Sicherheit phpBB? - Schotten dicht

Probleme bei der regulären Arbeiten mit phpBB, Fragen zu Vorgehensweisen oder Funktionsweise sowie sonstige Fragen zu phpBB im Allgemeinen.
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
Antworten
Metis
Mitglied
Beiträge: 7
Registriert: 19.08.2005 19:27
Kontaktdaten:
Kontaktdaten von Metis

Sicherheit phpBB? - Schotten dicht

Beitrag von Metis »

Hallo,

Was sollte man noch zusätzlich tun um sein Forum Sicher zu machen?

Gefunden habe ich eine .htaccess Lösung ( ist das noch aktuell)?

Code: Alles auswählen

RewriteEngine On 

# prevent access from santy webworm 
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [OR] 
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR] 
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR] 
RewriteCond %{QUERY_STRING} ^(.*)wget\%20 
RewriteRule ^.*$ http://127.0.0.1/ [R,L] 

# prevent pre php 4.3.10 bug 
RewriteCond %{HTTP_COOKIE}% s:(.*):\%22test1\%22\%3b 
RewriteRule ^.*$ http://127.0.0.1/ [R,L] 

# prevent perl user agent (most often used by santy) 
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [NC] 
RewriteRule ^.*$ http://127.0.0.1/ [R,L]
Welcher Mod ist empfehlenswert zum Thema Sicherheit?

Ich danke euch jetzt schon
Metis
----------------------------------------------------
Metis entdeckt am 25 April 1848 von Graham in Irland
Nach oben
Benutzeravatar
gloriosa
Mitglied
Beiträge: 13770
Registriert: 04.01.2005 20:23
Wohnort: Landeshauptstadt Erfurt

Hinweis

Beitrag von gloriosa »

Hallo,
zu dieser Thematik gibt es in der Knowledge Base den Artikel So mache ich mein Board sicher ! :D
Viele Grüße - gloriosa :D
Die einen schützen sich vor frischem Wind, während die anderen ihn nutzen.
Kein kostenloser MOD-Einbau usw. bzw. Support via PN, Email oder IRC !
Nach oben
Metis
Mitglied
Beiträge: 7
Registriert: 19.08.2005 19:27
Kontaktdaten:
Kontaktdaten von Metis

Beitrag von Metis »

Hallo,

Der Artikel erscheint mir schon etwas in die "Jahre" gekommen zu sein..
Verfasst am: 15.08.2003 21:48 Titel: So mache ich mein Board sicher
Von daher meine Frage ... Sicherheit heute.

Metis
----------------------------------------------------
Metis entdeckt am 25 April 1848 von Graham in Irland
Nach oben
Dennis63
Ehemaliges Teammitglied
Beiträge: 2597
Registriert: 02.07.2003 18:46

Beitrag von Dennis63 »

Nun, die Möglichkeiten, eine PHP4 Software sicherer zu machen haben sich in den letzen Monaten/Jahren sicherlich nicht stark geändert.

Die größte Sicherheit selber muss die Software bieten. Also das phpBB. Und hier werden Sicherheitslücken schnell behoben.

Auch ohne zusätzlichen Schutz ist ein phpBB sicher genug. Nur es gibt halt Serverbedingte oder PHPbedingte Möglichkeiten für mehr Sicherheit, die das phpBB nicht oder nur sehr schwer bieten kann.

Das wären z.B. die Mod-Rewrite-Regeln. Oder eine .htaccess - Beides kann das phpBB nicht machen, da beides nur auf Apache-Servern möglich ist. Auf IIServern geht das dann ganz anders.

Und solche Sachen stehen in dem oben genannten Beitrag. Und da der Beitrag für Apache2 und PHP4 ist, sind die Möglichkeiten vor 2 Jahren noch die gleichen wie heute.


Grüße
Dennis
Nach oben
Metis
Mitglied
Beiträge: 7
Registriert: 19.08.2005 19:27
Kontaktdaten:
Kontaktdaten von Metis

Beitrag von Metis »

Hallo Dennis Böge

danke für Deine Antwort.

Da meine Kenntnisse zu Angriffsmethoden eher oberflächlich sind. Bin ich dort auf Hilfe angewiesen.

