Защита PhpBB

Я не знаю, по какой причине ты поставил форум PhpBB, но коль уж данное чудо свершилось, возьмем иголку с ниткой и начнем латать дыры.

Начнем с того, что популярный форум PHPBB (PHP Best Board) вообще-то ставить на сайт запрещено! PhpBB — это что-то типа Windows XP в мире форумов. Я не преувеличиваю, известно уже тонна способов повалить этот форум, каждый день список эксплоитов только пополняется.
Мы рассмотрим несколько советов, которые помогут избежать падения форума и сайта в целом. Многие советы пригодятся тебе и при работе с другими скриптами.

Обновление

Это просто обязательно, ты можешь не чистить по утрам зубы, но форум обновлять ты обязан. И то, что у тебя стоит уже несколько модов — это не отговорка. Просто в этом случае тебе следует использовать «code changes», заботливо выкладываемые разработчиками форума в виде тех же модов. Рекомендую также подписаться на рассылку о новых версиях форума.

Маскировка

Сокрытие версии используемого движка очень помогает от «ленивых»хакеров, которые ищут жертву через поисковик. Сейчас уже по дефолту разработчики просто пишут «Powered by PhpBB». А если ты все-таки не обновляешь форум, я думаю подправить файлы simple_footer.tpl и overall_footer.tpl тебе не составит труда. Однако можно пойти дальше и написать злую фразу "Powered by PhpBB" с помощью JavaScript :


<script language="javascript" type="text/javascript">

<!--

document.write('Pow' + 'er' + 'ed by Ph' + 'p' + 'BB');

-->

А можешь вообще написать, что-нибудь типа «Powered by Vasya Pupkin».

Сюда же относится использование нестандартного стиля оформления, имхо, в обязательном порядке нужно менять дизайн.

Модификация БД

Префикс таблиц

Почему бы не поставить туда чего-нибудь своего, например "YoBB". Кстати, это можно сделать и после установки, путем правки config.php и переименования таблиц.

Правка БД

Надежный способ защиты от SQL-injection-Union атаки — это изменение БД. Добавь в таблицы лишние пустые поля, пройдись по коду и примитивные эксплойты пойдут лесом по причине несовпадения количества полей. Или другой способ: переименуй поле user_password в blahblahblah и исправь исходники (автоматизировать сей процесс можно запросто). Все, теперь при попытке раздобыть хеш пароля админа эксплойт удивленно повиснет… и хакер вместе с ним :).

Разборки с движком

Прятанье config.php упростит тебе жизнь, если хакер получит возможность читать файлы на сервере благодаря include-багу. Конечно, в этом случае от содержимого файла ему все равно будет мало толку, если ты только не ставишь одинаковые пассы на все подряд.

Не мешало бы отрубить поиск. Работает он жутко глючно, кушает неимоверное количество места в БД и кошмарно снижает производительность. И потом является источником багов, того же highlight. К сожалению, сделать это стандартными средствами нельзя, но руки ведь у тебя на месте??? Убирай относящиеся к нему файлы, роняй таблицы и вычисти сырцы и темы. Результат — повышение производительности и безопасности. Если лень разбираться, то подскажу: устрани вызовы функций, находящихся в functions_search.php. За исключением последней, конечно. А какие бить таблицы сам подумай… Это просто.

P@s$W0rD. Поставь нормальный пароль.
Как это не банально, но пароль должен быть вида Im8SI6Q7NRphk — только так ты сможешь не беспокоится о взломе хеша. Лень придумывать? Воспользуйся Password Generator'ом. Да бронебойный, ну скажи, часто ли тебе придется его вводить? Теперь, если хеш все-таки будет украден, то толку от него будет меньше.

Изменение алгоритма хеширования.. Вообще полезный прием. Измени все вызовы функций, связанные с хешированием на свои, которые после вызова стандартных слегка модифицируют хеш. Например ac45e53bc8dc478e ⇒ ac45e53bc8da478e. Хакер едва ли заподозрит подвох… Более того, взглянув на эти два хеша он и разницу не сразу заметит…

Будь скромнее

Пожалуй, самый ценный совет. Для наведения порядка на форуме вполне достаточно привилегий модератора. Грозная надпись «Администратор» нужна тебе только для правки конфигурации и не более. Слыхал о подстановке GIF-ов с JavaScript-кодом? Такой код читает твои cookies и посылает их на указанный адрес. И не беда что в них только хэш: имея аккаунт на форуме можно смело подставить hash в свои куки и завладеть форумом. В случае кражи модерских куков ты потеряешь только его аккаунт, а не весь форум.

Итак, видно, что лучше вообще отказаться от phpBB, чем юзать на сайте. Я не говорю, что в других скриптах нет уязвимостей, просто этот форум очень популярен, и, поэтому, интерес хакеров к нему очень велик. Удачи в нелегком бою!

P.S.: И все же поменяй его :)

 

Статьи, 03/04/06Wart!X