 aus und bestätigst mit „Speichern“.
Von nun an werden alle 10 Minuten sämtliche IP-Adressen gelöscht.
f) Regelmäßiges, automatisches Database-Backup
Downloade zuallerst das angehängte Archiv „Auto-backup.zip“ & entpacke es. Lade alle Dateien im Ordner „includes“ nach FORUM/includes. Installiere nun das sich ebenfalls im Archiv befindende „Auto-backup.xml“ im AdminCP. Öffne im Anschluss die „vBulletin Einstellungen“.
Gehe dort auf die Kategorie „vBulletin Automatic Backup“ und öffne sie.
Wähle bei der ersten Option „Combine Files“ die Auswahl „Ja“ aus.
Die Option „Close Forum“ ist optional und muss nicht unbedingt ausgeführt werden. So ist jedoch die Wahrscheinlichkeit geringer, dass Fehler entstehen. Im Feld „Closed Message“ kannst du dir eine Nachricht ausdenken, welche während des Backups deinen Usern angezeigt werden sollen. Die Option greift nur, wenn das Forum während des Backups geschlossen wird (Option „Close Forum“).
Lasse die Optionen „Date Format“ & „Files Prefix“ wie sie sind oder verändere sie bei Bedarf. Dies ist jedoch nicht notwendig.
Bei „Backups Path“ muss der Ordner zum Speichern des Backups eingefügt werden. Gib dazu folgende URL ein:
FORUM/ADMINCPPFAD/index.php?do=phpinfo
FORUM = URL deines Forums.
ADMINCPPFAD = Der in der Config.php eingetragende Pfad (Standard: admincp).
Dort erscheint dann die sogenannte „phpinfo()“. Suche nun die Zeile „DOCUMENT_ROOT“ und kopiere dort die Information heraus.
Beispiel: /home/admin/FORUM
Gib nun im AdminCP bei der Option „Backups Path“ o.g. Pfad ein (hier: home/admin/FORUM/Backups/).
Info: Den Ordner „Backups“ kannst du beliebig variieren.
Versehe danach den Ordner „Backups“ mit den CHMOD 777 (Diese Rechte kann man ohne Probleme mit jedem FTP-Programm vergeben).
Weiter im Takt: Wähle bei Option „Lock Tables“m „Repair Tables“ und „InnoDB Tables“ die Auswahl „Nein“.
Klicke danach im AdminCP auf „Zeitgesteuerte Aufgaben“ und danach auf den Reiter „Aufgaben verwalten“. Suche dort den Titel „Automatic Database Backup for vBulletin“ und aktiviere ihn mit „Aktivieren“. Klicke danach auf „Los“. Jetzt kannst du einstellen, wann die Backups erfolgen sollen.
Das Backup alle 24 Std. zu wiederholen, ist sinnvoll. „Wochentag“ und „Monatstag“ auf „*“ gestellt, „Stunde“ auf eine beliebige (aber nicht „*“) und „Minute“ auf „0“.
„Aktiv“: Ja
„Logeinträge“: Ja
Und zum Schluss auf „Speichern“.
Ab sofort wird das Backup automatisch ausgeführt.
Benutzte Files:
http://www.xup.in/dl,18800854/Auto-backup.zip/
http://www.xup.in/dl,14316794/PruneIPs_v0.6.1.zip/
http://www.xup.in/dl,10567629/class_core.php/