search
Официальный сайт

lock-keyholeЦентр безопасности

iEXExchanger настроен с учетом лучших практик безопасности, но есть несколько вещей, которые вы должны использовать, чтобы злоумышленники не могли обойти эти средства защиты.

Зачастую владельцы обменных сервисов недооценивают вопрос безопасности, свою ответственность и поэтому часто становятся жертвами взломщиков.

Единственный человек который несет ответственность за средства которые имеются на счетах и ее целостность - это владелец обменного пункта.

circle-info

В последнее время мошенники начинают писать во все мессенджеры, сообщают о взломах, предлагают помощь, также начинают DDOS атаки.

Проигнорируйте, очистите чат, не включайтесь даже в диалог.

triangle-exclamation

Внимание!!!

  1. Обязательно защитите ваш сервер двухфакторным ключём, установить очень сложный пароль.

  2. Защитите рабочие telegram аккаунты двухфакторным ключём, не авторизуйтесь на сторонних сервисах используя рабочий аккаунт.

  3. Не открывайте никакие ссылки, если они приходят на E-mail.

  4. Не устанавливайте расширения в браузере.

Когда выдаете доступ к серверу разработчикам скрипта в telegram для решения каких либо задач, ОБЯЗАТЕЛЬНО УДАЛИТЕ ДАННЫЕ ЧЕРЕЗ 2 МИН И СМЕНИТЕ ПАРОЛЬ, чтобы избежать взломов

circle-info

Мы настоятельно рекомендуем настроить все опции, которые мы предоставили, для максимальной защиты вашего сервера и панели администрирования.

circle-info

Один из основных пунктов это: Установка сложных паролей для доступа к платежным шлюзам, к панели управления и к серверу.

Пароли должны быть уникальными

circle-info

  1. Для Telegram, установите сложный пароль и облачный пароль, чтобы защитить учетную запись.

  2. Для сервера используйте отдельный e-mail аккаунт

Для дополнительной защиты обменного пункта от социальной инженерии, фишинга, DDoS-шантажа и внутренних угроз, мы подготовили отдельную инструкцию по операционной безопасности (OPSEC).

В инструкции подробно описаны:

  • основные угрозы и примеры атак на владельцев обменников;

  • простые правила Zero Trust, которые должен соблюдать каждый администратор;

  • технические настройки сервера, панели iEXExchanger, Telegram и почты;

  • безопасный порядок выдачи и отзыва доступа подрядчикам;

  • ежедневные, еженедельные и ежеквартальные чек-листы;

  • план реагирования на инциденты.

Инструкция по операционной безопасности (OPSEC)chevron-right

hashtag
Безопасность сайта - ваша забота, а мы поможем

  1. Не предоставляйте доступ в панель управления посторонним пользователям без острой на то необходимости. Для таких целей создавайте отдельную учетную запись и выдайте временные права администратора и не забывайте удалять ее потом.

  2. Администраторы часто получают по почте сообщения с вложенными файлами в которых могут содержаться вирусы. Никогда не открывайте файлы, если они присланы с незнакомых адресов

  3. Добавьте на рабочих стол 2 важные виджеты чтобы контролировать действия. Для добавление в панели управления нажмите кнопку "Добавить виджет", и в списке выберите "Пользователь в панели управления" и "Статистика пользователей".

  4. Используйте надежные пароли для пользователей, имеющих доступ в панель управления.

  5. Обеспечьте надежность хранения администраторских паролей, паролей доступа по FTP. (Предпочтительно использование SFTP/SCP)

hashtag
Google Authenticator

Одноразовые пароли значительно усиливают систему безопасности вашего сайта. Используйте приложение Google Authenticator, для дополнительной защиты.

Настройка Google Authenticatorchevron-right

hashtag
Путь к панели управления

Настоятельно рекомендуем изменить стандартный путь к панели администрирования на индивидуальный.

Изменение URL панели управленияchevron-right

hashtag
Ограничения по IP адресу

На текущий момент, доступно несколько способов для настройки доступа к панели управления по IP адресу. Рекомендуем включить обе.

Доступ к панели по IP-адресуchevron-right

hashtag
Группы

Очень важно настроить правильно роли для пользователей, чтобы у каждого были ограниченные права.

