Forensicherheit für Dumme
Verfasst: 29.11.2008 20:37
Vorweg
Hallo phpBB Community,
ich habe eine Weile die Suche benutzt und bin fündig geworden. Dadurch haben sich mir nun aber einige neue Fragen aufgeworfen, für die ich aber scheinbar zu blöd bin Antworten zu finden die ich auch verstehe.
Wichtig
Ich habe noch nie ein Forum betreut, sondern war in eben diesen immer nur als User oder Moderator tätig. Die einzige "Erfahrung" die ich als Administrator in einem Forum habe stammt von meinen Spielereien mit XAMPP. Soll heißen ich habe mir unter anderem das aktuelle phpBB runtergeladen und lokal installiert.
Das Forum welches ich einrichten möchte wird voraussichtlich nur 1 Monat bestand haben, und von 15 Usern (inklusive mir) genutzt werden. Aus diesem Grund würde ich mich als Hoster für Funpic entscheiden.
Ich erwähne das, damit ihr wisst, das ihr eure Zeit nur für ein voraussichtlich kurzfristiges Projekt investieren würdet. Deshalb auch die besondere farbliche Hervorhebung von "Wichtig".
Zwar hege ich schon länger den Gedanken mein eigenes Forum zu eröffnen, wofür ich die Erkenntnisse aus diesem Thread verwenden könnte, aber für ein langfristiges Projekt ist es meiner Meinung nach noch deutlich zu früh.
Als Forum habe ich mich für das phpBB entschieden - sonst würde ich hier ja nicht posten. *g* Das optische Design möchte ich nicht ändern. Modifikationen möchte ich keine nutzen - es sei denn sie heben die Sicherheit. Desweiteren sollen sich die User nicht selber registrieren können, das mache ich.
Nun zu meinen Fragen
1.) Wenn für das Forum ein Update erscheint und ich dieses installiere, bleiben dann im Verzeichnis des Forums irgendwelche Ordner übrig die ich löschen kann, oder sogar wie beim installieren des Forums den "install" Ordner löschen sollte?
2.) Welche Ordner/Dateien soll ich denn nun für eine höhere Sicherheit per .htaccess schützen? Ich habe unter anderem davon gelesen (und hoffentlich auch richtig verstanden), das man in sein root eine .htaccess mit diesem code von mgutt legen kann..
... in die Verzeichnisse:
db/
languages/
templates/{TEMPLATENAME}/admin/
eine .htaccess mit
...und in den Ordner:
includes/
So eine .htaccess
Desweiteren habe ich davon gelesen das man seine .htaccsess Passwörter in reinform hinterlegen, oder per Crpyt und MD5 verschlüsseln kann. Meine Frage ist nun, sind die Passwörter von hier - http://www.phpbb.de/diverses/htpasswd.php - per Crypt oder MD5 verschlüsselt?
3.) Was hat es mit "register_globals=off", bez. "php_flag register_globals off" auf sich? Sind diese in der aktuellen PHP Version Standardmäßig auf aus oder gleich ganz weg?
4.) ist das hier...
Und ist dies hier - http://www.blog.cback.de/?p=33 - Sinnvoll/überhaupt noch nötig?
5.) Hat schon jemand mit der Gzip Komprimierung in Verbindung mit funpic Erfahrungen, und kann mir sagen ob es sinnvoller ist sie an oder aus zu schalten?
6.) Keine Frage im eigentlichen Sinne. Aber ich bin für jeden Tipp zur Entlastung des Servers dankbar. Zwar müsste das Forum bei gerade einmal 15 Usern selbst bei funpic schnell sein, aber ich muss den Server ja nicht mehr belasten als es nötig ist.
Eine auf die Funktionen dieses Forums bezogene Frage
7.) Wieso gibt es hier denn keinen [spoiler] Code? Dadurch wäre mein Posting nicht ganz so groß geworden.
Vielen Danke im Voraus.
Red Ruesday
Hallo phpBB Community,
ich habe eine Weile die Suche benutzt und bin fündig geworden. Dadurch haben sich mir nun aber einige neue Fragen aufgeworfen, für die ich aber scheinbar zu blöd bin Antworten zu finden die ich auch verstehe.
