Ocena wątku:
  • 0 głosów - średnia: 0
  • 1
  • 2
  • 3
  • 4
  • 5
Zabezpiecznie phpbb by przemo
#1
Witam, może i temat trochę głupi, ale czy znacie jakieś dobre sposoby na zabezpieczenie forum phpbb by przemo? :]

Dodałem dodatkowe hasło na folder admin, co jeszcze można zrobić?
Odpowiedz
#2
Przejść na myBB xD
Odpowiedz
#3
Chcę normalnych porad, a nie przejdź na mybb... Póki co chce zabezpieczyć phpbb by przemo, bo w przyszłości zamierzam zmienić na IPB
Odpowiedz
#4
Mały Tutek o zabezpieczniu skryptu phpBB by Przemo!

Nie wiem czy jestem zdolny zabezpieczyć to na fest ale to co napisze poniżej daje naprawdę dużo!!

1. Przesuń config.php do roota najczęściej znajduje się on nad public_html, choć nie zawsze. Jak tam włożysz config a ustawienia hostingu/dedyka będą odpowiednie, to będzie sprawiało dużo problemów wykradnięcie go.
2. Następnie otwórz plik common.php
znajdź
include($phpbb_root_path . 'config.'.$phpEx);
zamień na:
include($phpbb_root_path . '../config.'.$phpEx);

../../ - ustawiamy w zależności gdzie jest config.php

w miejsce config.php polecam wsadzić "spreparowany", "sztuczny" config - tak dla zmyłki, strasznie denerwujące jak ktoś sie włamie, wyświetli config i się rozczaruje.

Kolejną ważną rzeczą jest dobranie odpowiedniego hasła. Jak wiadomo hasła są kodowane w MD5, działa to w jedną stronę tylko koduje. Decodery zaś łamią tylko łatwe hasła typu google, qwerty78, pomoc16 itp. Dobranie odpowiedniego hasła jak np. sdSD3#EsD#D - będzie nie do złamania, no chyba że komuś chce się rok babrać z jednym hashem.

Trzeci podpunkt odniosę do /admin , poleciłbym zrobić hasło wykorzystując .htaccess i .htpasswd
instrukcja:http://pomoc.ovh.pl/ZabezpieczenieHtaccess

Po pierwsze usunąć pliki:
admin/admin_attach_cp.php
admin/admin_attachments.php
admin/admin_extensions.php
admin/admin_file.php - nie będą już nawet komentował tego pliku bo to wstyd!...
/docs - może tam jest licencja i prawa autorskie, ale to jest też wskazówka. Znajduje się tam m.in. wersja phpBB, dzięki temu łatwiej znaleźć exploita/luke/bug

Dzięki tym plikom można bez większych problemów zauplodować phpshell, pisałem nawet o tym jak łatwo złamać jego zabezpieczenia Przemowi na email, widać "olał" to co mu pisałem. Jego sprawa, nie moja Smile
/dbloader - cały folder, jak będzie wam potrzebny do instalacji bazy po prostu wsadzicie ponownie na ftp, a potem usnucie, jest zbędny, po drugie można go wykorzystać w celach włamania np. Przekierowaniu.

dload.php
install.php
też są zbędne, i złośliwe radzę usunąć

Po tych zabiegach na pewno przestanie wam działać moduł download ale z tego i tak Polowa ludzi nie korzysta, a naprawdę zwiększa bezpieczeństwo.

Dla upartych oglądania chmodów czy tam ustawień forum i plików można usunąć plik check_files.php, w praktyce usunięcie tego pliku wyłącza automatycznie forum, ale po przesunięciu configa jak wyżej opisałem, można bez problemu usuwać.

Chmody
/files/
/files/tmp/
/files/thumbs/
/pafiledb/uploads/
/cache/
- index.php - ustaw odpowiedni chmod, by nie można było edytować.
- /cache - tam też można edytowac poprzez styl
Polecam na te pliki ustawić chmod 000 a szczególnie /pafiledb/uploads/, cache chyba że jakas modyfikacja potrzebuje to zostaw 777



To by było na tyle, jak mi się coś przypomni to może dopisze. Dodaj jeszcze, że modyfikacje np. Spider Friendly może dają dużo, ale radze z nimi uważać.
(myślę że sie komuś przyda)

Pozdrawiam!
BoY
[Obrazek: 142134.gif]
Odpowiedz
#5
(04-06-2009, 18:12)Boy napisał(a): Kolejną ważną rzeczą jest dobranie odpowiedniego hasła. Jak wiadomo hasła są kodowane w MD5, działa to w jedną stronę tylko koduje. Decodery zaś łamią tylko łatwe hasła typu google, qwerty78, pomoc16 itp. Dobranie odpowiedniego hasła jak np. sdSD3#EsD#D - będzie nie do złamania, no chyba że komuś chce się rok babrać z jednym hashem.

Nie do końca. Przemo oraz phpBB2 na którym się opiera korzysta z metody 1x md5. Nie jest nic dodawane, w efekcie czego rozpracowanie hasła jest znacznie prostsze (słownik to banał, nieco inne to chwilka metodą brute-force lub tęczowymi tablicami).

Gdyby zmienić system na np. 2x md5 + salt to co innego, wtedy jest już znacznie trudniej Wink
Odpowiedz


Podobne wątki
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Dopisek "nieczytany post" jak w phpBB by Przemo lukasamd 0 3,096 25-01-2013, 03:43
Ostatni post: lukasamd
  Seopilot i PHPBB by Przemo luk19952 1 3,837 29-12-2012, 16:56
Ostatni post: psy
  Newsy z phhbb2 by przemo kanion 5 6,047 20-02-2008, 00:31
Ostatni post: kanion

Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości
Sponsorzy i przyjaciele