[phpbb] Maximaal beveiligen. - Privacy en beveiliging

zaterdag 6 mei 2006 14:19

Acties:

Verwijderd

Topicstarter

Nadat ik een forum van iemand tegenkwam die ge-defaced was ging ik opzoek naar een fix... onderweg m'n zoektocht kwam ik iets schrikbarends tegen en dat is dit. Een actieve groep die hunt op phpbb of invision forums en die gewoon brutaal defaced

Nu heb ik zelf ook een forum met bestwel waardevolle data en ik heb geen zin om op een dag te kijken en alles is leeggeript

Ik maak via een cronjob dagelijkse backups. Op m'n admin directory ( /forum/admin/ ) heb ik een htpasswd beveiliging met een heel sterk wachtwoord draaien. Ik heb verschillende exploits gezien & zelf getest. De meeste gaan alleen via het /forum/admin paneeltje dus dat scheelt weer.

Ik vraag me af wat er nog meer "beveiligd" kan worden kan aan phpbb. Bepaalde requests deny-en mbt perl scripts of Bruteforce attacks laten herkennen & blokkeren etc.

Ik heb al rondgezocht op het forum van phpbb zelf.. maar daar word ik niet echt iets wijzer van. Natuurlijk heb ik de laatste versie draaien maar het schijnt gewoon niet te werken. Ik heb in 3 dagen 5 forums omlaag zien gaan met allemaal dezelfde type "hack". Ook hebben gebruikers vaak de neiging om het wachtwoord dat ze op een forum gebruiken associeren met hun Email of ander spul waarop zij geregisteerd zijn. Met behulp van een md5 cracker kan hiermee het wachtwoord worden gekraakt en zo nog meer schade aanrichten

Ik attendeer ook mijn users een heel stom password te gebruiken oid dat niet in koppeling staat met hun Email of of iets anders.

zaterdag 6 mei 2006 14:47

Acties:

bartvb

Nieuwste versie draaien en bijhouden, voorzichtig zijn met mods/hacks die je installeert, admin dir beveiligen met een extra wachtwoord is altijd handig. Verder kun je niet super veel doen, je kan kijken naar dingen als mod_security als je je eigen Apache draait, HTML niet toestaan op het forum, geen ruzie maken met gebruikers op het forum die techisch redelijk op de hoogte zijn

zaterdag 6 mei 2006 14:56

Acties:

Verwijderd

Topicstarter

Er draait geen enkele mod op het moment. HTML staat default uit. Ik heb de toegang om dingen te wijzigen mbt het mysql database maar of het werkt heb ik nog niet geprobeerd.

up 2 date draait het. Maar in feite is de extra security niet meer dan een HTpasswd. Ik heb mijn host ook gevraagd me te melden als er excessief veel verkeer gaande is. Dat moet dan bijna duiden op een bruteforce aanval.

zaterdag 6 mei 2006 14:58

Acties:

Vinnienerd

Sorry, maar PHPBB is gewoon kans-loos. Of je nou de nieuwste versie draait of niet, binnen 2,5 week is je mooie forumpje geh4x0red. Gewoon iets anders gebruiken dus.

zaterdag 6 mei 2006 15:27

Acties:

TommyGun

Stik er maar in!

Vinnienerd schreef op zaterdag 06 mei 2006 @ 14:58:
Sorry, maar PHPBB is gewoon kans-loos. Of je nou de nieuwste versie draait of niet, binnen 2,5 week is je mooie forumpje geh4x0red. Gewoon iets anders gebruiken dus.

Idd zet er Invision Power Board op. Werkt echt vele malen beter!

“In a world without walls and fences, who needs Windows and Gates".

zaterdag 6 mei 2006 15:29

Acties:

McKaamos

Master of the Edit-button

of MyReact. Draait GoT ook op, en tis nog niet gehackt (toch?)

