Полезная информация


----

Начать новую тему Ответить на тему
АвторСообщение

 Сообщение Защита форума от взлома phpbb3 2012-10-02

Аватар пользователя

Предлагаю делиться способами защиты наших форумов от взлома и незаконного доступа, желательно не ссылки кидать, а подробно все описывать.
Список всех действий против взлома

  • Хранить пароли от админки, панели хостинга, панели домена в недоступном для третьих лиц месте. Желательно переписать\перепечать их на бумагу. Так же лучше удалить из электронной почты все письма от хостера\регистратора. Это убережет форум, если вдруг вашу почту взломают

  • Пароли от админки\панели хостинга\панели домена должны быть разными и содержать буквы и цифры разного регистра

  • На файл config.php должны стоять либо 644 либо 640 права доступа

  • Желательно шаблоны стиля
Данный пост будет пополняться


_________________
Подпись:
-_- -_-
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!

Теги темы
Защита форума от взлома phpbb3
          Вернуться наверх  
 


Аватар пользователя

DeaDRoMeO писал(а):

Эммм, поиск по форуму - свои страницы ошибок - и находим альтернативный мод для этого случая))

По сути и те варианты что я написал работают)


          Вернуться наверх  
 


Аватар пользователя

Да, просто вы сомневались в правильности, я подсказал похожее решение, которое работает без косяков)


_________________
Подпись:
-_- -_-
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!
          Вернуться наверх  
 


Аватар пользователя

Сегодня когда стала заходить на форум от админа, но с первого же раза мне написали - "превышено количество попыток входа. Теперь для входа вам нужно......"
С чего такое может быть??????? Кто-то пытался до меня войти туда что ли?


          Вернуться наверх  
 


Аватар пользователя

Лена писал(а):

Кто-то пытался до меня войти туда что ли?

Возможно


_________________
Подпись:
-_- -_-
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!
          Вернуться наверх  
 


Аватар пользователя

Добрый день!
Сегодня в логе администратора форума обнаружил, что вновь зарегистрированный пользователь сделал резервное копирование базы данных.Подскажите,пожалуйста, что это за уязвимость, чем это грозит и как от этого защититься?


          Вернуться наверх  
 


Аватар пользователя

Эмм я не знаю как это назвать, но это у всех происходит, не беспокойтесь


_________________
Подпись:
-_- -_-
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!
          Вернуться наверх  
 


Аватар пользователя

Тесть навредить форуму, те, кто скопировал базу не смогут? Например подкорректировать сообщения и залить базу обратно? Или слить информацию (контакты, IPадреса и т.д.) По логам видно, что люди искали уязвимость, делая клоны пользователей и пытаясь разместить тестовые сообщения. Забанить людей пока не могу, т.к. пока ничего плохого они еще не сделали....


          Вернуться наверх  
 


Аватар пользователя

pmebear писал(а):

чем это грозит и как от этого защититься?


В одном из своих сообщений я писал, что в phpbb есть дыры, но это еще не так страшно, как то, что мы ставим какие то моды, совершенно не понимая, что там в логике...и из-за этого делаем еще больше дыр...и безопасность остается на 0.
Не устанавливайте модов если чувствуете что он Вам не нужен! Если очень как нужен (прям нада и всё), поинтересуйтесь у тех кто этот мод использовал, а не добавит ли это минус к безопасности форума!
Не в красоте счастье, а в функциональности!!!

pmebear писал(а):

Тесть навредить форуму, те, кто скопировал базу не смогут?

Еще как могут! Если база слита, то что еще нужно ? Могут вообще дропнуть ее... Ищите дыры!


          Вернуться наверх  
 


Аватар пользователя

masik писал(а):

Не в красоте счастье, а в функциональности!!!

К сожалению, функциональность phpbb без модов тоже не очень хороша, но это вопрос философский. Я не нашел в интернете вопросы защиты базы php. Типовые методы защиты к папкам и конфигу я применил, бэкапы делаю. Что еще можно сделать, чтобы не хакали базу и не разгуливали по файлам на хостинге? По поводу модов- на гуру много форумов по модам - после скачивания файла мода много разжевывания, и изменения функций мода до неузнаваемости, или допил мода после выхода новой версии phpbb, или описания как слить картинки на яндекс картинки. Много людей, много мнений, как это в конечном счете повлияет на безопасность, не предсказуемо.

