Ασφάλεια σε phpBB 2.x

Μια περιοχή για το phpBB, την δημοφιλή δωρεάν πλατφόρμα για forums

Συντονιστές: WebDev Moderators, Super-Moderators, PHP Moderators

Απάντηση
Άβαταρ μέλους
mechpanos
Honorary Member
Δημοσιεύσεις: 1709
Εγγραφή: 20 Μαρ 2003 00:59
Τοποθεσία: Athens - Pyrgos
Επικοινωνία:

Ασφάλεια σε phpBB 2.x

Δημοσίευση από mechpanos » 13 Οκτ 2005 16:41

Γεια χαρά! Πιστεύω ότι είναι το κατάλληλο forum για να αναφερθούμε σε αυτό το θέμα.
Και μπαίνω αμέσως στο "ψητό", λέγοντας συνοπτικά το εξής: Τελευταίες μέρες στο forum του site μου, είχαμε κάποιες "ύποπτες" εγγραφές μελών, τα οποία εν δυνάμει ετοιμάζουν κάποια hackιά.
Η ερώτηση είναι: Η αναβάθμιση στις τελευταίες εκδόσεις, κάθε φορά, αρκεί?
Υπάρχει κάτι άλλο που επιβάλλεται ένας phpBB admin να γνωρίζει και τι μέτρα πρέπει να λάβει, ώστε να είναι ένα φόρουμ ασφαλές? Η απαγόρευση πρόσβασης σε συγκεκριμένα μέλη έχει να προσφέρει κάτι? Έχουμε κατά καιρούς δει μέσα σε fora του freestuff αλλά και αλλού, αναφορές σε επιθέσεις Τούρκων, Ρώσων και Αλβανών "hackers" σε phpBB 2.x sites.

Μήπως να κάνουμε μια ενότητα όπου να αλληλοενημερωνόμαστε, σε θέματα ασφαλείας?

Με φιλικούς χαιρετισμούς,
Panos
Πύργος θεός Πανηλειακός!!

Άβαταρ μέλους
cordis
Administrator, [F|H]ounder, [C|S]EO
Δημοσιεύσεις: 27616
Εγγραφή: 09 Οκτ 1999 03:00
Τοποθεσία: Greece
Επικοινωνία:

Ασφάλεια σε phpBB 2.x

Δημοσίευση από cordis » 13 Οκτ 2005 17:14

αν έχεις πάνω από .15 θα έχεις και το visual confirmation... βάλτο και θα δεις να εξαφανίζονται τα junk registrations...
Δεν απαντάω σε προσωπικά μηνύματα με ερωτήσεις που καλύπτονται από τις ενότητες του forum. Για ο,τι άλλο είμαι εδώ για εσάς.
- follow me @twitter

Cyberpunk
Δημοσιεύσεις: 9
Εγγραφή: 12 Οκτ 2005 15:10

Ασφάλεια σε phpBB 2.x

Δημοσίευση από Cyberpunk » 13 Οκτ 2005 17:20

mechpanos έγραψε:Και μπαίνω αμέσως στο "ψητό", λέγοντας συνοπτικά το εξής: Τελευταίες μέρες στο forum του site μου, είχαμε κάποιες "ύποπτες" εγγραφές μελών, τα οποία εν δυνάμει ετοιμάζουν κάποια hackιά.
Πώς το κατάλαβες; =))
Η ερώτηση είναι: Η αναβάθμιση στις τελευταίες εκδόσεις, κάθε φορά, αρκεί?
Πιστέυω ότι είναι το βασικότερο καί σημαντικότερο απ'οτι μπορεί να κάνει ένας admin.Εάν αναφερόμαστε πάντα στην ασφάλεια της εφαρμογής(phpBB).Τότε πιστέυω ότι αρκεί, γιατί οι επιθέσεις σινήθως γίνονται απο τους script kiddies.Στο εξής υπάρχει άλλος κύνδινος-εάν στο forum χρησιμοποιούνται διάφορα μοντς που
1) το version τους δεν αντιστοιχεί στο στο version του φόρουμ
2) ο admin τους πήρε απο μια μην έγκυρη πηγή.Βασικά θεωρίτε ότι υπάρχει μονο μία έγκυρη(το mods db του phpbb.com)
3) βρίσκονται ακομα στο alpha ή beta στάδιο και χρησιμοποιούνται στο live board

