Sicherheitsfrage, kann mir wer antworten???

[Pionier]

Mir wurde bisher nur einmal ein Forum gehackt, und das war ironischerweise das "ach so sichere" Orion mit dem CrackerTracker (und ja es war stets auf dem aktuellsten Stand).

Da den CTracker ja jeder laden kann dürfte es für Hacker auch nicht sehr schwer sein eine Lücke zu finden

Ich persönlich halte das phpBB3 für recht sicher. Wenn man nun noch auf die Mods achtet, die man einbaut, dann kann schon mal nicht soviel passieren.
Wichtig ist nur, dass die Mod geprüft und freigegeben sind. Ich möchte den Moddern nichts unterstellen, aber nicht alle achten bei ihren Mods auf Sicherheit!

[larsneo]

-d) Was kann ich tun um mich zu schützen?

zuerst einmal gute grundlagen schaffen - kontrolliere und optimiere z.b. via phpsecinfo die php-einstellungen, setze immer die aktuelle applikationssoftware ein und baue wenn überhaupt nur vertrauenswürdige modifikationen ein.

der versuch, eventuelle sicherheitsprobleme in webapplikationen durch den einsatz weiterer applikationen zu verhindern ist imho grundsätzlich zum scheitern verurteilt - wenn, sollte man dies auf serverebene (z.b. via modsecurity und co.) erledigen

[bantu]

Das wichtigste für Sicherheit in meinen Augen ist das Up-To-Date-Bleiben bei der eigentlichen Software (phpBB in diesem Fall). Betreibt man seinen eigenen Server, sollte man auch in Sachen Betriebsystem am Ball bleiben.

[Apokalypse88]

Hi all Danke für die Posts- Also ich erkläre euch die Situation. Wir sind in einem Spiel Europas größte communiy.

Ein Schwester Forum in Amerika wurde zerstört und es ist bekannt von wem. Diese werden nun uns angreifen mit 100% Sicherheit.
Ich bitte euch einfach mir zu sagen was ich tun kann.

@ Dr.Death:

Du hast auf c) [Ist ein standard Forum (also ich lasse es über meinen Webspace und Domain laufen) sicher vor Hackern?] „Ja“ geantwortet. Woher weißt du das so sicher?

@ 4seven:


„(bei ~ 50-100 Hackversuchen am Tag (wie automatisiertes ID-2 oder FTP-Admin an-checken, Injection-Versuche + ähnliche Scherze) und ~ 200 Bot-Anmeldeversuchen täglich)“


Wie habt ihr euch davor effektiv geschützt? Ich hab mir Webspace gemietet. Aber ich weiß nicht ob der sicher ist (weiß ja nicht wie die Server der Firma selbst gesichert sind).

@ Pionier:

Gibt es den für phpbb 3.01 so ein ähnliches Programm nur was besser arbeitet? Kannst du mir da etwas empfehlen?

@Larsneo:

Ist das nicht Aufgabe meines Webhosters? Ich zahle ja schliesslich dafür…

@Bantu:

Ist das nicht Aufgabe meines Webhosters? Ich zahle ja schliesslich dafü...

Gesamtfrage an alle:

Wenn man ein phpbb 3.01 Forum über eine Domain mit eigenem gemieteten Webspace laufen lässt, ist dies sicher ?
Oder kann ioh irgendetwas anderes tun um es zu schützen???

Wie zmb gegen Dinge aus dem Beitrag von 4seven ???

[gn#36]

Also...

Es kann niemals 100% Sicherheit geben. Nach dem aktuellen Stand der Dinge ist aber ein phpBB3 Forum genau wie ein phpBB2 Forum jeweils ohne eingebaute Mods sicher (mit Mods ist auch der Cracker Tracker gemeint, weshalb ich bei einem mit CT ausgestatteten Forum nicht mehr unbedingt sagen könnte dass es sicher ist, denn jeder Mod und jeder Modeinbau kann für neue Lücken sorgen). Das kann immer nur für den aktuellen Stand gelten wie bei jeder anderen Software auch, also z.b. auch sämtliche Betriebssysteme, CMS und eben auch Forensysteme wie phpBB.

Somit kann unter diesem Gesichtspunkt Dr.Death durchaus behaupten, dass ein Standard Forum sicher ist, denn es gibt keinerlei bekannte Sicherheitslücken im aktuellen Stand (bei älteren Versionen dagegen durchaus).

