Информация от спонсоров

 

Полезная информация


----

Начать новую тему Ответить на тему
АвторСообщение

 Сообщение Защита форума от взлома phpbb3 
#1 

Аватар пользователя

Предлагаю делиться способами защиты наших форумов от взлома и незаконного доступа, желательно не ссылки кидать, а подробно все описывать.
Список всех действий против взлома

  • Хранить пароли от админки, панели хостинга, панели домена в недоступном для третьих лиц месте. Желательно переписать\перепечать их на бумагу. Так же лучше удалить из электронной почты все письма от хостера\регистратора. Это убережет форум, если вдруг вашу почту взломают

  • Пароли от админки\панели хостинга\панели домена должны быть разными и содержать буквы и цифры разного регистра

  • На файл config.php должны стоять либо 644 либо 640 права доступа

  • Желательно шаблоны стиля
Данный пост будет пополняться


_________________
Подпись:
-_- -_-
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!

Теги темы
Защита форума от взлома phpbb3
          Вернуться наверх  
 

#2 

Аватар пользователя

DeaDRoMeO писал(а):

Так же лучше удалить из электронной почты все письма от хостера\регистратора. Это убережет форум, если вдруг вашу почту взломают

Тааак) Удаляю
DeaDRoMeO писал(а):

Пароли от админки\панели хостинга\панели домена должны быть разными и содержать буквы и цифры разного регистра

Блин, а я придумал пароль с этими требованиями, но один для всего.. Надо бы изменить
DeaDRoMeO писал(а):

На файл config.php должны стоять либо 644 либо 640 права доступа

Так и есть
DeaDRoMeO писал(а):

Желательно шаблоны стиля защитить от скачивания

Тут беда только в том, что у кого-то будет такой же сайт и всё?


_________________
Подпись:
Зри в корень
          Вернуться наверх  
 

#3 

Аватар пользователя

DeaDRoMeO писал(а):

в недоступном для третьих лиц месте

в голове :-0=)
DeaDRoMeO писал(а):

На файл config.php должны стоять либо 644 либо 640 права доступа

а как сделать эти права??
DeaDRoMeO писал(а):

Предлагаю делиться способами защиты наших форумов от взлома и незаконного доступа,

Я несколько раз думала установить мод для защиты юзеров - где регистрируются разные логин и ник. Как думаете, это нужно? ( в принципе, админ тоже юзер))
Пожалуйста Зарегистрируйтесь чтобы увидеть ссылку


_________________
Подпись:
Я уже прошел тот период когда можно было забывать про очистку кеша ©salexcorp

Информация о редактировании
Последний раз редактировалось Lorem Ipsum 02 окт 2012, 21:56, всего редактировалось 1 раз.
          Вернуться наверх  
 

#4 

Аватар пользователя

St_roy писал(а):

что у кого-то будет такой же сайт и всё?

Такой же и по функционалу, а не внешнему виду. Если человек знающий попадется
Lorem Ipsum писал(а):

а как сделать эти права??

В админке, вкладка Общие, нет красных табличек ??? Если нет, то все у тебя впорядке
Lorem Ipsum писал(а):

Как думаете, это нужно?

Кхммм по моему лишнее дело это


_________________
Подпись:
-_- -_-
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!
          Вернуться наверх  
 

#5 

Аватар пользователя

DeaDRoMeO писал(а):

Кхммм по моему лишнее дело это

Объясни почему лишнее?
На одном форуме пару раз подбирали пароли к никам (ну есть такие юзеры, которые вбивают имя своего ребёнка с датой рождения), вот я и думаю, что не зная логина, даже подбирать никто не будет.
DeaDRoMeO писал(а):

В админке, вкладка Общие, нет красных табличек ??? Если нет, то все у тебя впорядке

Не, нету. А если бы были, где что надо было делать? Так, на всякий случай. И почему это может произойти?


_________________
Подпись:
Я уже прошел тот период когда можно было забывать про очистку кеша ©salexcorp
          Вернуться наверх  
 

#6 

Аватар пользователя

Lorem Ipsum писал(а):

Не, нету. А если бы были, где что надо было делать? Так, на всякий случай. И почему это может произойти?

