|
|
|
phpBB2 by Przemo
Support forów phpBB2 modified by Przemo
|
|
|
|
[OffTopic] Zabezpieczenie forum |
| Autor |
Wiadomość |
kacper106
Posty: 210
|
 Wysłany: 17-01-2011, 14:50 [OffTopic] Zabezpieczenie forum
|
|
|
Witam
Co myślicie o tym zabezpieczeniu forum przed hackingiem?
| Kod: | 1. Przesuń config.php do roota najczęściej znajduje się on nad public_html, choć nie zawsze. Jak tam włożysz config a ustawienia hostingu/dedyka będą odpowiednie, to będzie sprawiało dużo problemów wykradnięcie go.
2. Następnie otwórz plik common.php
znajdź
include($phpbb_root_path . 'config.'.$phpEx);
zamień na:
include($phpbb_root_path . '../config.'.$phpEx);
../../ - ustawiamy w zależności gdzie jest config.php
w miejsce config.php polecam wsadzić "spreparowany", "sztuczny" config - tak dla zmyłki, strasznie denerwujące jak ktoś sie włamie, wyświetli config i się rozczaruje.
Kolejną ważną rzeczą jest dobranie odpowiedniego hasła. Jak wiadomo hasła są kodowane w MD5, działa to w jedną stronę tylko koduje. Decodery zaś łamią tylko łatwe hasła typu google, qwerty78, pomoc16 itp. Dobranie odpowiedniego hasła jak np. sdSD3#EsD#D - będzie nie do złamania, no chyba że komuś chce się rok babrać z jednym hashem.
Trzeci podpunkt odniosę do /admin , poleciłbym zrobić hasło wykorzystując .htaccess i .htpasswd
instrukcja:http://pomoc.ovh.pl/ZabezpieczenieHtaccess
Po pierwsze usunąć pliki:
admin/admin_attach_cp.php
admin/admin_attachments.php
admin/admin_extensions.php
admin/admin_file.php - nie będą już nawet komentował tego pliku bo to wstyd!...
/docs - może tam jest licencja i prawa autorskie, ale to jest też wskazówka. Znajduje się tam m.in. wersja phpBB, dzięki temu łatwiej znaleźć exploita/luke/bug
Dzięki tym plikom można bez większych problemów zauplodować phpshell, pisałem nawet o tym jak łatwo złamać jego zabezpieczenia Przemowi na email, widać "olał" to co mu pisałem. Jego sprawa, nie moja
/dbloader - cały folder, jak będzie wam potrzebny do instalacji bazy po prostu wsadzicie ponownie na ftp, a potem usnucie, jest zbędny, po drugie można go wykorzystać w celach włamania np. Przekierowaniu.
dload.php
install.php
też są zbędne, i złośliwe radzę usunąć
Po tych zabiegach na pewno przestanie wam działać moduł download ale z tego i tak Polowa ludzi nie korzysta, a naprawdę zwiększa bezpieczeństwo.
Dla upartych oglądania chmodów czy tam ustawień forum i plików można usunąć plik check_files.php, w praktyce usunięcie tego pliku wyłącza automatycznie forum, ale po przesunięciu configa jak wyżej opisałem, można bez problemu usuwać.
Chmody
/files/
/files/tmp/
/files/thumbs/
/pafiledb/uploads/
/cache/
- index.php - ustaw odpowiedni chmod, by nie można było edytować.
- /cache - tam też można edytowac poprzez styl
Polecam na te pliki ustawić chmod 000 a szczególnie /pafiledb/uploads/, cache chyba że jakas modyfikacja potrzebuje to zostaw 777 |
|
_________________
Nie pomagam poza forum. Jeżeli napiszesz to nie dziw się że nie dostaniesz odpowiedzi;], Pomagam tym którym pozwoliłem. |
|
 |
|
 |
Gadatliwa Kasia 
|
|
|
|
|
maminowiec
Posty: 1729
|
|
 |
|
|
|
|
Nie możesz pisać nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz głosować w ankietach
Nie możesz załączać plików na tym forum
Możesz ściągać załączniki na tym forum
|
Dodaj temat do Ulubionych
Wersja do druku
|
Kopiowanie wszelkich treści zawartych na forum, modyfikacji oraz instrukcji bez zgody administracji i autorów tematów/postów zabronione!
Powered by phpBB modified by Przemo © 2003 phpBB
| | Strona wygenerowana w 0,06 sekundy. Zapytań do SQL: 11 |
|
 |
|
FAQ - PIERWSZA POMOC!!
REGULAMIN
SZUKAJ
Użytkownicy
Grupy
Statystyki
Rejestracja
Zaloguj
Download
Katalog Forów
![;]](images/smiles/icon_square.gif ";]"){kind=icon}