Iemand een Tina2 in de aanbieding?

zaterdag 6 mei 2006 15:33

Acties:

Verwijderd

GoT draait React, dat is heeeel wat anders

Maar idd. Ik ben met mn eigen forumpje erg tevreden over MyReact

zaterdag 6 mei 2006 15:37

Acties:

mithras

Tja, zoals anderen al zeggen, phpBB staat nou niet bekend als veilig. Er zijn zat hacks te vinden op internet om phpBB om zeep te helpen. MyReact vind ik zelf een goed alternatief. Op het forum van MyReact staat veel informatie, het is veel veiliger en persoonlijk vind ik het beter te tweaken. phpBB is wel heel bekend, en daarom kan je veel modules vinden. In MyReact is het echter makkelijker de code te veranderen voor nieuwe features.
En volgens mij kan je al je messages, forums en users van phpBB inporteren (al weet ik dat niet 100% zeker)

zaterdag 6 mei 2006 15:42

Acties:

Verwijderd

Topicstarter

Importeren in Myreact? Ik heb het toen geprobeerd maar het opzetten ervan (dus de layout enzo) gaat echt moeizaam vergeleken met phpbb. Daarom had ik ook gekozen voor phpbb. Maar goed ik zal es kijken naar React en of daarin de gegevens etc te importeren zijn.

zaterdag 6 mei 2006 16:15

Acties:

mithras

Verwijderd schreef op zaterdag 06 mei 2006 @ 15:42:
Importeren in Myreact? Ik heb het toen geprobeerd maar het opzetten ervan (dus de layout enzo) gaat echt moeizaam vergeleken met phpbb. Daarom had ik ook gekozen voor phpbb. Maar goed ik zal es kijken naar React en of daarin de gegevens etc te importeren zijn.

Eigenlijk moet je, als je alles hebt geimporteerd, dan de crisp-template gebruiken. Die is makkelijker te tunen dmv css kleurtjes en backgrounds dan de standaard meegeleverde template

zaterdag 6 mei 2006 16:18

Acties:

Verwijderd

Mocht je MyReact inclusief de nieuwe community-template willen proberen: http://myreact.mijndemo.nl/board/www/forum.php/ is je kans. Iedereen heeft daar adminrechten en zodoende kan je dus eens lekker door de zeer uitgebreide admin heensnuffelen...

[ Voor 7% gewijzigd door Verwijderd op 06-05-2006 16:19 ]

zaterdag 6 mei 2006 16:36

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op zaterdag 06 mei 2006 @ 16:18:
Mocht je MyReact inclusief de nieuwe community-template willen proberen: http://myreact.mijndemo.nl/board/www/forum.php/ is je kans. Iedereen heeft daar adminrechten en zodoende kan je dus eens lekker door de zeer uitgebreide admin heensnuffelen...

Ja zoals ik al zei had ik Myreact al es geprobeerd

Maar mischien is het een leuke tijdbesteding om deze te gaan gebruiken & zelf bij te werken.

/me dankt alle reacties...

zaterdag 6 mei 2006 16:58

Acties:

moto-moi

Ja, ik haat jou ook :w

Verwijderd schreef op zaterdag 06 mei 2006 @ 15:33:
GoT draait React, dat is heeeel wat anders

Valt mee hoor, het is uiteindelijk dezelfde code, alleen hebben wij wat l33tere features (waarvan het merendeel weer uitstaat

)

Mithras86 schreef op zaterdag 06 mei 2006 @ 15:37:
Op het forum van MyReact staat veel informatie, het is veel veiliger en persoonlijk vind ik het beter te tweaken.

Hoe weet je of iets veiliger is als je de broncode er nog nooit van hebt gezien ? 'Voordeel' van React is dat het niet veel gebruikt is, de code niet zichbaar is, en je dus in ieder geval security-by-obscurity hebt bij een eventuele hetzelfde aantal bugs in phpbb & React.

phpBB is wel heel bekend, en daarom kan je veel modules vinden. In MyReact is het echter makkelijker de code te veranderen voor nieuwe features.