Сообщение добавлено... спустя 2 минуты 13 секунд:
masik писал(а):

Еще как могут! Если база слита, то что еще нужно ? Могут вообще дропнуть ее... Ищите дыры!

Я уверен, Вы опытный пользователь phpbb, подскажите, как эти дыры искать, или дайте пару ссылок на матчасть.... Заранее благодарен.


          Вернуться наверх  
 


Аватар пользователя

pmebear писал(а):

функциональность phpbb без модов тоже не очень хороша, но это вопрос философский.

Не согласен с Вами :-00): Это вопрос не философский, потому что я не рассуждаю, а утверждаю! Я не говорю что без модов форум плох, я говорю о том что падает безопасность, но и функциональность часто даже.
pmebear писал(а):

чтобы не хакали базу и не разгуливали по файлам на хостинге?

Да файлы представляют ценность лишь тогда когда в них хранится какая то информация, в данном случае файлы мало что несут, там всего лишь описаны правила как вывести информацию, как внести информацию в БД и все, так что файлы на сервере мало кому нужны по большому счету. Вся информация в нашем случае хранится в базе данных, ну а для этого нужно почитать хотя бы посты про SQL-инъекции хотя бы на хабре (
Пожалуйста Зарегистрируйтесь чтобы увидеть ссылку
). Вот часть из статьи
Цитата:
Что же такое SQL инъекция?

Говоря простым языком — это атака на базу данных, которая позволит выполнить некоторое действие, которое не планировалось создателем скрипта. Пример из жизни:

Отец, написал в записке маме, чтобы она дала Васе 100 рублей и положил её на стол. Переработав это в шуточный SQL язык, мы получим:
ДОСТАНЬ ИЗ кошелька 100 РУБЛЕЙ И ДАЙ ИХ Васе
Так-как отец плохо написал записку (Корявый почерк), и оставил её на столе, её увидел брат Васи — Петя. Петя, будучи хакер, дописал там «ИЛИ Пете» и получился такой запрос:
ДОСТАНЬ ИЗ кошелька 100 РУБЛЕЙ И ДАЙ ИХ Васе ИЛИ Пете
Мама прочитав записку, решила, что Васе она давала деньги вчера и дала 100 рублей Пете. Вот простой пример SQL инъекции из жизни :-00): Не фильтруя данные (Мама еле разобрала почерк), Петя добился профита.


Так что читайте изучайте и все будет ок. Удачи.


          Вернуться наверх  
 


Аватар пользователя

Еще вопросик. Человек который слил базу искал перед этим тег </imput>. Связана ли с этим какая-то уязвимость?


          Вернуться наверх  
 


Аватар пользователя

pmebear писал(а):

Человек который слил базу искал перед этим тег </imput>. Связана ли с этим какая-то уязвимость?


Теги сами по себе не представляют опасности или какой то уязвимости.
Давайте посмотрим что представляет собой тег <input /> как мы знаем, данный тег является одним из разносторонних элементов формы и позволяет создавать разные элементы интерфейса и обеспечить взаимодействие с пользователем.
С помощью его можно и кнопку создать, а можно и текстовое поле.
Кнопка вряд ли что может значить и представлять.
На мой взгляд он искал поле с атрибутом типа <input type="text" name="какое то имя">.
Так вот надо найти и посмотреть, что принимает это поле, протестировать его на разный ввод данных, в частности на SQL-инъекции как я Вам уже скидывал.
Ну а затем дырку заделать, на это поле повесить валидации соответствующие, чтобы в будущем нельзя было уже выполнить тот запрос который будет выдавать всю внутренность БД!
Как то так.


