Основы безопасности

iEXExchanger настроен с учетом лучших практик безопасности, но есть несколько вещей, которые вы должны использовать, чтобы злоумышленники не могли обойти эти средства защиты.

Зачастую владельцы обменных сервисов недооценивают вопрос безопасности, свою ответственность и поэтому часто становятся жертвами взломщиков.

Единственный человек который несет ответственность за средства которые имеются на счетах и ее целостность - это владелец обменного пункта.

В последнее время мошенники начинают писать во все мессенджеры, сообщают о взломах, предлагают помощь, также начинают DDOS атаки.

Проигнорируйте, очистите чат, не включайтесь даже в диалог.

Внимание!!!

  1. Обязательно защитите ваш сервер двухфакторным ключём, установить очень сложный пароль.

  2. Защитите рабочие telegram аккаунты двухфакторным ключём, не авторизуйтесь на сторонних сервисах используя рабочий аккаунт.

  3. Не открывайте никакие ссылки, если они приходят на E-mail.

  4. Не устанавливайте расширения в браузере.

Когда выдаете доступ к серверу разработчикам скрипта в telegram для решения каких либо задач, ОБЯЗАТЕЛЬНО УДАЛИТЕ ДАННЫЕ ЧЕРЕЗ 2 МИН И СМЕНИТЕ ПАРОЛЬ, чтобы избежать взломов

Мы настоятельно рекомендуем настроить все опции, которые мы предоставили, для максимальной защиты вашего сервера и панели администрирования.

Один из основных пунктов это: Установка сложных паролей для доступа к платежным шлюзам, к панели управления и к серверу.

Пароли должны быть уникальными

  1. Для Telegram, установите сложный пароль и облачный пароль, чтобы защитить учетную запись.

  2. Для сервера используйте отдельный e-mail аккаунт

Безопасность сайта - ваша забота, а мы поможем

  1. Не предоставляйте доступ в панель управления посторонним пользователям без острой на то необходимости. Для таких целей создавайте отдельную учетную запись и выдайте временные права администратора и не забывайте удалять ее потом.

  2. Администраторы часто получают по почте сообщения с вложенными файлами в которых могут содержаться вирусы. Никогда не открывайте файлы, если они присланы с незнакомых адресов

  3. Добавьте на рабочих стол 2 важные виджеты чтобы контролировать действия. Для добавление в панели управления нажмите кнопку "Добавить виджет", и в списке выберите "Пользователь в панели управления" и "Статистика пользователей".

  4. Используйте надежные пароли для пользователей, имеющих доступ в панель управления.

  5. Обеспечьте надежность хранения администраторских паролей, паролей доступа по FTP. (Предпочтительно использование SFTP/SCP)

Google Authenticator

Одноразовые пароли значительно усиливают систему безопасности вашего сайта. Используйте приложение Google Authenticator, для дополнительной защиты.

Google Authenticator

Путь к панели управления

Настоятельно рекомендуем изменить стандартный путь к панели администрирования на индивидуальный.

Путь к панели управления

Ограничения по IP адресу

На текущий момент, доступно несколько способов для настройки доступа к панели управления по IP адресу. Рекомендуем включить обе.

Ограничение доступа к панели управления по IP

Группы

Очень важно настроить правильно роли для пользователей, чтобы у каждого были ограниченные права.

Настройка групп пользователей

Google Captcha

Настоятельно рекомендуем настроить google captcha для авторизации в панель управления, чтобы улучшить безопаcность.

Подключение Google reCaptcha

CSP Защита

Рекомендуем обязательно включить функцию CSP, для того чтобы исключить нежелательные подключения.

CSP Безопасность

Cloudflare WAF

Если домен подключен к Cloudflare, рекомендуем добавить правила, для того чтобы доступ к панели управления было исключительно по белому списку.

Ограничение по IP в CloudFlare

Коды безопасности

Для автовыплат, рекомендуем в обязательном порядке настроить возможность ввода кода безопасности.

Код безопасности автовыплаты в заявке

Fail2Ban

Для защиты SSH рекомендуем перейти по ссылке ниже и следовать инструкции.

Для установки fail2ban, лучше довериться специалистам, и попросите установить службе поддержки вашего сервера.

Установка и настройка Fail2ban

Остальные меры безопасности

Для того чтобы дополнительно усилить защиту панели управления, выполните действия ниже:

В панели управления, откройте раздел "Настройки - Настройки скрипта",

во вкладке "Безопасность":

  1. Найдите "Контроль изменения IP адреса" и выберите "Средний уровень"

  2. Найдите "Сбрасывать ключ авторизации при каждом входе?" и включите.

Уведомления

Перед тем как включить уведомления, убедитесь что у вас настроек Службы Telegram и E-mail службы

E-mail уведомлениеTelegram уведомление

В панели управления, откройте раздел "Настройки - Настройки скрипта", нажмите на заголовок "Настройки продукта" и выберите Службы Telegram.

Во вкладке "Уведомление", включите "Включить уведомление в Telegram"

Если все правильно настроено, при каждом входе в панель администрирования, в Telegram будут приходить уведомления.

Заголовки для Nginx

На сервере fastpanel, в разделе "Ручная настройка", добавьте несколько заголовков после location / {

add_header X-XSS-Protection "1; mode=block";
add_header Strict-Transport-Security 'max-age=31536000; includeSubDomains; preload';
add_header X-Frame-Options "SAMEORIGIN";
add_header X-Content-Type-Options nosniff;
add_header Referrer-Policy "strict-origin";
add_header Permissions-Policy "geolocation=(),midi=(),sync-xhr=(),microphone=(),camera=(),magnetometer=(),gyroscope=(),fullscreen=(self),payment=()";
location / {
    index index.php;
    # Заголовки, добавьте сюда
    try_files $uri $uri/ /index.php?$args;
}

Рекомендации BestChange

Обязательно ознакомьтесь с условиями безопасности от администрации BestChange

Рекомендации безопасности от BestChange

Вопросы и Ответы

Почему необходимо регулярно обновлять скрипт?