Управление группами пользователейchevron-right

hashtag
Google Captcha

Настоятельно рекомендуем настроить google captcha для авторизации в панель управления, чтобы улучшить безопаcность.

Подключение Google reCaptchachevron-right

hashtag
CSP Защита

Рекомендуем обязательно включить функцию CSP, для того чтобы исключить нежелательные подключения.

CSP Безопасностьchevron-right

hashtag
Cloudflare WAF

Если домен подключен к Cloudflare, рекомендуем добавить правила, для того чтобы доступ к панели управления было исключительно по белому списку.

Ограничение доступа по IP в Cloudflarechevron-right

hashtag
Коды безопасности

Для автовыплат, рекомендуем в обязательном порядке настроить возможность ввода кода безопасности.

Код безопасности для автовыплатchevron-right

hashtag
Fail2Ban

Для защиты SSH рекомендуем перейти по ссылке ниже и следовать инструкции.

circle-info

Для установки fail2ban, лучше довериться специалистам, и попросите установить службе поддержки вашего сервера.

Настройка защиты Fail2banchevron-right

hashtag
Остальные меры безопасности

Для того чтобы дополнительно усилить защиту панели управления, выполните действия ниже:

В панели управления, откройте раздел "Настройки - Настройки скрипта",

во вкладке "Безопасность":

  1. Найдите "Контроль изменения IP адреса" и выберите "Средний уровень"

  2. Найдите "Сбрасывать ключ авторизации при каждом входе?" и включите.

hashtag
Уведомления

Перед тем как включить уведомления, убедитесь что у вас настроек Службы Telegram и E-mail службы

envelopeУведомление по E-mailchevron-righttelegramУведомление в Telegramchevron-right

В панели управления, откройте раздел "Настройки - Настройки скрипта", нажмите на заголовок "Настройки продукта" и выберите Службы Telegram.

Во вкладке "Уведомление", включите "Включить уведомление в Telegram"

Если все правильно настроено, при каждом входе в панель администрирования, в Telegram будут приходить уведомления.

hashtag
Заголовки для Nginx

На сервере fastpanel, в разделе "Ручная настройка", добавьте несколько заголовков после location / {

hashtag
Рекомендации BestChange

Обязательно ознакомьтесь с условиями безопасности от администрации BestChange

Советы по безопасности от BestChangechevron-right

hashtag
Вопросы и Ответы

chevron-rightПочему необходимо регулярно обновлять скрипт?hashtag

Обновление скрипта «iEXExchanger» является очень важным для поддержания безопасности и улучшения производительности системы.

Регулярная установка новых версий устраняет возможные уязвимости — это сделает ваш сайт максимально защищенным.

Также регулярное обновление позволяет вам иметь доступ к самым последним функциям — это может улучшить ваш обменный пункт.

chevron-rightКак скрипт защищает мою авторизацию при входе в систему?hashtag

Скрипт «iEXExchanger» надежно защищает авторизации пользователей на сайте. При входе в систему происходит проверка email и пароля. Пользователь получает временный идентификатор сессии, который сохраняется в cookie на стороне клиента и передается в запросах на сервер для подтверждения авторизации.

Ниже приведены основные меры безопасности, которые использует «iEXExchanger» для защиты авторизации пользователей:

  1. Шифрование пароля. При регистрации или изменении пароль хешируется и сохраняется в зашифрованном виде в базе данных. При авторизации введенный пользователем пароль сравнивается с хешем из базы данных.

  2. Защита от подбора пароля. Встроенная защита от подбора пароля ограничивает количество попыток ввода пароля и блокирует доступ к учетной записи при достижении заданного количества неудачных попыток.

  3. Защита сессии. Идентификаторы сессий сохраняются в cookie и передаются в зашифрованном виде, что делает невозможным подделку сессии. Кроме того, iEXExchanger имеет защиту от перехвата cookie и подделки запросов на сервер.

  4. Защита от XSS- и CSRF-атак. Позволяет предотвратить некоторые типы атак, связанных с межсайтовой подделкой запросов и внедрением вредоносного кода в страницы сайта.