Αποκεί και πέρα υπάρχουν μερικά πραγματάκια που μπορεί να κάνει ένας admin για την ασφάλεια του φόρουμ του.Εγώ θα συνιστούσα την εγκατάσταση του phpBB Security mod που είναι ένα αρκετά καλό εργαλείο κατα τη γνώμη μου.Προστατέυη το φόρουμ απο τις dos επιθέσεις, UNION, Perl executions, κλίνει το admin panel με .htaccess και πολλά άλλα
phpBB Club - phpBB στα ελληνικά (τεχνική υποστίριξη(εγκατάσταση/λειτουργία), mods, styles, μεταφράσεις των mods)

Άβαταρ μέλους
EkLekTos
WebDev Moderator
Δημοσιεύσεις: 7421
Εγγραφή: 07 Απρ 2005 15:44
Τοποθεσία: Inside the Effects
Επικοινωνία:

Ασφάλεια σε phpBB 2.x

Δημοσίευση από EkLekTos » 14 Οκτ 2005 01:44

Το καλύτερο για μένα και που χρησιμοποιώ είναι το cracker tracker.Μέχρι τώρα έχω 3 επιθέσεις στο forum μου που έχουν μπλοκαριστεί.Σου δίχνει τις ip των επιθέσεων και μπορείς να κάνει update του mod από adminpanel.
Πολύ καλό κατεβαστέ το από εδώ
http://www.cback.de/cback_software/modd ... sional.zip
* Apple Technical Support Specialist *
* Apple Sales & Product Professional Certificate since 2011 * Εικόνα
Follow me @Twitter

Άβαταρ μέλους
mechpanos
Honorary Member
Δημοσιεύσεις: 1709
Εγγραφή: 20 Μαρ 2003 00:59
Τοποθεσία: Athens - Pyrgos
Επικοινωνία:

Ασφάλεια σε phpBB 2.x

Δημοσίευση από mechpanos » 14 Οκτ 2005 11:28

Αυτή την στιγμή έχω την 2.017, αμέσως πριν ήμουν σε 2.015. Visual confirmation δεν είδα, αφού δεν έχει αλλάξει οπτικά τίποτα.

Όσο για το που κατάλαβα ότι είναι ύποπτες εγγραφές, δεν το κατάλαβα απλά το υποθέτω από το γεγονός ότι δεν έχουν κάνει καμία δημοσίευση ενώ έχουν δηλώσει όλοι κάτι περίεργα user urls που δεν βγάζουν πουθενά. Τα email τους τουλάχιστον πρέπει να είναι valid αφού έχω ενεργοποιήσει email confirmation για την εγγραφή, μην μπαίνει ο κάθε τυχάρπαστος και βάζει ό,τι email του καπνίσει. Από εκεί και πέρα το script είναι καθαρό, χωρίς οποιοδήποτε mod, οπότε δεν ανησυχώ για τυχόν τέτοια κενά ασφαλείας.
Θα ελέγξω και τις υποδείξεις σας, ευχαριστώ! :D Θα έλεγα να φτιάξουμε μια ενότητα, για να αλληλοενημερωνόμαστε, σε τέτοια θέματα, τι λέτε?
Πύργος θεός Πανηλειακός!!

Άβαταρ μέλους
Basilakis
PHP Moderator
Δημοσιεύσεις: 8574
Εγγραφή: 17 Νοέμ 2003 13:03
Τοποθεσία: Womans' Brain
Επικοινωνία:

Ασφάλεια σε phpBB 2.x

Δημοσίευση από Basilakis » 14 Οκτ 2005 13:42

Λοιπόν νομίζω πως ήρθε ο καιρός να ανοικοινωθεί. Ετοιμάζω μία σελίδα το phpbb4u.gr το οποίο θα ασχολείται με όλλα αυτά τα θέματα και βασικά με την ασφάλεια. Περισότερα μπορείς να δείς σε αυτό το post http://www.freestuff.gr/forums/viewtopi ... 912#170912
Πάντως για τις "ύποπτρες εγγραφές" μήπως είναι bots? Πολά sites βομβαρδίζονατι τελευταία με τέτοιες εγγραφές.!

