Защита форума от взлома phpbb3

В данном подфоруме будут располагаться все статьи, помогающие освоиться в администрировании форума.

Модераторы: Vl@d1m1r, Lorem Ipsum, Atlas

Правила форума
----
Ответить
Aslan.Demon
Заглянул на огонек
Заглянул на огонек
Сообщения: 32
Стаж: 11 лет 4 месяца
Откуда: Волгоград РФ
Контактная информация:

Защита форума от взлома phpbb3

Сообщение Aslan.Demon »

DeaDRoMeO писал(а):Эммм, поиск по форуму - свои страницы ошибок - и находим альтернативный мод для этого случая))
По сути и те варианты что я написал работают)
#21
Аватара пользователя
DeaDRoMeO
Старожил Форума
Старожил Форума
Сообщения: 16763
Стаж: 13 лет
Откуда: Витебск
Контактная информация:

Защита форума от взлома phpbb3

Сообщение DeaDRoMeO »

Да, просто вы сомневались в правильности, я подсказал похожее решение, которое работает без косяков)
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!
#22
Аватара пользователя
Лена
Завсегдатай Форума
Завсегдатай Форума
Сообщения: 966
Стаж: 11 лет 5 месяцев
Контактная информация:

Защита форума от взлома phpbb3

Сообщение Лена »

Сегодня когда стала заходить на форум от админа, но с первого же раза мне написали - "превышено количество попыток входа. Теперь для входа вам нужно......"
С чего такое может быть??????? Кто-то пытался до меня войти туда что ли?
#23
Аватара пользователя
DeaDRoMeO
Старожил Форума
Старожил Форума
Сообщения: 16763
Стаж: 13 лет
Откуда: Витебск
Контактная информация:

Защита форума от взлома phpbb3

Сообщение DeaDRoMeO »

Лена писал(а):Кто-то пытался до меня войти туда что ли?
Возможно
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!
#24
Аватара пользователя
pmebear
Зашел немного посидеть
Зашел немного посидеть
Сообщения: 67
Стаж: 10 лет 10 месяцев
Откуда: Москва
Контактная информация:

Защита форума от взлома phpbb3

Сообщение pmebear »

Добрый день!
Сегодня в логе администратора форума обнаружил, что вновь зарегистрированный пользователь сделал резервное копирование базы данных.Подскажите,пожалуйста, что это за уязвимость, чем это грозит и как от этого защититься?
#25
Аватара пользователя
DeaDRoMeO
Старожил Форума
Старожил Форума
Сообщения: 16763
Стаж: 13 лет
Откуда: Витебск
Контактная информация:

Защита форума от взлома phpbb3

Сообщение DeaDRoMeO »

Эмм я не знаю как это назвать, но это у всех происходит, не беспокойтесь
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!
#26
Аватара пользователя
pmebear
Зашел немного посидеть
Зашел немного посидеть
Сообщения: 67
Стаж: 10 лет 10 месяцев
Откуда: Москва
Контактная информация:

Защита форума от взлома phpbb3

Сообщение pmebear »

Тесть навредить форуму, те, кто скопировал базу не смогут? Например подкорректировать сообщения и залить базу обратно? Или слить информацию (контакты, IPадреса и т.д.) По логам видно, что люди искали уязвимость, делая клоны пользователей и пытаясь разместить тестовые сообщения. Забанить людей пока не могу, т.к. пока ничего плохого они еще не сделали....
#27
Аватара пользователя
masik
Начинаю осваивать Форум
Начинаю осваивать Форум
Сообщения: 106
Стаж: 9 лет 8 месяцев
Откуда: Заречный
Контактная информация:

Защита форума от взлома phpbb3

Сообщение masik »

pmebear писал(а):чем это грозит и как от этого защититься?