Обновление скрипта «iEXExchanger» является очень важным для поддержания безопасности и улучшения производительности системы.

Регулярная установка новых версий устраняет возможные уязвимости — это сделает ваш сайт максимально защищенным.

Также регулярное обновление позволяет вам иметь доступ к самым последним функциям — это может улучшить ваш обменный пункт.

Как скрипт защищает мою авторизацию при входе в систему?

Скрипт «iEXExchanger» надежно защищает авторизации пользователей на сайте. При входе в систему происходит проверка email и пароля. Пользователь получает временный идентификатор сессии, который сохраняется в cookie на стороне клиента и передается в запросах на сервер для подтверждения авторизации.

Ниже приведены основные меры безопасности, которые использует «iEXExchanger» для защиты авторизации пользователей:

  1. Шифрование пароля. При регистрации или изменении пароль хешируется и сохраняется в зашифрованном виде в базе данных. При авторизации введенный пользователем пароль сравнивается с хешем из базы данных.

  2. Защита от подбора пароля. Встроенная защита от подбора пароля ограничивает количество попыток ввода пароля и блокирует доступ к учетной записи при достижении заданного количества неудачных попыток.

  3. Защита сессии. Идентификаторы сессий сохраняются в cookie и передаются в зашифрованном виде, что делает невозможным подделку сессии. Кроме того, iEXExchanger имеет защиту от перехвата cookie и подделки запросов на сервер.

  4. Защита от XSS- и CSRF-атак. Позволяет предотвратить некоторые типы атак, связанных с межсайтовой подделкой запросов и внедрением вредоносного кода в страницы сайта.

Обязательно убедитесь, что ваш сайт работает только по https. Как и в любой другой системе, безопасность зависит от правильной настройки и использования сайта.

Как скрипт защищен от взлома?

iEXExchanger имеет встроенную защиту от SQL-инъекций, XSS-атак, CSRF-атак и других угроз.

Также система поддерживает многоуровневую аутентификацию, разделение прав доступа, шифрование паролей, сложные политики безопасности и т.д.

Какими способами я могу контролировать доступ к скрипту?
  1. Пользователи с разными уровнями доступа. Управляйте доступом к различным функциям сайта, настраивая права для каждой группы пользователей.

  2. SSL-шифрование. Данные, передаваемые по протоколу HTTP, защищены от прослушивания.

  3. Ограничение доступа по IP-адресу. Используйте настройки сервера или специальные модули для создания списка IP-адресов, которые могут получить доступ к сайту.

  4. Двухфакторная аутентификация. Для усиления безопасности используйте двухфакторную аутентификацию. Этот метод требует, чтобы пользователь подтвердил вход в систему.

  5. Мониторинг лога доступа.

Как защитить прием средств?

В скрипте встроено несколько способов для защиты от мошеннических транзакций на прием через мерчант

  • Белый список IP Адресов

  • Проверка средств (созданной и полученной)

  • Детальная проверка входящей транзакции

  • Автоматическая система банов за мошеннические транзакция

  • Уникальный хэш для статусных файлов

Как не стать жертвой мошенников?

Рекомендуем прочитать все пункты этих условий, так как они очень помогут вам не попасться в руки мошенников

Если вдруг нашли сервис где лицензия на скрипт продается по цене ниже чем на официальном сайте, знайте что это мошенники.

Если от нашего имени начнут писать вам сообщения о предложении по покупке скрипта, это мошенники.

Наши официальный контакты:

  1. Telegram: @iexexchanger

  2. Telegram Канал: @iexexchanger_news

  1. Если после небольшой DDOS на сайт, начнут писать сообщения по типу "Сервис подвержен атакам по уровню A1/L7, Некоторые переменные не имеют валидации"..., просто проигнорируйте подобные сообщения, и если у вас не установлена защита от DDOS, рекомендуем ее поставить (StormWall - хорошо себя зарекомендовал)

  2. Мы НЕ отправляем архив скрипта по почте, а также не делаем рассылки на электронные адреса клиентов. Все обновления/установки можно скачать исключительно на официальном сайте.

  3. Купить лицензию на скрипт можно только на официальном сайте, оплата также проходит только там. (Крайне не рекомендуем вам связываться с персонажами которые якобы продают по низкой цене - это мошенники).

  4. У нас нет сторонних партнеров, других сомнительных каналов по продаже лицензии на скрипт. Если вы вдруг найдете подобные сервисы не рекомендуем покупать там (вы можете попасться на уловки мошенников, которые дополнят код, чтобы украсть ваши средства). Рекомендуем покупать только лицензионный продукт на официальном сайте, чтобы обезопасить себя. (Официальный сайт, Официальный Telegram канал).

Как защитить учетные записи в платежных системах?

Автовыплаты вы включаете на свой страх и риск. iEXExchanger не несет ответственность за сохранность ваших средств на счетах платежных систем, хотя разработчики скрипта сделали все возможное, чтобы защитить их.

Не рекомендуется активировать автовыплаты без необходимости.

Активные автовыплаты увеличивают риск потери ваших средств в той или иной платежной системе в случае взлома сайта или сервера, где расположен ваш обменник.

В процессе настройки авто-выплат следует быть внимательными. Если не выполнить хотя бы один из пунктов инструкции, то авто выплаты работать будет не корректно. Особое внимание стоит уделить API ключам и их сохранности. Утечка данной информации может навредить вашему обменнику.

Last updated