Обязательно убедитесь, что ваш сайт работает только по https. Как и в любой другой системе, безопасность зависит от правильной настройки и использования сайта.

chevron-rightКак скрипт защищен от взлома?hashtag

iEXExchanger имеет встроенную защиту от SQL-инъекций, XSS-атак, CSRF-атак и других угроз.

Также система поддерживает многоуровневую аутентификацию, разделение прав доступа, шифрование паролей, сложные политики безопасности и т.д.

chevron-rightКакими способами я могу контролировать доступ к скрипту?hashtag

  1. Пользователи с разными уровнями доступа. Управляйте доступом к различным функциям сайта, настраивая права для каждой группы пользователей.

  2. SSL-шифрование. Данные, передаваемые по протоколу HTTP, защищены от прослушивания.

  3. Ограничение доступа по IP-адресу. Используйте настройки сервера или специальные модули для создания списка IP-адресов, которые могут получить доступ к сайту.

  4. Двухфакторная аутентификация. Для усиления безопасности используйте двухфакторную аутентификацию. Этот метод требует, чтобы пользователь подтвердил вход в систему.

  5. Мониторинг лога доступа.

chevron-rightКак защитить прием средств?hashtag

В скрипте встроено несколько способов для защиты от мошеннических транзакций на прием через мерчант

  • Белый список IP Адресов

  • Проверка средств (созданной и полученной)

  • Детальная проверка входящей транзакции

  • Автоматическая система банов за мошеннические транзакция

  • Уникальный хэш для статусных файлов

hashtag
Как не стать жертвой мошенников?

circle-info

Рекомендуем прочитать все пункты этих условий, так как они очень помогут вам не попасться в руки мошенников

circle-info

Если вдруг нашли сервис где лицензия на скрипт продается по цене ниже чем на официальном сайте, знайте что это мошенники.

circle-info

Если от нашего имени начнут писать вам сообщения о предложении по покупке скрипта, это мошенники.

Наши официальный контакты:

  1. Email: [email protected]envelope

  2. Telegram: @iexexchangerarrow-up-right

  3. Telegram Канал: @iexexchanger_newsarrow-up-right

  1. Если после небольшой DDOS на сайт, начнут писать сообщения по типу "Сервис подвержен атакам по уровню A1/L7, Некоторые переменные не имеют валидации"..., просто проигнорируйте подобные сообщения, и если у вас не установлена защита от DDOS, рекомендуем ее поставить (StormWall - хорошо себя зарекомендовал)

  2. Мы НЕ отправляем архив скрипта по почте, а также не делаем рассылки на электронные адреса клиентов. Все обновления/установки можно скачать исключительно на официальном сайтеarrow-up-right.

  3. Купить лицензию на скрипт можно только на официальном сайте, оплата также проходит только там. (Крайне не рекомендуем вам связываться с персонажами которые якобы продают по низкой цене - это мошенники).

  4. У нас нет сторонних партнеров, других сомнительных каналов по продаже лицензии на скрипт. Если вы вдруг найдете подобные сервисы не рекомендуем покупать там (вы можете попасться на уловки мошенников, которые дополнят код, чтобы украсть ваши средства). Рекомендуем покупать только лицензионный продукт на официальном сайте, чтобы обезопасить себя. (Официальный сайтarrow-up-right, Официальный Telegram каналarrow-up-right).

hashtag
Как защитить учетные записи в платежных системах?

triangle-exclamation

Автовыплаты вы включаете на свой страх и риск. iEXExchanger не несет ответственность за сохранность ваших средств на счетах платежных систем, хотя разработчики скрипта сделали все возможное, чтобы защитить их.

Не рекомендуется активировать автовыплаты без необходимости.

Активные автовыплаты увеличивают риск потери ваших средств в той или иной платежной системе в случае взлома сайта или сервера, где расположен ваш обменник.

circle-info

В процессе настройки авто-выплат следует быть внимательными. Если не выполнить хотя бы один из пунктов инструкции, то авто выплаты работать будет не корректно. Особое внимание стоит уделить API ключам и их сохранности. Утечка данной информации может навредить вашему обменнику.

ПредыдущаяЗащита от DDoS-атакСледующаяИнструкция по операционной безопасности (OPSEC)

Последнее обновление

Это было полезно?