В одном из своих сообщений я писал, что в phpbb есть дыры, но это еще не так страшно, как то, что мы ставим какие то моды, совершенно не понимая, что там в логике...и из-за этого делаем еще больше дыр...и безопасность остается на 0.
Не устанавливайте модов если чувствуете что он Вам не нужен! Если очень как нужен (прям нада и всё), поинтересуйтесь у тех кто этот мод использовал, а не добавит ли это минус к безопасности форума!
Не в красоте счастье, а в функциональности!!!
pmebear писал(а):Тесть навредить форуму, те, кто скопировал базу не смогут?
Еще как могут! Если база слита, то что еще нужно ? Могут вообще дропнуть ее... Ищите дыры!
#28
Аватара пользователя
pmebear
Зашел немного посидеть
Зашел немного посидеть
Сообщения: 67
Стаж: 10 лет 10 месяцев
Откуда: Москва
Контактная информация:

Защита форума от взлома phpbb3

Сообщение pmebear »

masik писал(а):Не в красоте счастье, а в функциональности!!!
К сожалению, функциональность phpbb без модов тоже не очень хороша, но это вопрос философский. Я не нашел в интернете вопросы защиты базы php. Типовые методы защиты к папкам и конфигу я применил, бэкапы делаю. Что еще можно сделать, чтобы не хакали базу и не разгуливали по файлам на хостинге? По поводу модов- на гуру много форумов по модам - после скачивания файла мода много разжевывания, и изменения функций мода до неузнаваемости, или допил мода после выхода новой версии phpbb, или описания как слить картинки на яндекс картинки. Много людей, много мнений, как это в конечном счете повлияет на безопасность, не предсказуемо.

Сообщение добавлено... спустя 2 минуты 13 секунд:
masik писал(а):Еще как могут! Если база слита, то что еще нужно ? Могут вообще дропнуть ее... Ищите дыры!
Я уверен, Вы опытный пользователь phpbb, подскажите, как эти дыры искать, или дайте пару ссылок на матчасть.... Заранее благодарен.
#29
Аватара пользователя
masik
Начинаю осваивать Форум
Начинаю осваивать Форум
Сообщения: 106
Стаж: 9 лет 8 месяцев
Откуда: Заречный
Контактная информация:

Защита форума от взлома phpbb3

Сообщение masik »

pmebear писал(а):функциональность phpbb без модов тоже не очень хороша, но это вопрос философский.
Не согласен с Вами :-00): Это вопрос не философский, потому что я не рассуждаю, а утверждаю! Я не говорю что без модов форум плох, я говорю о том что падает безопасность, но и функциональность часто даже.
pmebear писал(а):чтобы не хакали базу и не разгуливали по файлам на хостинге?
Да файлы представляют ценность лишь тогда когда в них хранится какая то информация, в данном случае файлы мало что несут, там всего лишь описаны правила как вывести информацию, как внести информацию в БД и все, так что файлы на сервере мало кому нужны по большому счету. Вся информация в нашем случае хранится в базе данных, ну а для этого нужно почитать хотя бы посты про SQL-инъекции хотя бы на хабре (SQL injection для начинающих. Часть 1). Вот часть из статьи
Что же такое SQL инъекция?

Говоря простым языком — это атака на базу данных, которая позволит выполнить некоторое действие, которое не планировалось создателем скрипта. Пример из жизни:

Отец, написал в записке маме, чтобы она дала Васе 100 рублей и положил её на стол. Переработав это в шуточный SQL язык, мы получим:
ДОСТАНЬ ИЗ кошелька 100 РУБЛЕЙ И ДАЙ ИХ Васе
Так-как отец плохо написал записку (Корявый почерк), и оставил её на столе, её увидел брат Васи — Петя. Петя, будучи хакер, дописал там «ИЛИ Пете» и получился такой запрос:
ДОСТАНЬ ИЗ кошелька 100 РУБЛЕЙ И ДАЙ ИХ Васе ИЛИ Пете
Мама прочитав записку, решила, что Васе она давала деньги вчера и дала 100 рублей Пете. Вот простой пример SQL инъекции из жизни :-00): Не фильтруя данные (Мама еле разобрала почерк), Петя добился профита.
Так что читайте изучайте и все будет ок. Удачи.
#30
Аватара пользователя
pmebear
Зашел немного посидеть
Зашел немного посидеть
Сообщения: 67
Стаж: 10 лет 10 месяцев
Откуда: Москва
Контактная информация:

Защита форума от взлома phpbb3

Сообщение pmebear »

Еще вопросик. Человек который слил базу искал перед этим тег </imput>. Связана ли с этим какая-то уязвимость?
#31
Аватара пользователя
masik
Начинаю осваивать Форум
Начинаю осваивать Форум
Сообщения: 106
Стаж: 9 лет 8 месяцев
Откуда: Заречный
Контактная информация:

Защита форума от взлома phpbb3

Сообщение masik »

pmebear писал(а):Человек который слил базу искал перед этим тег </imput>. Связана ли с этим какая-то уязвимость?

