По сути и те варианты что я написал работают)DeaDRoMeO писал(а):Эммм, поиск по форуму - свои страницы ошибок - и находим альтернативный мод для этого случая))
Защита форума от взлома phpbb3
Модераторы: Vl@d1m1r, Lorem Ipsum, Atlas
Правила форума
----
----
-
- Заглянул на огонек
- Сообщения: 32
- Стаж: 11 лет 5 месяцев
- Откуда: Волгоград РФ
- Контактная информация:
Защита форума от взлома phpbb3
- DeaDRoMeO
- Старожил Форума
- Сообщения: 16763
- Стаж: 13 лет 2 месяца
- Откуда: Витебск
- Контактная информация:
Защита форума от взлома phpbb3
Да, просто вы сомневались в правильности, я подсказал похожее решение, которое работает без косяков)
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!
Защита форума от взлома phpbb3
Сегодня когда стала заходить на форум от админа, но с первого же раза мне написали - "превышено количество попыток входа. Теперь для входа вам нужно......"
С чего такое может быть??????? Кто-то пытался до меня войти туда что ли?
С чего такое может быть??????? Кто-то пытался до меня войти туда что ли?
- DeaDRoMeO
- Старожил Форума
- Сообщения: 16763
- Стаж: 13 лет 2 месяца
- Откуда: Витебск
- Контактная информация:
Защита форума от взлома phpbb3
ВозможноЛена писал(а):Кто-то пытался до меня войти туда что ли?
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!
- pmebear
- Зашел немного посидеть
- Сообщения: 67
- Стаж: 10 лет 11 месяцев
- Откуда: Москва
- Контактная информация:
Защита форума от взлома phpbb3
Добрый день!
Сегодня в логе администратора форума обнаружил, что вновь зарегистрированный пользователь сделал резервное копирование базы данных.Подскажите,пожалуйста, что это за уязвимость, чем это грозит и как от этого защититься?
Сегодня в логе администратора форума обнаружил, что вновь зарегистрированный пользователь сделал резервное копирование базы данных.Подскажите,пожалуйста, что это за уязвимость, чем это грозит и как от этого защититься?
- DeaDRoMeO
- Старожил Форума
- Сообщения: 16763
- Стаж: 13 лет 2 месяца
- Откуда: Витебск
- Контактная информация:
Защита форума от взлома phpbb3
Эмм я не знаю как это назвать, но это у всех происходит, не беспокойтесь
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!
- pmebear
- Зашел немного посидеть
- Сообщения: 67
- Стаж: 10 лет 11 месяцев
- Откуда: Москва
- Контактная информация:
Защита форума от взлома phpbb3
Тесть навредить форуму, те, кто скопировал базу не смогут? Например подкорректировать сообщения и залить базу обратно? Или слить информацию (контакты, IPадреса и т.д.) По логам видно, что люди искали уязвимость, делая клоны пользователей и пытаясь разместить тестовые сообщения. Забанить людей пока не могу, т.к. пока ничего плохого они еще не сделали....
- masik
- Начинаю осваивать Форум
- Сообщения: 106
- Стаж: 9 лет 10 месяцев
- Откуда: Заречный
- Контактная информация:
Защита форума от взлома phpbb3
pmebear писал(а):чем это грозит и как от этого защититься?
В одном из своих сообщений я писал, что в phpbb есть дыры, но это еще не так страшно, как то, что мы ставим какие то моды, совершенно не понимая, что там в логике...и из-за этого делаем еще больше дыр...и безопасность остается на 0.
Не устанавливайте модов если чувствуете что он Вам не нужен! Если очень как нужен (прям нада и всё), поинтересуйтесь у тех кто этот мод использовал, а не добавит ли это минус к безопасности форума!
Не в красоте счастье, а в функциональности!!!