          Вернуться наверх  
 


Аватар пользователя

Alexander писал(а):

Кстати, злоумышленникам проще найти уязвимость, если они точно знают номер версии phpBB. А узнать его очень просто. Наберите в адресной строке: http://адрес_вашего_форума/styles/ваш_стиль/style.cfg и внизу вы увидите номер версии phpBB. Чтоб доступа к этому файлу не было я создал файл .htaccess, как написано здесь со следующим содержимым:
Код: Выделить все
<Files "style.cfg">
Order Allow,Deny
Deny from All
</Files>
Поместил этот файл во все папки стилей (и в prosilver и в subsilver2). Теперь при попытке посмотреть номер версии получаем ошибку 403 Forbidden.
Хоть и небольшая, но все таки защита.


я добавила этот код просто в общий файл .htaccess, он у меня лежит в корневике форума, в папки со стилями не добавляла. По запросу на любой стиль выдает, что нет доступа. Спасибо за код :ki-)(-:


          Вернуться наверх  
 


Аватар пользователя

В любом случае нужно чтобы был бэкап файловой системы и свежий бэкап базы данных.


          Вернуться наверх  
 


Аватар пользователя

DeaDRoMeO писал(а):

Предлагаю делиться способами защиты наших форумов от взлома и незаконного доступа, желательно не ссылки кидать, а подробно все описывать.

Привет, прежде всего спасибо большое, за всю инфу которую я у тебя почерпнул:) много, что у тебя на форуме помогло.
Итак делюсь методом защиты, вернее дорабатываю твой. Тобой был создан файл защиты, но сам то файл не защищён.
Открываем директорию форума (начальную), ищем начальный файл .htacces и дописываем в конце него:

<files ~ "^.*.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</files>

по идее теперь всё файлы htacces защищены. этот метод узнал при применении твоего метода на своём портале Храм пути
Пожалуйста Зарегистрируйтесь чтобы увидеть ссылку
также приглашаю посмотреть форум который заделал
Пожалуйста Зарегистрируйтесь чтобы увидеть ссылку
правда они ещё совсем не заполнены, я только сегодня окончательно закончил со структурой и установкой модов. Интересно мнение, просто я собой горжусь, ведь не имел никаких знаний о http перед работой над своим проектом, но критику приму.


          Вернуться наверх  
 


Аватар пользователя

Хммм, попрошу воздержаться от рекламы своих форумов, есть тема для оценки форумов, туда и пишите и описывайте свое детище


_________________
Подпись:
-_- -_-
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!
          Вернуться наверх  
 
 
Начать новую тему Ответить на тему


Дополнительные возможности

  Похожие темы  Автор  Ответов  Просмотров  Последнее сообщение 
Аватар пользователя Стандартная защита от спама phpbb3
В данной теме я рассмотрю стандартные способы защиты от спама в phpbb3

DeaDRoMeO

47

4745

Аватар пользователя

09 дек 2015, 05:26

DeaDRoMeO

Аватар пользователя Защита вложений от хотлинков (HotLinks) phpbb3
Защищаем вложения форума phpbb3 от хотлинков

DeaDRoMeO

43

3021

Аватар пользователя

08 ноя 2014, 18:00

DeaDRoMeO

Аватар пользователя Защита файлов стиля от скачивания phpbb3
В данной теме я покажу каким образом защитить файлы своего стиля от незаконного копирования и скачивания

DeaDRoMeO

53

3395

Случайный аватар. Пользователю рекомендуется загрузить свой аватар в Настройках профиля

24 ноя 2014, 00:45

tedi

Аватар пользователя Взлома сайта
При проверке встроенным в cPanel антивирусом ClamAV мы обнаружили вредоносный файл:

Влладимир

11

528

Аватар пользователя

31 май 2014, 07:26

DeaDRoMeO

Аватар пользователя Портал для форума на phpbb3
Портал для форума на phpbb3

artcry

76

2102

Аватар пользователя

23 июн 2012, 17:09

DeaDRoMeO

Оставить свой комментарий

Поделиться темой с помощью

Ссылки на тему

Прямая ссылка:
BB-код для форумов, сайтов, блогов:
HTML ссылка:
 


cron

Самая неформальная поддержка phpBB :P