Άβαταρ μέλους
mechpanos
Honorary Member
Δημοσιεύσεις: 1709
Εγγραφή: 20 Μαρ 2003 00:59
Τοποθεσία: Athens - Pyrgos
Επικοινωνία:

Ασφάλεια σε phpBB 2.x

Δημοσίευση από mechpanos » 17 Οκτ 2005 12:57

Ναι μπορεί να είναι και bots. Αν και δεν μπορώ να καταλάβω πως το bot κάνει και email confirmation, δεν το αποκλείω γιατί είναι πιθανό να έχει αυτή την δυνατότητα. Το θέμα είναι πως αμύνομαι σε τέτοιου είδους εγγραφές? Δεν θέλω ξαφνικά, να γεμίσω χιλιάδες μέλη που είναι εγγραφές bots! Καμία ιδέα, ή σχετική αναφορά? Τα παραπάνω βοηθήματα που πρότειναν τα παιδιά δεν τα δοκίμασα, λόγω χρόνου. Θα κάνουν τίποτα?
Πύργος θεός Πανηλειακός!!

Άβαταρ μέλους
alxk
Δημοσιεύσεις: 718
Εγγραφή: 25 Μάιος 2003 23:48
Τοποθεσία: Αθήνα | Βούλα

Ασφάλεια σε phpBB 2.x

Δημοσίευση από alxk » 17 Οκτ 2005 17:50

mechpanos έγραψε:Αυτή την στιγμή έχω την 2.017, αμέσως πριν ήμουν σε 2.015. Visual confirmation δεν είδα, αφού δεν έχει αλλάξει οπτικά τίποτα.
Κοίταξε στο admin panel του phpBB σίγουρα θα το βρείς στις Γενικές Ρυθμίσεις του forum, πρέπει να το ενεργοποίσεις από 'κεί για να τεθεί σε λειτουργεία.

Άβαταρ μέλους
Basilakis
PHP Moderator
Δημοσιεύσεις: 8574
Εγγραφή: 17 Νοέμ 2003 13:03
Τοποθεσία: Womans' Brain
Επικοινωνία:

Ασφάλεια σε phpBB 2.x

Δημοσίευση από Basilakis » 18 Οκτ 2005 10:19

Υπάρχουν κάποια Security mods που σε προστατεύουν απο bots. Ένα είναι αυτό που προσθέτει κάποια τυχαία γράμματα και ζητάει απο τον χρήστη στην εγγραφή του να τα προσθέσει και το άλλο είναι μία σελίδα στο admin που επιτρέπει στοω administrator να ορίσει τι είδους κωδικοί θα είναι αποδεκτοί και άλλα τέτοια!

Άβαταρ μέλους
mechpanos
Honorary Member
Δημοσιεύσεις: 1709
Εγγραφή: 20 Μαρ 2003 00:59
Τοποθεσία: Athens - Pyrgos
Επικοινωνία:

Ασφάλεια σε phpBB 2.x

Δημοσίευση από mechpanos » 18 Οκτ 2005 14:08

ΟΚ παιδιά το visual confirmation το βρήκα...υποθέτοντάς το περισσότερο, γιατί το αρχείο Ελληνικών που έχω είναι παλιό και στο administration το συγκεκριμένο πεδίο με την περιγραφή ήταν κενό.
Ελπίζω τώρα να είναι όλα ΟΚ στην συνέχεια και να κάνει την δουλειά. Δεν έβαλα κανένα mod γιατί κόλωσα να μπω σε αυτή την διαδικασία. Δεν νομίζω να απαιτείται άλλωστε.
Εσύ ρε cordis που έχεις τόσο κόσμο δωμέσα, τι mods και security μέτρα έχεις φορτώσει?
Πύργος θεός Πανηλειακός!!

Απάντηση

Επιστροφή στο “phpBB”

Μέλη σε σύνδεση

Μέλη σε αυτήν τη Δ. Συζήτηση: Δεν υπάρχουν εγγεγραμμένα μέλη και 2 επισκέπτες