Еще как могут! Если база слита, то что еще нужно ? Могут вообще дропнуть ее... Ищите дыры!pmebear писал(а):Тесть навредить форуму, те, кто скопировал базу не смогут?
- pmebear
- Зашел немного посидеть
- Сообщения: 67
- Стаж: 10 лет 11 месяцев
- Откуда: Москва
- Контактная информация:
Защита форума от взлома phpbb3
К сожалению, функциональность phpbb без модов тоже не очень хороша, но это вопрос философский. Я не нашел в интернете вопросы защиты базы php. Типовые методы защиты к папкам и конфигу я применил, бэкапы делаю. Что еще можно сделать, чтобы не хакали базу и не разгуливали по файлам на хостинге? По поводу модов- на гуру много форумов по модам - после скачивания файла мода много разжевывания, и изменения функций мода до неузнаваемости, или допил мода после выхода новой версии phpbb, или описания как слить картинки на яндекс картинки. Много людей, много мнений, как это в конечном счете повлияет на безопасность, не предсказуемо.masik писал(а):Не в красоте счастье, а в функциональности!!!
Сообщение добавлено... спустя 2 минуты 13 секунд:
Я уверен, Вы опытный пользователь phpbb, подскажите, как эти дыры искать, или дайте пару ссылок на матчасть.... Заранее благодарен.masik писал(а):Еще как могут! Если база слита, то что еще нужно ? Могут вообще дропнуть ее... Ищите дыры!
- masik
- Начинаю осваивать Форум
- Сообщения: 106
- Стаж: 9 лет 10 месяцев
- Откуда: Заречный
- Контактная информация:
Защита форума от взлома phpbb3
Не согласен с Вами Это вопрос не философский, потому что я не рассуждаю, а утверждаю! Я не говорю что без модов форум плох, я говорю о том что падает безопасность, но и функциональность часто даже.pmebear писал(а):функциональность phpbb без модов тоже не очень хороша, но это вопрос философский.
Да файлы представляют ценность лишь тогда когда в них хранится какая то информация, в данном случае файлы мало что несут, там всего лишь описаны правила как вывести информацию, как внести информацию в БД и все, так что файлы на сервере мало кому нужны по большому счету. Вся информация в нашем случае хранится в базе данных, ну а для этого нужно почитать хотя бы посты про SQL-инъекции хотя бы на хабре (SQL injection для начинающих. Часть 1). Вот часть из статьиpmebear писал(а):чтобы не хакали базу и не разгуливали по файлам на хостинге?
Так что читайте изучайте и все будет ок. Удачи.Что же такое SQL инъекция?
Говоря простым языком — это атака на базу данных, которая позволит выполнить некоторое действие, которое не планировалось создателем скрипта. Пример из жизни:
Отец, написал в записке маме, чтобы она дала Васе 100 рублей и положил её на стол. Переработав это в шуточный SQL язык, мы получим:
ДОСТАНЬ ИЗ кошелька 100 РУБЛЕЙ И ДАЙ ИХ Васе
Так-как отец плохо написал записку (Корявый почерк), и оставил её на столе, её увидел брат Васи — Петя. Петя, будучи хакер, дописал там «ИЛИ Пете» и получился такой запрос:
ДОСТАНЬ ИЗ кошелька 100 РУБЛЕЙ И ДАЙ ИХ Васе ИЛИ Пете
Мама прочитав записку, решила, что Васе она давала деньги вчера и дала 100 рублей Пете. Вот простой пример SQL инъекции из жизни Не фильтруя данные (Мама еле разобрала почерк), Петя добился профита.
- pmebear
- Зашел немного посидеть
- Сообщения: 67
- Стаж: 10 лет 11 месяцев
- Откуда: Москва
- Контактная информация:
Защита форума от взлома phpbb3
Еще вопросик. Человек который слил базу искал перед этим тег </imput>. Связана ли с этим какая-то уязвимость?
