Bezpieczeństwo forum

[Prezes]

Ten temat ma służyć udzielaniu pytań i porad dotyczących:
- jak poprawnie utworzyć forum aby zminimalizować zagrożenie włamania, ataku, itp.
- jak chronić forum w trakcie jego działania
- jak reagować na nieprawidłowości wynikłe z możliwych włamań etc.
- jak odzyskiwać dane
Temat stworzony by kwestie bezpieczeństwa utrzymać w jednym dziale. Proszę pisać konkretnie na temat i nie popełniać dygresji, np. pisząc o problemach niezwiązanych z ochroną.
Zapraszam do dyskusji zarówno dotkniętych problemem jak i znawców.
Forum nie służy celom dydaktyki typu "jak zniszczyć forum", lecz "jak nie pozwolić na to".

[enduro91]

- jak poprawnie utworzyć forum aby zminimalizować zagrożenie włamania, ataku, itp.

Instalować najnowszą wersję, oraz wszystkie łatki, które zostały udostępnione (czytaj na http://www.phpbb.com)

- jak chronić forum w trakcie jego działania

Patrz wyżej, to spowoduje, że nie bedziesz się musiał bronić przed atakami, a gdy taki już nastąpi - zmień koniecznie swoje, hasło, oraz hasło wszystkich adminów, hasło bazy danych, oraz sewrera, gdyż włamania moga być różne

- jak reagować na nieprawidłowości wynikłe z możliwych włamań etc.

Napisałem wyżej

- jak odzyskiwać dane

Na niektórych serwerach sa robione automatyczne kopie bazy danych, gdy ni ma takiej opcji, rób to ręcznie raz na tydzień.

[Prezes]

No patrz. Jak ktoś zadaje proste pytanie to ludzie mu sączą treści. Jak ja chcę rozwinąć dłuższą dyskusję, to znaduje się w końcu ktoś piszący bardzo konkretnie. I bardzo dobrze i niedobrze

[enduro91]

Ktoś tumusi być konkretny, teraz robie serwis + forum, to sobie przypominam czasy świetności kiedy pisałem mody do phpBB, niedługo bedzie enduro91 reaktywacja

[Prezes]

No, właśnie śledzę twoje posty i widzę pełen profesjonalizm odpowiedzi

[enduro91]

Do dawnego profesjonalizmu to jeszcze spore braki, dobra koniec ot, piszemy na temat

[demon]

Odpowiedź: Proste

- jak poprawnie utworzyć forum aby zminimalizować zagrożenie włamania, ataku, itp.

Dobry serwer, hasła, częste a najlepiej jak najszybsze aktualizacje skryptu

jak chronić forum w trakcie jego działania

Bez komentu... czy ktos ma zamiar siedziec 24 h i chronic w trakcie dzialania?

jak reagować na nieprawidłowości wynikłe z możliwych włamań etc.

W miare możliwosci sprawdzać kto mógł takiego włamania dokonać ewentualnie poprosić kogoś o pomoc.

jak odzyskiwać dane

Niema dobrej metody, jedyną metodą jest częsty backup póki jest mala baza można robić backup często niestety później zaczynają się schody.

[Prezes]

Ok, to teraz może ktoś słabszy w temacie o coś zapyta a potem wypowiedzą się eksperci Bo to jakoś tak miało być

[enduro91]

Bez komentu... czy ktos ma zamiar siedziec 24 h i chronic w trakcie dzialania?

Zamiast chronić 24h/dobe, wystarczy uczynić wszystko aby uniemozliwić hackerowi dalsze działanie

[Fear]

Kod: Zaznacz cały

- jak chronić forum w trakcie jego działania 

Jest taki hack CrackerTracker Xtreme, co chroni przed atakami wormów.

[Piker]

Szczerze do bardzo dużym utrudnieniem jest ustawienie katalogu admin jako strefy chronionej przez htpassword i htaccess wiem że to minimalizuje ryzyko szybkiego wykasowania forum

[enduro91]

Możnaby pokombinować zmieniając nazwę folderu z admin na np. acp . Ale to wtedy jest ogrom grzebania w różnych plikach, więc nie wiem komu by się chciało tak robić, zresztą ostatnio jest sporo hackerów, którzy tylko pokazują, że bezpieczeństwo for nie jest na wysokim poziomie, i wytykają błędy, ale są też i tacy, którym podoba się że coś narozrabiają, i wtedy mają z tego satysfakcje, ale takich nazywa się potocznie lamerami

[Fear]

Możnaby pokombinować zmieniając nazwę folderu z admin na np. acp . Ale to wtedy jest ogrom grzebania w różnych plikach, więc nie wiem komu by się chciało tak robić, zresztą ostatnio jest sporo hackerów, którzy tylko pokazują, że bezpieczeństwo for nie jest na wysokim poziomie, i wytykają błędy, ale są też i tacy, którym podoba się że coś narozrabiają, i wtedy mają z tego satysfakcje, ale takich nazywa się potocznie lamerami

Według mnie znacznie lepszym rozwiązaniem byłoby przeniesienie zawartości config.php do innego pliku, a w config.php zostawić fałszywe dane.

Szczerze do bardzo dużym utrudnieniem jest ustawienie katalogu admin jako strefy chronionej przez htpassword i htaccess wiem że to minimalizuje ryzyko szybkiego wykasowania forum

Tutaj jest to opisane http://przemo.org/phpBB2/forum/viewtopi ... 04&start=0 , jak zabezpieczyć taką metodą .

[demon]

Zamiast chronić 24h/dobe, wystarczy uczynić wszystko aby uniemozliwić hackerowi dalsze działanie

Szczerze do bardzo dużym utrudnieniem jest ustawienie katalogu admin jako strefy chronionej przez htpassword i htaccess wiem że to minimalizuje ryzyko szybkiego wykasowania forum Smile

Niema dobrego zabezpieczenia przed hakerem, jest zabezpieczenie przed dzieckiem z gotowym eksploitem w ręku. Jeżeli ktoś będzie uparty to tak czy tak włamie się na forum bez względu ile miałeś łatek jaki numerek forum itp. ale na szczęście większość "hackierów" (lol), którzy atakują forum z błachych powodów działa na gotowcach.
Pozdrawiam

[enduro91]

Jak bede miał czas (tj. piątek)napisze moda jak sprowadzić hackera na fałszywy trop