Inwieweit eine Validierung Request-Parameter innerhalb von phpBB erfolgt habe ich noch nicht untersucht.

Ich könnte mir auch vorstellen ein Tracking System welches bei einen Angriff greift.
Beispiel:

100 Anfragen (gleiche IP oder ähnliches ) innerhalb einer Zeit = Angriff
IP bannen.

Dennoch sind meine Kenntnisse zu bescheiden.

Metis
----------------------------------------------------
Metis entdeckt am 25 April 1848 von Graham in Irland
Nach oben
Dennis63
Ehemaliges Teammitglied
Beiträge: 2597
Registriert: 02.07.2003 18:46

Beitrag von Dennis63 »

>> Inwieweit eine Validierung Request-Parameter innerhalb von phpBB erfolgt habe ich noch nicht untersucht.
Vollsändig nach aktuellem Kennnisstand. Die letzen 5 (?) neuen Versionen erfolgten, weil jemand in dem Bereich nen Fehler gefunden hatte.


>> 100 Anfragen (gleiche IP oder ähnliches ) innerhalb einer Zeit = Angriff
Sowas macht eine "Firewall" (nicht verwechseln mit den personal Walls, die fälschlicher Weise als Fiewall bezeichnet werden) - Die kostet aber auch einige Euros.

Grüße
Dennis
Nach oben
Benutzeravatar
S2B
Ehemaliges Teammitglied
Beiträge: 3258
Registriert: 10.08.2004 22:48
Wohnort: Aachen
Kontaktdaten:
Kontaktdaten von S2B

Beitrag von S2B »

Wie wär's mit dem:

MODL:crack_track
Gruß, S2B
Keinen Support per ICQ/PM!
Hier kann man meine PHP-Skripte und meine MODs für phpBB runterladen.
Nach oben
Metis
Mitglied
Beiträge: 7
Registriert: 19.08.2005 19:27
Kontaktdaten:
Kontaktdaten von Metis

Beitrag von Metis »

@S2B

Das sieht schon mal gut aus!
super Danke

Und das ganze noch mit Nutzung der Shared Memory und schon sollte alles gut werden :lol:

Metis
----------------------------------------------------
Metis entdeckt am 25 April 1848 von Graham in Irland
Nach oben
IPB_Flüchtling
Mitglied
Beiträge: 1862
Registriert: 23.12.2004 22:46

Beitrag von IPB_Flüchtling »

Hallo,

hätte auch eine Frage: Ist die von Metis im Startthread gepostete .htaccess-Lösung gleich gut oder vielleicht sogar besser als die Folgende?

Code: Alles auswählen

RewriteEngine on
RewriteCond %{HTTP_REFERER} ^.*$
RewriteRule ^.*%27.*$ http://127.0.0.1/ [redirect,last]
RewriteRule ^.*%25.*$ http://127.0.0.1/ [redirect,last]
RewriteRule ^.*rush=.*$ http://127.0.0.1/ [redirect,last]
RewriteRule ^.*echr.*$ http://127.0.0.1/ [redirect,last]
RewriteRule ^.*esystem.*$ http://127.0.0.1/ [redirect,last]
RewriteRule ^.*wget.*$ http://127.0.0.1/ [redirect,last]

# prevent pre php 4.3.10 bug 
RewriteCond %{HTTP_COOKIE}% s:(.*):\%22test1\%22\%3b 
RewriteRule ^.*$ http://127.0.0.1/ [R,L] 

# prevent perl user agent (most often used by santy)
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [NC] 
RewriteRule ^.*$ http://127.0.0.1/ [R,L]
RewriteCond %{HTTP_REFERER} ^.*$
Quelle: http://www.in-my-opinion.org/in-my-opinion-3734.html

Kenne mich diesbezüglich leider echt nicht aus. Zumindest optisch unterscheiden sich die beiden Varianten aber schon.

Achja, in der von mir zitierten Quelle steht auch: "Moreover it will also protect you against other bugs and worms". Das heißt also, dass es nach wie vor sinnvoll ist, eine derartige .htaccess zu benutzen, auch wenn der Santy-Wurm mittlerweile Geschichte ist?

LG, IPB_Flüchtling
Nach oben
Antworten

Zurück zu „phpBB 2.0: Administration, Benutzung und Betrieb“