Теги сами по себе не представляют опасности или какой то уязвимости.
Давайте посмотрим что представляет собой тег <input /> как мы знаем, данный тег является одним из разносторонних элементов формы и позволяет создавать разные элементы интерфейса и обеспечить взаимодействие с пользователем.
С помощью его можно и кнопку создать, а можно и текстовое поле.
Кнопка вряд ли что может значить и представлять.
На мой взгляд он искал поле с атрибутом типа <input type="text" name="какое то имя">.
Так вот надо найти и посмотреть, что принимает это поле, протестировать его на разный ввод данных, в частности на SQL-инъекции как я Вам уже скидывал.
Ну а затем дырку заделать, на это поле повесить валидации соответствующие, чтобы в будущем нельзя было уже выполнить тот запрос который будет выдавать всю внутренность БД!
Как то так.
#32
Аватара пользователя
Tatyana_S
Зашел немного посидеть
Зашел немного посидеть
Сообщения: 62
Стаж: 9 лет 5 месяцев
Откуда: Нижний Новгород
Контактная информация:

Защита форума от взлома phpbb3

Сообщение Tatyana_S »

Alexander писал(а):Кстати, злоумышленникам проще найти уязвимость, если они точно знают номер версии phpBB. А узнать его очень просто. Наберите в адресной строке: http://адрес_вашего_форума/styles/ваш_стиль/style.cfg и внизу вы увидите номер версии phpBB. Чтоб доступа к этому файлу не было я создал файл .htaccess, как написано здесь со следующим содержимым:
Код: Выделить все
<Files "style.cfg">
Order Allow,Deny
Deny from All
</Files>
Поместил этот файл во все папки стилей (и в prosilver и в subsilver2). Теперь при попытке посмотреть номер версии получаем ошибку 403 Forbidden.
Хоть и небольшая, но все таки защита.
я добавила этот код просто в общий файл .htaccess, он у меня лежит в корневике форума, в папки со стилями не добавляла. По запросу на любой стиль выдает, что нет доступа. Спасибо за код :ki-)(-:
#33
Аватара пользователя
ursego
Свой на все 100
Свой на все 100
Сообщения: 478
Стаж: 11 лет 2 месяца
Откуда: Днепропетровск
Контактная информация:

Защита форума от взлома phpbb3

Сообщение ursego »

В любом случае нужно чтобы был бэкап файловой системы и свежий бэкап базы данных.
#34
vundar
Заглянул на огонек
Заглянул на огонек
Сообщения: 28
Стаж: 9 лет 3 месяца
Контактная информация:

Защита форума от взлома phpbb3

Сообщение vundar »

DeaDRoMeO писал(а):Предлагаю делиться способами защиты наших форумов от взлома и незаконного доступа, желательно не ссылки кидать, а подробно все описывать.
Привет, прежде всего спасибо большое, за всю инфу которую я у тебя почерпнул:) много, что у тебя на форуме помогло.
Итак делюсь методом защиты, вернее дорабатываю твой. Тобой был создан файл защиты, но сам то файл не защищён.
Открываем директорию форума (начальную), ищем начальный файл .htacces и дописываем в конце него:

<files ~ "^.*.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</files>

по идее теперь всё файлы htacces защищены. этот метод узнал при применении твоего метода на своём портале Храм пути http://hramputi.ru/ также приглашаю посмотреть форум который заделал http://forputi.ru/ правда они ещё совсем не заполнены, я только сегодня окончательно закончил со структурой и установкой модов. Интересно мнение, просто я собой горжусь, ведь не имел никаких знаний о http перед работой над своим проектом, но критику приму.
#35
Аватара пользователя
DeaDRoMeO
Старожил Форума
Старожил Форума
Сообщения: 16763
Стаж: 13 лет
Откуда: Витебск
Контактная информация:

Защита форума от взлома phpbb3

Сообщение DeaDRoMeO »

Хммм, попрошу воздержаться от рекламы своих форумов, есть тема для оценки форумов, туда и пишите и описывайте свое детище
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!
#36
Ответить