Daraus folgt automatisch, dass ich keine weiteren Vorkehrungen mehr gegen Angriffe brauche, denn wenn mein Forum sicher ist, dann kommen die Angriffe nicht durch. Ein Mod, der lediglich die Sicherheit erhöhen soll ist in meinen Augen kein Mod, denn entweder werden Sicherheitslücken gestopft (dann ist es ein Patch und gehört in den Security-Tracker auf phpbb.com) oder die Änderung ist überflüssig weil es auf den Betrieb des Forums eigentlich keinen Einfluss hat. (Der Cracker Tracker macht allerdings auch noch andere Dinge wenn ich mich nicht irre, die dann für sich genommen vielleicht wieder sinnvoll sind).

Alle den Server betreffenden Dinge sollten vom Hoster bei bezahltem Webspace (ungleich Rootserver) eigentlich erledigt werden.

[bantu]

@Bantu: Ist das nicht Aufgabe meines Webhosters? Ich zahle ja schliesslich dafü...

Das kommt drauf an. Wenn du einen "Dedicated Server" (auch Rootserver) hast, bist du für den Server vollkommen selbst zuständig. Wenn du "Shared Hosting" oder "Web Hosting" hast, werden Betriebsystemupdates vom Provider bereitgestellt. Aber auch da kann es zu Patzern kommen. In der Regel werden nämlich nicht die neusten Pakete verwendet. Backups solltest du dir trotzdem in regelmäßigen Abständen anlegen. Ein "Managed Server" wäre wie Shared Hosting nur mit eigenem Server (der Performance wegen).

Dennoch: Um die Boardsoftware musst du dich aber in 99% aller Fälle immer selbst kümmern.

Die Namen der Pakete entsprechen den gängigen Tarifbezeichnungen und können unter Umständen bei deinem Provider anderst heißen.

[Apokalypse88]

Ok dass ich mich selber drum kümmern muss ist mir klar.

Jetzt ist endlich die Rede von einem "Security Tracker" was hat es damit auf sich????

[gn#36]

Ganz einfach: Das System, mit dem die Entwickler des phpBB sicherheitskritische Fehler, die von anderen im System entdeckt wurden aufnimmt. Bis zu deren Korrektur sind diese nicht öffentlich, so dass während der Reparaturphase kein Hacker, der es nicht selbst herausfindet davon erfahren sollte.

http://www.phpbb.com/security/

[4seven]

mit feintuning sein forum sicher macht

Server

- wenn managed-server , dann > Kein Geld am falschen(!) Provider sparen. Auf renommierte, in Sicherheitsbelangen gut bewertete Provider umsteigen (Backupfrage!). Nicht 1,73 € sparen wollen, wenn es darum geht ein "ordentliches Forum", also kein 0815-Forum, betreiben zu wollen

- Immer auf neueste php, MySql, phpMyAdmin-Versionen etc achten. Wenn der Anbieter da schlampt, auf seine Pflicht hinweisen, zur Not umziehen. Bei Self-Managed (auch wenn es noch so unbequem ist, Updates sofort einspielen) weil im Augenblick des Entdeckens "herstellerseits" meist schon 225.000 Hacker Bescheid wissen + Zeitverzug + Bugfixing + Releasezeit + Downloadbereitstellung bla.

- wenn nötig (gilt auch und gerade für selbstverwaltete Server) Feintuning betreiben. Beispiel > php.ini abspecken. Unnötige Einträge nicht nur auskommentieren, sondern raus damit. Files schlank und übersichtlich halten. Das gilt ebenso für die my.ini im SQL. Alles was nicht zwingend benötigt wird, raus damit. Zur Not recherchieren und checken.

- Wichtiger, oft unterschätzter Punkt > phpMyadmin und Formulare. phpMyAdmin abschotten > Files locken. Diese nur de-locken, wenn benötigt. Danach wieder dicht machen. Auch Unterkonfigurations-Seiten, alles was zum steuern und eintragen dient mindestens mit .htaccess schützen (deny all). Besser > Zusätzliches Script zum "dichtmachen" (locken) entwickeln. Dabei die Scripts nur temporär auf den Server spielen. Jeweils nach dem ausführen wieder entfernen usw.

- Benutzer root gleich bei Einrichtung aus dem SQL rausschmeißen, eigenen Benutzer anlegen. Harte Passwörter verwenden (gilt sowieso und überall > Wichtig: Immer mit Zahlen beginnen (nicht fragen warum, ist so), dann Buchstaben groß klein usw. mal wieder Zahlen. Mit Sonderzeichen würzen). Datenbankspezifische Rechte + "eingeschränkten" Benutzer für diese Datenbank vergeben > soviel wie nötig, so wenig wie möglich.