Dat is volgens mij in phpbb ook wel mogelijk,alleen ga je daar snel in de code hacken, iets wat bij myreact niet mogelijk is

God, root, what is difference? | Talga Vassternich | IBM zuigt

zaterdag 6 mei 2006 18:15

Acties:

Verwijderd

Valt mee hoor, het is uiteindelijk dezelfde code, alleen hebben wij wat l33tere features (waarvan het merendeel weer uitstaat )

.Je kan voor zover ik weet Myreact op 1 server draaien, terwijl je bij React dat over meerdere servers kan verdelen. Verder kan je met een Central User Base werken dus dat is wel makkelijk in samenwerking met een homepage. Er kunnen ook velden toegevoegd worden in het profiel, wat wellicht handig kan zijn voor een forum met 1 bepaald onderwerp... Bijvoorbeeld: "Wat voor fiets heb je?" Dat kunnen voor grotere sites/fora wel een belangrijk verschil zijn om voor React te kiezen denk ik.

zaterdag 6 mei 2006 18:46

Acties:

moto-moi

Ja, ik haat jou ook :w

Verwijderd schreef op zaterdag 06 mei 2006 @ 18:15:
Je kan voor zover ik weet Myreact op 1 server draaien, terwijl je bij React dat over meerdere servers kan verdelen.\

React heeft echt geen idee dat we het @ GoT op meerdere servers draaien hoor? Of het licentietechnisch wel of niet mag heb ik geen idee van, ik heb niet zo'n behoefte om ook nog in m'n vrije tijd een myreact forum te draaien

Verder kan je met een Central User Base werken dus dat is wel makkelijk in samenwerking met een homepage.

Wat heeft dat met elkaar te maken? Je kunt prima een eigen site maken die gebruik maakt van de myreact sessies hoor ?

Er kunnen ook velden toegevoegd worden in het profiel, wat wellicht handig kan zijn voor een forum met 1 bepaald onderwerp... Bijvoorbeeld: "Wat voor fiets heb je?"

Mjah, tis nog steeds 'gewoon' een mysql database, dus extra velden toevoegen moet mogelijk zijn, dat het niet mag van de licentie is natuurlijk niet iets waar ik wat aan kan doen

Dat kunnen voor grotere sites/fora wel een belangrijk verschil zijn om voor React te kiezen denk ik.

Grootste verschil is volgens mij het aantal concurrent users die je mag gebruiken, techzine draait ook maar op een myreact installatie hoor

God, root, what is difference? | Talga Vassternich | IBM zuigt

zaterdag 6 mei 2006 19:36

Acties:

Verwijderd

Ik heb me er nooit echt heel erg in verdiept wat wel en niet mogelijk is met de database en wat ik "mis" als MyReact gebruiker t.o.v. een React forum. Wat je zegt klinkt inderdaad wel logisch.... (grr..

)

Ik heb het nog even opgezocht wat volgens de site van MyReact precies de verschillen zijn tussen deze twee versies:

quote: http://www.myreact.nl/index.php?PageID=10
React custom development interface
Zelf nieuwe acties definiëren binnen React, waarmee men volledig gebruik kan maken van de React template-parser, rechtenstructuur en variabelen.

Central user database
De optionele central user database maakt een eenmalige registratie van gebruikers mogelijk waardoor zij van meerdere React professional platforms gebruik kunnen maken met hun persoonlijke profiel.

Custom Topic, User en Message Fields
Bepaal zelf welke velden men bij het profiel kan invoeren, of welke velden er naast het standaard invoerveld beschikbaar zijn bij berichten.

XML-input
Vanuit andere applicaties kan de XML input gebruikt worden om informatie in React op te slaan.

Wellicht dat met de bovengenoemde mogelijkheden bedoeld wordt dat het vanuit de Admin configureerbaar is oid

zondag 7 mei 2006 10:32

Acties:

bartvb

Als je veilig wilt overstappen op een closed source oplossing?