Wichtig
Ich habe noch nie ein Forum betreut, sondern war in eben diesen immer nur als User oder Moderator tätig. Die einzige "Erfahrung" die ich als Administrator in einem Forum habe stammt von meinen Spielereien mit XAMPP. Soll heißen ich habe mir unter anderem das aktuelle phpBB runtergeladen und lokal installiert.
Das Forum welches ich einrichten möchte wird voraussichtlich nur 1 Monat bestand haben, und von 15 Usern (inklusive mir) genutzt werden. Aus diesem Grund würde ich mich als Hoster für Funpic entscheiden.
Ich erwähne das, damit ihr wisst, das ihr eure Zeit nur für ein voraussichtlich kurzfristiges Projekt investieren würdet. Deshalb auch die besondere farbliche Hervorhebung von "Wichtig".
Zwar hege ich schon länger den Gedanken mein eigenes Forum zu eröffnen, wofür ich die Erkenntnisse aus diesem Thread verwenden könnte, aber für ein langfristiges Projekt ist es meiner Meinung nach noch deutlich zu früh.
Als Forum habe ich mich für das phpBB entschieden - sonst würde ich hier ja nicht posten. *g* Das optische Design möchte ich nicht ändern. Modifikationen möchte ich keine nutzen - es sei denn sie heben die Sicherheit. Desweiteren sollen sich die User nicht selber registrieren können, das mache ich.
Nun zu meinen Fragen
1.) Wenn für das Forum ein Update erscheint und ich dieses installiere, bleiben dann im Verzeichnis des Forums irgendwelche Ordner übrig die ich löschen kann, oder sogar wie beim installieren des Forums den "install" Ordner löschen sollte?
2.) Welche Ordner/Dateien soll ich denn nun für eine höhere Sicherheit per .htaccess schützen? Ich habe unter anderem davon gelesen (und hoffentlich auch richtig verstanden), das man in sein root eine .htaccess mit diesem code von mgutt legen kann..
Code: Alles auswählen
<Files config.php>
Deny from all
</Files>
DirectoryIndex index.htm index.php index.html
# Note: If you receive an Server Error Message "500" contact
# your local provider to let him set this configs
# Note: "safe_mode" can only been set in php.ini OR httpd.conf
# "safe_mode = off" is recommend, but only if your server
# has set more security configs. Otherwise "on" is recommend
# allow register globals
php_flag register_globals off
# allow backslash escaping for Get / Post / Cookie
php_flag magic_quotes_gpc on
# forbid files without extensions
# it can only been set if AllowOverride is set
AcceptPathInfo off
RewriteEngine on
# security settings
RewriteCond %{QUERY_STRING} ^(.*)wget\%20 [OR,NC]
RewriteCond %{QUERY_STRING} ^(.*)fetch\%20 [OR,NC]
RewriteCond %{QUERY_STRING} ^(.*)echr(.*) [OR,NC]
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR,NC]
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR,NC]
RewriteCond %{QUERY_STRING} ^(.*)esystem(.*) [OR,NC]
RewriteCond %{QUERY_STRING} ^(.*)passthru(.*) [OR,NC]
RewriteCond %{QUERY_STRING} ^(.*)\.printf\( [OR,NC]
RewriteCond %{QUERY_STRING} ^(.*)cmd [OR,NC]
RewriteCond %{QUERY_STRING} ^(.*)\%27(.*) [OR,NC]
RewriteCond %{QUERY_STRING} ^(.*)"(.*) [OR,NC]
RewriteCond %{QUERY_STRING} ^(.*)\%22(.*) [OR,NC]
RewriteCond %{QUERY_STRING} ^(.*)`(.*) [OR,NC]
RewriteCond %{QUERY_STRING} ^(.*)\%60(.*) [OR,NC]
RewriteCond %{QUERY_STRING} ^(.*)\%25(.*) [OR,NC]
RewriteCond %{QUERY_STRING} ^(.*)=http://(.*) [OR,NC]
RewriteCond %{QUERY_STRING} ^(.*)=http\%3A\%2F\%2F(.*) [OR,NC]
