Защита форума от взлома phpbb3

В данном подфоруме будут располагаться все статьи, помогающие освоиться в администрировании форума.

Модераторы: Vl@d1m1r, Lorem Ipsum, Atlas

Правила форума
----
Ответить
Аватара пользователя
DeaDRoMeO
Старожил Форума
Старожил Форума
Сообщения: 16763
Стаж: 13 лет
Откуда: Витебск
Контактная информация:

Защита форума от взлома phpbb3

Сообщение DeaDRoMeO »

Предлагаю делиться способами защиты наших форумов от взлома и незаконного доступа, желательно не ссылки кидать, а подробно все описывать.
Список всех действий против взлома
  • Хранить пароли от админки, панели хостинга, панели домена в недоступном для третьих лиц месте. Желательно переписать\перепечать их на бумагу. Так же лучше удалить из электронной почты все письма от хостера\регистратора. Это убережет форум, если вдруг вашу почту взломают
  • Пароли от админки\панели хостинга\панели домена должны быть разными и содержать буквы и цифры разного регистра
  • На файл config.php должны стоять либо 644 либо 640 права доступа
  • Желательно шаблоны стиля
Данный пост будет пополняться
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!
#1
Аватара пользователя
St_roy
Завсегдатай Форума
Завсегдатай Форума
Сообщения: 873
Стаж: 12 лет 2 месяца
Откуда: Москва
Контактная информация:

Защита форума от взлома phpbb3

Сообщение St_roy »

DeaDRoMeO писал(а):Так же лучше удалить из электронной почты все письма от хостера\регистратора. Это убережет форум, если вдруг вашу почту взломают
Тааак) Удаляю
DeaDRoMeO писал(а):Пароли от админки\панели хостинга\панели домена должны быть разными и содержать буквы и цифры разного регистра
Блин, а я придумал пароль с этими требованиями, но один для всего.. Надо бы изменить
DeaDRoMeO писал(а):На файл config.php должны стоять либо 644 либо 640 права доступа
Так и есть
DeaDRoMeO писал(а):Желательно шаблоны стиля защитить от скачивания
Тут беда только в том, что у кого-то будет такой же сайт и всё?
Зри в корень
#2
Аватара пользователя
Lorem Ipsum
Прописался тут надолго
Прописался тут надолго
Сообщения: 1974
Стаж: 11 лет 7 месяцев
Контактная информация:

Защита форума от взлома phpbb3

Сообщение Lorem Ipsum »

DeaDRoMeO писал(а):в недоступном для третьих лиц месте
в голове :-0=)
DeaDRoMeO писал(а):На файл config.php должны стоять либо 644 либо 640 права доступа
а как сделать эти права??
DeaDRoMeO писал(а):Предлагаю делиться способами защиты наших форумов от взлома и незаконного доступа,
Я несколько раз думала установить мод для защиты юзеров - где регистрируются разные логин и ник. Как думаете, это нужно? ( в принципе, админ тоже юзер))
https://www.phpbb.com/customise/db/mod/ ... user_name/
Последний раз редактировалось Lorem Ipsum 02 окт 2012, 21:56, всего редактировалось 1 раз.
Я уже прошел тот период когда можно было забывать про очистку кеша ©salexcorp
#3
Аватара пользователя
DeaDRoMeO
Старожил Форума
Старожил Форума
Сообщения: 16763
Стаж: 13 лет
Откуда: Витебск
Контактная информация:

Защита форума от взлома phpbb3

Сообщение DeaDRoMeO »

St_roy писал(а):что у кого-то будет такой же сайт и всё?
Такой же и по функционалу, а не внешнему виду. Если человек знающий попадется
Lorem Ipsum писал(а):а как сделать эти права??
В админке, вкладка Общие, нет красных табличек ??? Если нет, то все у тебя впорядке
Lorem Ipsum писал(а):Как думаете, это нужно?
Кхммм по моему лишнее дело это
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!
#4
Аватара пользователя
Lorem Ipsum
Прописался тут надолго
Прописался тут надолго
Сообщения: 1974
Стаж: 11 лет 7 месяцев
Контактная информация:

Защита форума от взлома phpbb3

Сообщение Lorem Ipsum »

DeaDRoMeO писал(а):Кхммм по моему лишнее дело это
Объясни почему лишнее?
На одном форуме пару раз подбирали пароли к никам (ну есть такие юзеры, которые вбивают имя своего ребёнка с датой рождения), вот я и думаю, что не зная логина, даже подбирать никто не будет.
DeaDRoMeO писал(а):В админке, вкладка Общие, нет красных табличек ??? Если нет, то все у тебя впорядке
Не, нету. А если бы были, где что надо было делать? Так, на всякий случай. И почему это может произойти?
Я уже прошел тот период когда можно было забывать про очистку кеша ©salexcorp
#5
Аватара пользователя
St_roy
Завсегдатай Форума
Завсегдатай Форума
Сообщения: 873
Стаж: 12 лет 2 месяца
Откуда: Москва
Контактная информация:

Защита форума от взлома phpbb3

Сообщение St_roy »

Lorem Ipsum писал(а):Не, нету. А если бы были, где что надо было делать? Так, на всякий случай. И почему это может произойти?
Задачи надо решать по мере их поступления))
Зри в корень
#6
Аватара пользователя
DeaDRoMeO
Старожил Форума
Старожил Форума
Сообщения: 16763
Стаж: 13 лет
Откуда: Витебск
Контактная информация:

Защита форума от взлома phpbb3

Сообщение DeaDRoMeO »

Lorem Ipsum писал(а):На одном форуме пару раз подбирали пароли к никам (ну есть такие юзеры, которые вбивают имя своего ребёнка с датой рождения)
У меня стоит мод, отображающий при реге степень защищенности пароля, юзер проигнорил это = его проблемы, не заставить пользователей ставить нормальные пароли
Lorem Ipsum писал(а):Не, нету. А если бы были, где что надо было делать? Так, на всякий случай. И почему это может произойти?
Ну надо было ставить права доступа, через тотал коммандер легко делать это. Почему может произойти ? От хостинга зависит, у меня автоматом все назначилось, у других может такого и не быть
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!
#7
Аватара пользователя
Alexander
Свой на все 100
Свой на все 100
Сообщения: 484
Стаж: 11 лет 5 месяцев
Откуда: Россия
Контактная информация:

Защита форума от взлома phpbb3

Сообщение Alexander »

DeaDRoMeO писал(а):На файл config.php должны стоять либо 644 либо 640 права доступа
Проверил, у меня стоят права 600: чтение и запись только для владельца... Обязательно расширять права до 640 (+ чтение на групповые права) или до 644 (+ чтение на публичные права)?
#8
Аватара пользователя
DeaDRoMeO
Старожил Форума
Старожил Форума
Сообщения: 16763
Стаж: 13 лет
Откуда: Витебск
Контактная информация:

Защита форума от взлома phpbb3

Сообщение DeaDRoMeO »

Эти права ниже рекомендуемых, значит лучше, если форум стабильно функционирует, то незачем права менять
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!
#9
Аватара пользователя
Alexander
Свой на все 100
Свой на все 100
Сообщения: 484
Стаж: 11 лет 5 месяцев
Откуда: Россия
Контактная информация:

Защита форума от взлома phpbb3

Сообщение Alexander »

Я вот тут решил, что нужно серьезно позаботится о защите наших форумов от взлома и заражения вредоносным кодом. Так, например, у моего брата неделю назад взломали форум на phpBB3, заразили вирусом. Пришлось делать откат из резервной копии. Сейчас до сих пор (хоть и опасности уже нет) форум находится в базе зараженных сайтов одной из антивирусных программ и, соответственно, блокируется ею (если установлена именно эта антивирусная программа у пользователя, а это четверть трафика).

Кстати, злоумышленникам проще найти уязвимость, если они точно знают номер версии phpBB. А узнать его очень просто. Наберите в адресной строке: http://адрес_вашего_форума/styles/ваш_стиль/style.cfg и внизу вы увидите номер версии phpBB. Чтоб доступа к этому файлу не было я создал файл .htaccess, как написано здесь со следующим содержимым:

Код: Выделить всё

<Files "style.cfg">
Order Allow,Deny
Deny from All
</Files>
Поместил этот файл во все папки стилей (и в prosilver и в subsilver2). Теперь при попытке посмотреть номер версии получаем ошибку 403 Forbidden.
Хоть и небольшая, но все таки защита.

PS Хотя может можно просто права доступа поменять или номер версии другой прописать, чтоб запутать злоумышленника?
#10
Аватара пользователя
Лена
Завсегдатай Форума
Завсегдатай Форума
Сообщения: 966
Стаж: 11 лет 5 месяцев
Контактная информация:

Защита форума от взлома phpbb3

Сообщение Лена »

т.е. ваш фаил .htaccess теперь выглядит так

Код: Выделить всё

<Files "*.html">
Order allow,deny
Deny from all
</Files>
<Files "style.cfg">
Order Allow,Deny
Deny from All
</Files>
или просто

Код: Выделить всё

<Files "style.cfg">
Order Allow,Deny
Deny from All
</Files>
#11
Аватара пользователя
Alexander
Свой на все 100
Свой на все 100
Сообщения: 484
Стаж: 11 лет 5 месяцев
Откуда: Россия
Контактная информация:

Защита форума от взлома phpbb3

Сообщение Alexander »

Просто...

Код: Выделить всё

<Files "style.cfg">
Order Allow,Deny
Deny from All
</Files>
Может можно сделать и "2 в 1". Я не знаю распространяется ли действие .htaccess на вложенные вглубь папки. Если распространяется, то можно тогда сделать одним файлом, размещенным в папках http://адрес_вашего_форума/styles/стили и тогда отдельный файл для защиты шаблона в http://адрес_вашего_форума/styles/ваш_стиль/template делать не надо.
#12
Аватара пользователя
ZmejNK
Активно осваиваю Форум
Активно осваиваю Форум
Сообщения: 233
Стаж: 11 лет 3 месяца
Контактная информация:

Защита форума от взлома phpbb3

Сообщение ZmejNK »

Защитил файлы от скачивания, как описано в соседней теме. А будет ли работать вот такой файл? Как быть?

