Włamania - dziurawa strona

[Rafal]

* 2005/02/28 19:49 - podmiana pliku index.php w katalogu głównym i forum.

Ale przynajmniej mam darmowy link ze strony:

'https://www.zone-h.org/en/defacements/view/id=2126096/

* Piszę do mojego admina i otrzymuję odpowiedź:

Witam

Niestety, korzystanie z gotowych mechanizmów jak PHPBB, lub PHPNuke nie jest bezpiecznym rozwiązaniem. Po wypuszczeniu przez producentów nowej wersji dość szybko pojawiają się na internecie informacje jak się na nie włamywać, i są one dość często wykorzystywane.

Najczęściej, w przypadku podmiany pliku .php na koncie, wykorzystywana 

jest  funkcja include(). Np. w plikach PHPBB na Pana koncie są odwołania:

include($phpbb_root_path . 'common.'.$phpEx);

wywołując plik z taką linijką można podać mu w adresie 

phpbb_root_path="https://inny.serwer" i umieścić w podanej lokalizacji 

plik common.php, który podmiany dokona używając funkcji fopen().

Można się przed tym uchronić wyłączając taką możliwość, czyli wpliku 

php.ini wyłączyć opcję allow_url_fopen, jednak prosił Pan we 

wcześniejszym mailu o nie wyłączanie tej funkcji.

Tzn. prosiłem o włączenie tej opcji, ale teraz mam wyłączoną (poprosiłem o to).

* Dziś znowu podmiana pliku...

-=[2600 waz here]=-

(Oczywiście nie podejrzewam nikogo konkretnego z forum )

... czyli wyłączenie tej funkcji nie pomogło.

W sumie to nie mam do nikogo pretensji, bo strony mi nie psują (ale już Google wszedł jak była podmieniona :? ), a za to wiem, że nie jest wystarczająco dobrze zabezpieczona. (i ten link darmowy)

Przejdę do rzeczy.

Jak się zabezpieczyć? (Info. dla Jeża: mówię o mojej stronie i PHP)

Na razie mogę załatać krytyczne dziury w phpBB - https://www.phpbb.com/phpBB/viewtopic.php?f=14&t=267563

ale nic więcej nie przychodzi mi do głowy.

Czy samo includowanie, czyli polecenie <? include "plik.php"; ?> może być takie niebezpieczne?

W końcu chyba będę musiał się wziąć za naukę PHP...

[EDDY]

Zrób upgrade forum do 2.0.13

[MMP]

A więc tak

include($phpbb_root_path . 'common.'.$phpEx);

Jeżeżeli wczesniej masz zdefiniowane $phpbb_root_path to jest ok i to napewno nie przez to!!!

Jeżeli nie masz zdefiniowego i przez to został dokonany włam SZYBKO zmien serwer bo nie jest zablokowana jedna funkcja php

:-)

[nrm]

po pierwsze: phpBB rzeczywiście jest strasznie dziurawe

po drugie: sam się "włamałem" na dwa polskie fora. nic nie zrobiłem. nic nie skasowałem, w ogóle nic nie zrobiłem oprócz wylistowania pliku config.php z hasłami do mysqla. chciałem jedynie sprawdzić, czy rzeczywiście to jest takie proste. jest.

po trzecie: mam dosyć phpBB, zmieniłem na lepsze.

po czwarte: phpBB juz nie mam, za to scriptkiddies chyba nie rozróżniają wersji bo w logach nadal widze wywołania topic&highlight=x45/x34/ etc.