Grote voordeel van React is wel dat de gemiddelde scriptkiddie het niet wil hacken, geen source beschikbaar (security through obscurity werkt hier waarschijnlijk wel) en een veel te kleine installed base om een interessante target te zijn.

zondag 7 mei 2006 10:53

Acties:

Verwijderd

Topicstarter

Ik heb ook nu een versie gedownload, en ja je kan messages / Users / forumlayout importeren vanaf phpbb naar React

Ik heb nog ff problemen met het installeren ervan omdat php op safe mode draait, en ik momenteel geen toegang heb 'm van safe mode af te halen

zondag 7 mei 2006 11:24

Acties:

moto-moi

Ja, ik haat jou ook :w

Dit gaat sowieso totaal niet (meer) over Internetproviders en Hosting, dus ff een tikje naar Beveiliging & Virussen

God, root, what is difference? | Talga Vassternich | IBM zuigt

maandag 8 mei 2006 15:05

Acties:

Verwijderd

Topicstarter

Nou ja om een nieuw topic maar te openen is niet echt de moeite waard. Ik heb het phpbb Importeer bestandje van myreact.nl gepakt en die uitgevoerd. Ik krijg gelijk de melding dattie niet naar de Mysql database kan connecten. Ik heb voor zover ik weet wel de juiste gegevens ingevoerd maar ik twijfel over de volgorde ervan

mysql_connect('wachtwoord,'databasenaam?','localhost?') or die ("Failed to connect to server: ".mysql_error());

Het bestandje is hier te downloaden. Er staat ook verder geen help bij dus ik neem aan dat ik dit bestandje gewoon de Root van m'n website moet zetten.

maandag 8 mei 2006 15:11

Acties:

Vae Victis

Dark Lord of the Sith

[google=mysql_connect]
1st hit: mysql_connect

Je volgorde is verkeerd.

maandag 8 mei 2006 15:28

Acties:

Verwijderd

Topicstarter

Thanks. Die stond idd verkeerd aldus jou link

Maar nu heb nogmaals een probleem

En ik ben niet echt geweldig met php & mysql.

mysql_connect(localhost,databasenaam,databasepassword) or die ("Failed to connect to server: ".mysql_error());

Voer ik het uit vanuit de webserver krijg ik :

Failed to connect to server: Access denied for user "geknipteUsernaam@localhost'(using password: YES)

Ik heb de settings allemaal nagelopen mbt databasenaam & password. Zou het zijn omdat Php op safe draait mischien ?

maandag 8 mei 2006 15:49

Acties:

Verwijderd

Dat is een goede mogelijkheid inderdaad... Kan je niet je hoster een mailtje sturen waarom de server uberhaupt in veilige modus staat? MyReact gaat namelijk sowieso niet werken met PHP Safe Mode heb ik wel eens begrepen... Zie ook dit topic

maandag 8 mei 2006 15:59

Acties:

Verwijderd

Topicstarter

Idd. Dat gaat dus problemen opleveren. De reden waarom mijn host php op Safe heeft is omdat hij niet wil dat er bepaalde scripts uitgevoerd kunnen worden. Als myreact hieronder lijdt dan heb ik een probleem. Ik denk dat ik mijn host maar es ga mailen over een uitzondering.

maandag 8 mei 2006 16:13

Acties:

McKaamos

Master of the Edit-button

Verwijderd schreef op maandag 08 mei 2006 @ 15:59:
Idd. Dat gaat dus problemen opleveren. De reden waarom mijn host php op Safe heeft is omdat hij niet wil dat er bepaalde scripts uitgevoerd kunnen worden. Als myreact hieronder lijdt dan heb ik een probleem. Ik denk dat ik mijn host maar es ga mailen over een uitzondering.

Ik ken je host (

) en als je lief vraagt wil hij het wel uit zetten voor je.
Heeftie voor een klant van mij ook gedaan, op mijn aanvraag. Zal geen probleem worden denk ik zo, zolang je verder maar zorgt voor veilige scripts.

Iemand een Tina2 in de aanbieding?

maandag 8 mei 2006 16:16

Acties:

Verwijderd

Topicstarter

McKaamos schreef op maandag 08 mei 2006 @ 16:13:
[...]

Ik ken je host ( ) en als je lief vraagt wil hij het wel uit zetten voor je.
Heeftie voor een klant van mij ook gedaan, op mijn aanvraag. Zal geen probleem worden denk ik zo, zolang je verder maar zorgt voor veilige scripts.

Ik ook

Ik kom er nog wekelijks bij op de vloer... als hij niet die php safe mode uit wilt zetten kan ik ook stoppen met bepaalde dingen

Maar ja tis nog maar even een kwestie van afwachten op de mail.