- Über 512byte große "blanke Seite" für alle 4**- und 5**- Fehlerseiten. Keine Info über Nichts bieten (betrifft zb. Apache-Fehlerseiten, die schonmal Aufschluß über die Architektur bieten). Jeden kleinen Winkel des Spaces auf "unabgedeckte" neutrale Fehlerseiten checken.

- hab nur die wichtigsten Punkte genannt, evtl. später mehr

Forum

- s.o. immer auf dem neuesten Stand (nicht wegen 2 Std "Ich muss ja dann Mods neu installieren Heulerei") Wochen verstreichen lassen. Die Profis "da oben" machen das nicht um euch zu ärgern. Es geht dabei neben dem stopfen von Funktionsfehlern und Sicherheitslücken natürlich auch um Verbesserungen und einen weltweiten Ruf (nicht vergessen) und um vbull.. und wb.., die immer mal wieder gerne mit Fingern drauf zeigen, etc.

- eine ordentliche .htaccess (ist zwar für das 2er, aber es gibt aktualisierte Versionen (einfach mal danach googlen)
http://www.phpbb.de/viewtopic.php?p=839257#839257

- Nur code-technisch saubere Mods einspielen. Überlegen, welche Spielereien man braucht oder ob diskutieren nicht vielleicht doch der Sinn eines Forums ist. Reden vs. Effekthascherei usw. Wenn einige (kleinere) Dinge benötigt werden, möglichst selbst programmieren. Manuelle (eigene) Lösungen entwickeln > je schlanker, desto besser. Minimalinvasives Handeln angewöhnen. Selbst denken, selbst machen.

- Zwischendurch mal wieder das Passwort erwähnt

- Nur einen Admin (keine Ausnahmen). Alles selbst machen und logo > Niemals das FTP Serverlogin + Forenpasswort + überhaupt gar kein Passwort auch nur der kleinen Schwester verraten.

- "Beliebte" Anmeldefelder im phpbb(2)3 komplett entfernen, nicht nur ausblenden

Also nur

- Nickname
- Passwort
- Email

Fertig..

..der Rest kann später vom User (nach Freischaltung) im Profil eingetragen werden.

- Freischaltung durch Admin aktivieren (der User kann warten)

- Variablen der Anmeldeprozedur ändern, ich such noch einen Link dazu (ahja > s.u. > Bots)

- Oft und gerne vergessen > Der Admin-Email-Account. Dinge wie Automatisches einloggen > Emailprogramm etc pp.
Szenario: Passwort vergessen > "Bitte senden sie mir jetzt das Adminpasswort zu" > Thunderbird > Klick > Auf Wiedersehen (also > auch auf seinen Rechner ein wenig acht geben) Thunderbird kann zb mit Passwort versehen werden etc. Evtl. Autovervollständigen im Browser überdenken.

- Vertraue niemandem

- Vertraue nochmals niemanden und benutze einen ordentlichen Browser (also alles außer IE) Kleiner Tip: Zur Zeit ist Safari der sicherste Browser

Computer

- Was nützt dein Masterhirn, wenn zuhause ein Keylogger, Trojaner etc. deine Tastaturanschläge und deine Zwischenablage überwacht und freundliche Status-Mails an derliebehacker@uebersee.co sendet. Also halte dein System sauber. Bei Verdacht oder im schlimmsten Falle einer Infektion > Alles gründlich bereinigen. Ab Faktor X alles komplett neu aufspielen > Alle Passwörter ändern, auch wenn es noch so nervt. Überlege, ob man wirklich jede Schmuddelseite besuchen muss, oder bau dir einen eigenen Rechner für solche "Ausflüge" auf. Halte deinen "Haupt-Arbeitsrechner" sauber.

Bots

Seitdem war absolut Ruhe > Die Kombi lässt sich easy aufs 3er portieren
http://www.phpbb.de/viewtopic.php?p=918946#918946


Ich denke mal, ich hab einiges vergessen, aber soviel erstmal dazu

Und wie gn#36 schon sagte: Es kann niemals 100% Sicherheit geben.

Aber so kann man zumindest mit "an Sicherheit grenzender Warscheinlichkeit" an die 98 - 99% erreichen.