Задачи надо решать по мере их поступления))


_________________
Подпись:
Зри в корень
          Вернуться наверх  
 

#7 

Аватар пользователя

Lorem Ipsum писал(а):

На одном форуме пару раз подбирали пароли к никам (ну есть такие юзеры, которые вбивают имя своего ребёнка с датой рождения)

У меня стоит мод, отображающий при реге степень защищенности пароля, юзер проигнорил это = его проблемы, не заставить пользователей ставить нормальные пароли
Lorem Ipsum писал(а):

Не, нету. А если бы были, где что надо было делать? Так, на всякий случай. И почему это может произойти?

Ну надо было ставить права доступа, через тотал коммандер легко делать это. Почему может произойти ? От хостинга зависит, у меня автоматом все назначилось, у других может такого и не быть


_________________
Подпись:
-_- -_-
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!
          Вернуться наверх  
 

#8 

Аватар пользователя

DeaDRoMeO писал(а):

На файл config.php должны стоять либо 644 либо 640 права доступа

Проверил, у меня стоят права 600: чтение и запись только для владельца... Обязательно расширять права до 640 (+ чтение на групповые права) или до 644 (+ чтение на публичные права)?


          Вернуться наверх  
 

#9 

Аватар пользователя

Эти права ниже рекомендуемых, значит лучше, если форум стабильно функционирует, то незачем права менять


_________________
Подпись:
-_- -_-
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!
          Вернуться наверх  
 


Аватар пользователя

Я вот тут решил, что нужно серьезно позаботится о защите наших форумов от взлома и заражения вредоносным кодом. Так, например, у моего брата неделю назад взломали форум на phpBB3, заразили вирусом. Пришлось делать откат из резервной копии. Сейчас до сих пор (хоть и опасности уже нет) форум находится в базе зараженных сайтов одной из антивирусных программ и, соответственно, блокируется ею (если установлена именно эта антивирусная программа у пользователя, а это четверть трафика).

Кстати, злоумышленникам проще найти уязвимость, если они точно знают номер версии phpBB. А узнать его очень просто. Наберите в адресной строке: http://адрес_вашего_форума/styles/ваш_стиль/style.cfg и внизу вы увидите номер версии phpBB. Чтоб доступа к этому файлу не было я создал файл .htaccess, как написано здесь со следующим содержимым:
<Files "style.cfg">
Order Allow,Deny
Deny from All
</Files>
 

Поместил этот файл во все папки стилей (и в prosilver и в subsilver2). Теперь при попытке посмотреть номер версии получаем ошибку 403 Forbidden.
Хоть и небольшая, но все таки защита.

PS Хотя может можно просто права доступа поменять или номер версии другой прописать, чтоб запутать злоумышленника?


          Вернуться наверх  
 


Аватар пользователя

т.е. ваш фаил .htaccess теперь выглядит так
<Files "*.html">
Order allow,deny
Deny from all
</Files>
<Files "style.cfg">
Order Allow,Deny
Deny from All
</Files>
 

или просто
<Files "style.cfg">
Order Allow,Deny
Deny from All
</Files>
 


          Вернуться наверх  
 


Аватар пользователя

Просто...
<Files "style.cfg">
Order Allow,Deny
Deny from All
</Files>
 

Может можно сделать и "2 в 1". Я не знаю распространяется ли действие .htaccess на вложенные вглубь папки. Если распространяется, то можно тогда сделать одним файлом, размещенным в папках http://адрес_вашего_форума/styles/стили и тогда отдельный файл для защиты шаблона в http://адрес_вашего_форума/styles/ваш_стиль/template делать не надо.


          Вернуться наверх  
 


Аватар пользователя

Защитил файлы от скачивания, как описано в соседней теме. А будет ли работать вот такой файл? Как быть?
<Files "*.html">
Order allow,deny
Deny from all
</Files>
<Files "style.cfg">
Order Allow,Deny
Deny from All
</Files>
 


          Вернуться наверх  
 


Аватар пользователя

ZmejNK писал(а):

А будет ли работать вот такой файл? Как быть?

Наверное, надо просто проверить работоспособность этого файла опытным путем. :-00):


          Вернуться наверх  
 


Аватар пользователя

Выдает такое сообщение
Цитата:
Forbidden

You don't have permission to access /styles/getaway_green/template/overal_futer.html on this server.


Цитата:
Forbidden

You don't have permission to access /styles/getaway_green/template/style.cfg on this server.