Код: Выделить всё

<Files "*.html">
Order allow,deny
Deny from all
</Files>
<Files "style.cfg">
Order Allow,Deny
Deny from All
</Files>
#13
Аватара пользователя
Alexander
Свой на все 100
Свой на все 100
Сообщения: 484
Стаж: 11 лет 5 месяцев
Откуда: Россия
Контактная информация:

Защита форума от взлома phpbb3

Сообщение Alexander »

ZmejNK писал(а):А будет ли работать вот такой файл? Как быть?
Наверное, надо просто проверить работоспособность этого файла опытным путем. :-00):
#14
Аватара пользователя
ZmejNK
Активно осваиваю Форум
Активно осваиваю Форум
Сообщения: 233
Стаж: 11 лет 3 месяца
Контактная информация:

Защита форума от взлома phpbb3

Сообщение ZmejNK »

Выдает такое сообщение
Forbidden

You don't have permission to access /styles/getaway_green/template/overal_futer.html on this server.
Forbidden

You don't have permission to access /styles/getaway_green/template/style.cfg on this server.
Как при попытке скачать файлы, так и при попытке проверить версию. Сбоев в работе форума на первый взгляд замечено не было. Пользуемся! :co_ol:
#15
Аватара пользователя
reks
Заглянул на огонек
Заглянул на огонек
Сообщения: 44
Стаж: 11 лет 1 месяц
Контактная информация:

Защита форума от взлома phpbb3

Сообщение reks »

Всем привет!
Хотел бы обсудить,такую вещь как SSL-сертификат. Что нам даёт этот сертификат? Но не секрет,что он защищает передачу данных в сети Интернет между клиентом и сервером. А какие у него ещё есть плюсы и минусы,стоит ли его ставить? Кто что знает,кто сталкивался с этим пишите. Сам сертификат стоит от 1000 до 30000 руб. в год(зависит от сертификата)
Хотел открыть отдельную тему,так как не нашел на форуме,но видимо у меня ещё не достаточно прав.Администрация посчитает нужным,то откроет новую тему.
#16
Аватара пользователя
DeaDRoMeO
Старожил Форума
Старожил Форума
Сообщения: 16763
Стаж: 13 лет
Откуда: Витебск
Контактная информация:

Защита форума от взлома phpbb3

Сообщение DeaDRoMeO »

Да я даже и не знаю, по мне так это лишняя трата денег, сам таким не пользовался
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!
#17
Аватара пользователя
ursego
Свой на все 100
Свой на все 100
Сообщения: 478
Стаж: 11 лет 2 месяца
Откуда: Днепропетровск
Контактная информация:

Защита форума от взлома phpbb3

Сообщение ursego »

DeaDRoMeO писал(а):Эти права ниже рекомендуемых, значит лучше, если форум стабильно функционирует, то незачем права менять
Я тоже изменил права доступа на 600 - вроде работает, тьфу-тьфу-тьфу...
#18
Aslan.Demon
Заглянул на огонек
Заглянул на огонек
Сообщения: 32
Стаж: 11 лет 4 месяца
Откуда: Волгоград РФ
Контактная информация:

Защита форума от взлома phpbb3

Сообщение Aslan.Demon »

Еще если я правильно помню в вашем .htaccess можно прописать такую функцию Options -Indexes
Таким образом вы запретите любой доступ к папкам на вашем сервере.
Будет перебрасывать на страницу ошибки 403.
Так же в вашем
.htaccess можно прописать такие ссылки

ErrorDocument 400 http://ссылка.куда-то там
ErrorDocument 401 http://ссылка.куда-то там
ErrorDocument 403 http://ссылка.куда-то там
ErrorDocument 404 http://ссылка.куда-то там
ErrorDocument 500 http://ссылка.куда-то там

Я поставил ссылку обратно на главную форума. Вы можете допустим создать страницу с описанием ошибки или просто послать куда подальше)))

Таким образом если кто-то в адресной строке напишет http://ваш_сайт.ру/styles(или любая другая папка)/ будет отправлен на главную или на ту страницу которую вы создадите

Правда меня берут сомнения насчет этого Options -Indexes . Если кто знает дайте ответ. Если я прописал эту строку,мой форум будет индексироваться?
#19
Аватара пользователя
DeaDRoMeO
Старожил Форума
Старожил Форума
Сообщения: 16763
Стаж: 13 лет
Откуда: Витебск
Контактная информация:

Защита форума от взлома phpbb3

Сообщение DeaDRoMeO »

Эммм, поиск по форуму - свои страницы ошибок - и находим альтернативный мод для этого случая))
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!
#20
Ответить