Polskie forum wsparcia dla phpBB

Widziałem w sieci takie akcje, że na forum phpBB2 po wejściu instalowały się na kompie jakieś śmiecie i wywaliło błąd plików np session.php
W phpBB3 też widziałem podobne historie, wywalało błędy jakiś plików itp :/

Kiedyś koleszka pokazywał mi w jakimś sklepie internerowym, że wystarczy zadać proste polecenie SELECT (nie pamiętam dokładnie co tam było :/), np: w opcji wyszukiwania przedmiotów i już można komuś zajrzeć do BD :/

Czy takie same historie są z forami phpBB, czy to co opisuję wyżej to zwykłe spamboty?
I jak się przed tym zabezpieczyć?

nigdy do końca sie nie zabezpieczysz... niestety ale gdy programiści łatają jedną dziurę "hakerzy" znajdują kolejną

Parę ogólnych informacji:

Moduły PHP są pisane w języku programowania C, zatem moduły PHP mają takie same możliwości jak inne programy pisane w C, zatem skrypty PHP (np. phpBB) mogą używać opcji dostępnych dla C.

"hakerzy" również wykorzystują to do własnych celów.

Dlatego sugerował bym upgrade skryptów do najnowszych* stabilnych wersji

oprócz dziur w skryptach "hakerzy" wykorzystują dziury i luki w zabezpieczeniach serwerów, więc następną moją rada jest umieszczenie naszego skrypty PHP na profesjonalnym serwerze hostingowym (yoyo.pl i inne darmowe serwery nie są tak dobrze zabezpieczone!)

Jeśli spełniasz oba warunki w razie ataku możesz szczerze sobie odpowiedzieć "robiłem wszystko co było w mojej mocy! ale sie stało.."

* wersja RC nie jest wersją stabilną!

wikipedia pisze:RC (ang. Release Candidate, czyli Kandydat do wydania) – wydanie kandydujące, których może być nawet kilka, ale jeżeli nie zostanie w nim znalezione żadne istotne odstępstwo od planu wersji, zmienia się jedynie numer wersji na wyższy i uznaje wersję za stabilną

# wersja stabilna (wersja produkcyjna) – wersja nadająca się do użytkowania zgodnie z założeniami autorów
# wersje stabilne z poprawkami bezpieczeństwa lub innych błędów

Pozdrawiam Kuba

ps. mam nadzieje że chociaż troszkę i przybliżyłem ten problem z którym borykają sie wszyscy programiści tworzący skrypty PHP takie jak nasze phpBB.

// edit

o i zapomniałem na spamboty obecnie chyba najlepszą linią obrony jest potwierdzenie graficzne, włącz tą opcje przy rejestracji oraz przy dodawaniu postów przez gości.

snakedoo pisze: Kiedyś koleszka pokazywał mi w jakimś sklepie internerowym, że wystarczy zadać proste polecenie SELECT (nie pamiętam dokładnie co tam było :/), np: w opcji wyszukiwania przedmiotów i już można komuś zajrzeć do BD :/

To o czym piszesz to SQL Injection.

.Net pisze:o i zapomniałem na spamboty obecnie chyba najlepszą linią obrony jest potwierdzenie graficzne, włącz tą opcje przy rejestracji oraz przy dodawaniu postów przez gości.

Niestety większość z nich jest słabej jakości, nawet te zastosowane w phpBB3 (zostało złamane jeszcze przed wydaniem wersji stabilnej).

Zgadzam się, nie ma w 100% skutecznego zabezpieczenia, hackerzy są coraz bardziej przebiegli i lepiej wyuczeni i wszędzie znajdą drogę do włamania się do bazy danych lub do samego kodu strony.

Ps. Następnym razem nie pisz całego postu wytłuszczonym drukiem, gdyż jest to zbędne.

we3b pisze:Niestety większość z nich jest słabej jakości, nawet te zastosowane w phpBB3 (zostało złamane jeszcze przed wydaniem wersji stabilnej).

I tu sie potwierdza to co napisałem wcześniej

.Net pisze:nigdy do końca sie nie zabezpieczysz... niestety ale gdy programiści łatają jedną dziurę "hakerzy" znajdują kolejną

ale dzięki potwierdzeniu graficznemu chociaż część botów odpada, dodatkowo dodając odpowiednie wymagania do opcji wstawiania linków przez "gości" - Bram możliwości dodawania linków i "nowych użytkowników" minimum 3 posty i 24h po zalogowaniu skutecznie blokują kolejne próby zamieszczenia spamu na naszej witrynie

A co do: SQL Injection.

Również było to wykorzystanie podczas włamania na serwis Allegro poprzez wstrzyknięcie kodu poprzez opcje komentarzy.

W dzisiejszych czasach nikt nie może czuć sie bezpiecznie...

Korzystając z protokołu z protokołu https:// dodatkowo utrudniamy włamanie o kolejny algorytm, a gdy korzystamy z SSL i bezpiecznych ciasteczek spędzamy sen z powiek "hakerom".
Oczywiście nie zabezpieczy nas to w 100% bo jest to tylko kwestią czasu

Dzienks za odpowiedź

Akurat dobrego fora nie rozkręcałbym na darmowych serwerach typu yoyo.pl, zainwestowałem w komercyjny serwer.
Robią mi backupa co jakiś czas wiec w razie ataku mam możliwość przywrócenia wszystkiego
Dodatkowo sam robie backup tego co mam

Spam botów za bardzo się nie obawiam, bardziej tego, że ktoś może mniszyć mi forum :/
Opcja potwierdzenia wizualnego jest włączona od zawsze, o tym niema co mówić , możliwości komentowania przez gości u mnie niema.
Profilaktycznie zainstalowałem sobie jeszcze modyfikację Dara Spam Bot Stopped.

Chyba będę musiał bardziej zapoznać się z funkcjami zabezpieczającymi na moim hostingu.


PS: Sorki za pogrubione znaki, u mnie na forum tak piszę

Dzisiaj na tym forum widzialam Yahoo [Bot] i Google [Bot]. A wczoraj mialam wizyte tych botów na forum dalam bana na IP. I po sprawie. (Taka moja uwaga do administracji)

leba12 pisze:Dzisiaj na tym forum widzialam Yahoo [Bot] i Google [Bot]. A wczoraj mialam wizyte tych botów na forum dalam bana na IP. I po sprawie. (Taka moja uwaga do administracji)

hmm te boty możesz wyłączyć w PA nie musisz dawać bana na IP..

Panel administracyjny -> Szybki dostęp -> Boty -> Deaktywuj

tylko po co ... to są boty które zbierają informacje o treści zawieszonych na twoim forum i dodają to do bazy wyszukiwarek.. takie boty specjalnie sie zaprasza na własne witryn a nie bonuje..

Taka moja uwaga