Как при попытке скачать файлы, так и при попытке проверить версию. Сбоев в работе форума на первый взгляд замечено не было. Пользуемся! :co_ol:


          Вернуться наверх  
 


Аватар пользователя

Всем привет!
Хотел бы обсудить,такую вещь как SSL-сертификат. Что нам даёт этот сертификат? Но не секрет,что он защищает передачу данных в сети Интернет между клиентом и сервером. А какие у него ещё есть плюсы и минусы,стоит ли его ставить? Кто что знает,кто сталкивался с этим пишите. Сам сертификат стоит от 1000 до 30000 руб. в год(зависит от сертификата)
Хотел открыть отдельную тему,так как не нашел на форуме,но видимо у меня ещё не достаточно прав.Администрация посчитает нужным,то откроет новую тему.


          Вернуться наверх  
 


Аватар пользователя

Да я даже и не знаю, по мне так это лишняя трата денег, сам таким не пользовался


_________________
Подпись:
-_- -_-
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!
          Вернуться наверх  
 


Аватар пользователя

DeaDRoMeO писал(а):

Эти права ниже рекомендуемых, значит лучше, если форум стабильно функционирует, то незачем права менять
Я тоже изменил права доступа на 600 - вроде работает, тьфу-тьфу-тьфу...


          Вернуться наверх  
 


Аватар пользователя

Еще если я правильно помню в вашем .htaccess можно прописать такую функцию Options -Indexes
Таким образом вы запретите любой доступ к папкам на вашем сервере.
Будет перебрасывать на страницу ошибки 403.
Так же в вашем
.htaccess можно прописать такие ссылки

ErrorDocument 400 http://ссылка.куда-то там
ErrorDocument 401 http://ссылка.куда-то там
ErrorDocument 403 http://ссылка.куда-то там
ErrorDocument 404 http://ссылка.куда-то там
ErrorDocument 500 http://ссылка.куда-то там

Я поставил ссылку обратно на главную форума. Вы можете допустим создать страницу с описанием ошибки или просто послать куда подальше)))

Таким образом если кто-то в адресной строке напишет http://ваш_сайт.ру/styles(или любая другая папка)/ будет отправлен на главную или на ту страницу которую вы создадите

Правда меня берут сомнения насчет этого Options -Indexes . Если кто знает дайте ответ. Если я прописал эту строку,мой форум будет индексироваться?


          Вернуться наверх  
 


Аватар пользователя

Эммм, поиск по форуму - свои страницы ошибок - и находим альтернативный мод для этого случая))


_________________
Подпись:
-_- -_-
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!
          Вернуться наверх  
 
 
Начать новую тему Ответить на тему


Дополнительные возможности

  Похожие темы  Автор  Ответов  Просмотров  Последнее сообщение 
Аватар пользователя Стандартная защита от спама phpbb3
В данной теме я рассмотрю стандартные способы защиты от спама в phpbb3

DeaDRoMeO

47

4754

Аватар пользователя

09 дек 2015, 05:26

DeaDRoMeO

Аватар пользователя Защита вложений от хотлинков (HotLinks) phpbb3
Защищаем вложения форума phpbb3 от хотлинков

DeaDRoMeO

43

3032

Аватар пользователя

08 ноя 2014, 18:00

DeaDRoMeO

Аватар пользователя Защита файлов стиля от скачивания phpbb3
В данной теме я покажу каким образом защитить файлы своего стиля от незаконного копирования и скачивания

DeaDRoMeO

53

3405

Случайный аватар. Пользователю рекомендуется загрузить свой аватар в Настройках профиля

24 ноя 2014, 00:45

tedi

Аватар пользователя Взлома сайта
При проверке встроенным в cPanel антивирусом ClamAV мы обнаружили вредоносный файл:

Влладимир

11

530

Аватар пользователя

31 май 2014, 07:26

DeaDRoMeO

Аватар пользователя Портал для форума на phpbb3
Портал для форума на phpbb3

artcry

76

2107

Аватар пользователя

23 июн 2012, 17:09

DeaDRoMeO

Оставить свой комментарий

Поделиться темой с помощью

Ссылки на тему

Прямая ссылка:
BB-код для форумов, сайтов, блогов:
HTML ссылка:
 


cron

Самая неформальная поддержка phpBB :P