RewriteCond %{QUERY_STRING} ^(.*)=ftp://(.*) [OR,NC]
RewriteCond %{QUERY_STRING} ^(.*)=ftp\%3A\%2F\%2F(.*) [OR,NC]
RewriteCond %{QUERY_STRING} ^(.*)=https://(.*) [OR,NC]
RewriteCond %{QUERY_STRING} ^(.*)=https\%3A\%2F\%2F(.*) [OR,NC]
RewriteCond %{QUERY_STRING} ^(.*)alert\(document(.*) [OR,NC]
RewriteCond %{QUERY_STRING} ^(.*)union(.*) [OR,NC]
RewriteCond %{QUERY_STRING} ^(.*)sql_injection(.*) [OR,NC]
RewriteCond %{QUERY_STRING} ^(.*)phpbb_root_path=(.*) [OR,NC]
RewriteCond %{QUERY_STRING} ^(.*)configdir(.*) [OR,NC]
RewriteCond %{QUERY_STRING} ^(.*)curl(.*) [OR,NC]
RewriteCond %{QUERY_STRING} ^(.*)lynx(.*) [OR,NC]
RewriteCond %{QUERY_STRING} ^(.*)w3\%20(.*) [OR,NC]
RewriteCond %{HTTP_COOKIE}% s:(.*):\%22test1\%22\%3b [OR,NC]
RewriteCond %{QUERY_STRING} .*'.* [OR,NC]
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [OR,NC]
RewriteCond %{HTTP_USER_AGENT} ^Python* [OR,NC]
RewriteCond %{HTTP_USER_AGENT} Twiceler-0.9 [OR,NC]
RewriteCond %{HTTP_USER_AGENT} Baiduspider+ [NC]
RewriteRule ^.*$ http://127.0.0.1/ [R,L]db/
languages/
templates/{TEMPLATENAME}/admin/
eine .htaccess mit
Code: Alles auswählen
<Limit GET POST PUT>
Order Allow,Deny
Deny from All
</Limit>includes/
So eine .htaccess
Code: Alles auswählen
<FilesMatch "\.php$" >
deny from all
</FilesMatch>3.) Was hat es mit "register_globals=off", bez. "php_flag register_globals off" auf sich? Sind diese in der aktuellen PHP Version Standardmäßig auf aus oder gleich ganz weg?
4.) ist das hier...
...auch noch im phpBB 3.0 möglich?de$ert hat geschrieben:Hallo auf www.goped-action.de weht nun der schöne halbmond.
Komig ist nur das man bei http://www.goped-action.de/forum/ nichts mehr davon sieht ? Habe die Board version 2.0.19 und wollte eigentlich heute abend auf 2.0.20 updaten da ich bis jetzt keine zeit dazu gefunden habe. Habe auch nach der anleitung aus der KB gehandelt und mein board direkt deaktiviert.
Anscheinend ist er über die KB Base in meinem forum reingekommen, das hat mir mein provider geschickt:
200.218.176.18 - - [04/May/2006:16:41:58 +0200] "GET /forum/includes/kb_constant.php?module_root_path=
Habe im includes Ordner die dateien kb_constant.php und kb_constants.php, die kb_constant.php gehört da ja normal nicht hin bzw. fehlt da ja ein buchstabe, also habe ich die gerade entfernt.
Kann man das irgendwie absehen ob er irgend was verändert hat ? Keine lust von 0 wieder anzufangen
Und ist dies hier - http://www.blog.cback.de/?p=33 - Sinnvoll/überhaupt noch nötig?
5.) Hat schon jemand mit der Gzip Komprimierung in Verbindung mit funpic Erfahrungen, und kann mir sagen ob es sinnvoller ist sie an oder aus zu schalten?
6.) Keine Frage im eigentlichen Sinne. Aber ich bin für jeden Tipp zur Entlastung des Servers dankbar. Zwar müsste das Forum bei gerade einmal 15 Usern selbst bei funpic schnell sein, aber ich muss den Server ja nicht mehr belasten als es nötig ist.
Eine auf die Funktionen dieses Forums bezogene Frage
7.) Wieso gibt es hier denn keinen [spoiler] Code? Dadurch wäre mein Posting nicht ganz so groß geworden.
Vielen Danke im Voraus.
Red Ruesday
... phpBB3 ist so dermaßen umfangreich, das man schon sehr viel Zeit braucht, um es komplett zu verstehen. Ich würde an deiner Stelle tatsächlich eine lokale Installation vornehmen und ohne Ende rumspielen, denn Du weißt ja: Learning by Doing bringt am meisten