- masik
- Начинаю осваивать Форум
- Сообщения: 106
- Стаж: 9 лет 10 месяцев
- Откуда: Заречный
- Контактная информация:
Защита форума от взлома phpbb3
pmebear писал(а):Человек который слил базу искал перед этим тег </imput>. Связана ли с этим какая-то уязвимость?
Теги сами по себе не представляют опасности или какой то уязвимости.
Давайте посмотрим что представляет собой тег <input /> как мы знаем, данный тег является одним из разносторонних элементов формы и позволяет создавать разные элементы интерфейса и обеспечить взаимодействие с пользователем.
С помощью его можно и кнопку создать, а можно и текстовое поле.
Кнопка вряд ли что может значить и представлять.
На мой взгляд он искал поле с атрибутом типа <input type="text" name="какое то имя">.
Так вот надо найти и посмотреть, что принимает это поле, протестировать его на разный ввод данных, в частности на SQL-инъекции как я Вам уже скидывал.
Ну а затем дырку заделать, на это поле повесить валидации соответствующие, чтобы в будущем нельзя было уже выполнить тот запрос который будет выдавать всю внутренность БД!
Как то так.
- Tatyana_S
- Зашел немного посидеть
- Сообщения: 62
- Стаж: 9 лет 7 месяцев
- Откуда: Нижний Новгород
- Контактная информация:
Защита форума от взлома phpbb3
я добавила этот код просто в общий файл .htaccess, он у меня лежит в корневике форума, в папки со стилями не добавляла. По запросу на любой стиль выдает, что нет доступа. Спасибо за кодAlexander писал(а):Кстати, злоумышленникам проще найти уязвимость, если они точно знают номер версии phpBB. А узнать его очень просто. Наберите в адресной строке: http://адрес_вашего_форума/styles/ваш_стиль/style.cfg и внизу вы увидите номер версии phpBB. Чтоб доступа к этому файлу не было я создал файл .htaccess, как написано здесь со следующим содержимым:
Код: Выделить все
<Files "style.cfg">
Order Allow,Deny
Deny from All
</Files>
Поместил этот файл во все папки стилей (и в prosilver и в subsilver2). Теперь при попытке посмотреть номер версии получаем ошибку 403 Forbidden.
Хоть и небольшая, но все таки защита.
- ursego
- Свой на все 100
- Сообщения: 478
- Стаж: 11 лет 4 месяца
- Откуда: Днепропетровск
- Контактная информация:
Защита форума от взлома phpbb3
В любом случае нужно чтобы был бэкап файловой системы и свежий бэкап базы данных.
Защита форума от взлома phpbb3
Привет, прежде всего спасибо большое, за всю инфу которую я у тебя почерпнул:) много, что у тебя на форуме помогло.DeaDRoMeO писал(а):Предлагаю делиться способами защиты наших форумов от взлома и незаконного доступа, желательно не ссылки кидать, а подробно все описывать.
Итак делюсь методом защиты, вернее дорабатываю твой. Тобой был создан файл защиты, но сам то файл не защищён.
Открываем директорию форума (начальную), ищем начальный файл .htacces и дописываем в конце него:
<files ~ "^.*.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</files>
по идее теперь всё файлы htacces защищены. этот метод узнал при применении твоего метода на своём портале Храм пути http://hramputi.ru/ также приглашаю посмотреть форум который заделал http://forputi.ru/ правда они ещё совсем не заполнены, я только сегодня окончательно закончил со структурой и установкой модов. Интересно мнение, просто я собой горжусь, ведь не имел никаких знаний о http перед работой над своим проектом, но критику приму.
- DeaDRoMeO
- Старожил Форума
- Сообщения: 16763
- Стаж: 13 лет 2 месяца
- Откуда: Витебск
- Контактная информация:
Защита форума от взлома phpbb3
Хммм, попрошу воздержаться от рекламы своих форумов, есть тема для оценки форумов, туда и пишите и описывайте свое детище
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!