Pagina 1 van 1
Hoe beveilig ik mijn forum?
Geplaatst: 05 jul 2005, 18:56
door bdeprez
Hoi iedereen,
hoe meer ik rondkijk op dit forum, hoe meer schrik ik krijg dat mijn forum / database / server zal worden gehackt...
Ik ben dan ook op zoek naar een goeie hulp bij het beveiligen van het forum / mysql / server...
Het is voor een beginneling niet vanzelfsprekend om te weten:
- welke privileges moet de database user in MySql voor phpbb hebben?
- hoe beveilig ik mijn php setup
- etc...
Weet iemand of er ergens een handleiding of zo bestaat die een newbie kan helpen om de zaak hier zo veilig mogelijk te maken?
Bedankt alvast op voorhand,
Bernard.
Geplaatst: 05 jul 2005, 22:12
door Stef
Als je bij een host zit, moet dat voledig veilig gaan.
Vaak als je hoort over exploits, dat het dan over een slecht beveiligde host gaat.
Of draai je lokaal?
Inderdaad
Geplaatst: 06 jul 2005, 22:12
door bdeprez
Ik draai mijn forum lokaal op mijn eigen server (win2K)
Werk met een router en via port forwarding stuur ik alle requests op poort 80 naar mijn eigen server.
Heb antivirus staan, maak iedere nacht backup van webdirectory & database.
Iets anders dat ik best nog kan opzetten?
Thx,
Bernard.
Geplaatst: 07 jul 2005, 09:28
door headout
Stef schreef:
Vaak als je hoort over exploits, dat het dan over een slecht beveiligde host gaat.
Onzin en ongefundeerd. Of wou je zeggen dat ieder stukje software 100% veilig is en er nooit bugs boven komen drijven na het uitbrengen van de software?
Geplaatst: 07 jul 2005, 10:57
door traxx!
man man, als je echt hackers wilt buitenhouden, gebruik dan gewoon altijd de laatste phpbb versie + update altijd die versie naar de nieuwste en als je heel zeker wil zijn, gebruik nog eens een htacess, dat kan niemand hacken, groeten
ps: een exploit is een lek id server
Geplaatst: 07 jul 2005, 12:26
door mosymuis
Simpelweg stellen dat je veilig bent als je phpBB blijft updaten is onzin, je moet voor ALLE software die draait op het systeem, de updates bijhouden. Dat geldt dus voor Windows/Linux kernels, Apache2/IIS, MySQL/SQL Server, PHP/Perl/ASP, phpMyAdmin, awStats, Ensim/cPanel/DirectAdmin/Plesk etc etc.
traxx! schreef:en als je heel zeker wil zijn, gebruik nog eens een htacess, dat kan niemand hacken
Onzin, alles is te kraken. Om .htaccess te omzeilen bestaan ook een legio aan trucs, die afhankelijk van de serversoftware werken.
traxx! schreef:ps: een exploit is een lek id server
Nee, een exploit is een hack dat gebruik maakt van een bug in software.
Geplaatst: 07 jul 2005, 12:34
door traxx!
awel ja bvb SQL he
Geplaatst: 07 jul 2005, 12:36
door mosymuis
traxx! schreef:awel ja bvb SQL he
Geplaatst: 07 jul 2005, 12:50
door traxx!
http://www.derkeiler.com/Mailing-Lists/ ... /0015.html
das er een voorbeeld van
tzijn nu wel homeservers denkek maar ja op websites doen ze da ook
Geplaatst: 07 jul 2005, 12:53
door mosymuis
Dat is geen "SQL", SQL is een taal. En natuurlijk bestaan er bugs in MS SQL Server, die haalde ik hierboven ook al aan. Zo kan je wel alle bugreports hier gaan plaatsen.
Geplaatst: 07 jul 2005, 14:14
door Stef
headout schreef:Stef schreef:
Vaak als je hoort over exploits, dat het dan over een slecht beveiligde host gaat.
Onzin en ongefundeerd. Of wou je zeggen dat ieder stukje software 100% veilig is en er nooit bugs boven komen drijven na het uitbrengen van de software?
Áls iemand nu over een exploit spreekt in phpBB, dan is er een mogelijkheid dat die fout bij slecht beveiligde hosts liggen of bij andere software aangezien er bij phpBB tot nu toe wetend geen exploits bekend zijn.
Geplaatst: 07 jul 2005, 14:18
door headout
Stef schreef:Áls iemand nu over een exploit spreekt in phpBB, dan is er een mogelijkheid dat die fout bij slecht beveiligde hosts liggen of bij andere software aangezien er bij phpBB tot nu toe wetend geen exploits bekend zijn.
Leg eens uit, ik vat je niet. (Dat wil zeggen: als ik denk door te hebben,wat jij hier beweert, zit je er heel ver naast. Maar ik vermoed dat je iets anders bedoelt dan hetgeen ik denk.)
Om het helder te krijgen: jij beweert dat er geen exploits bestaan die gebruik maken van een bug in phpBB, om server/root access te krijgen?
Geplaatst: 07 jul 2005, 14:20
door Stef
Nee, dat beweer ik niet.
En als je NU over een exploit leest, dat dit dan gaat over, of niet geüpdate forum, of een slecht ingestelde server, of andere software die slecht beveiligd is. Net zoals toen bij phpBB.com ik geloof dat ze een teller hadden.
Dus niet dat phpBB 2.0.16 software onveilig is.
Geplaatst: 07 jul 2005, 14:38
door headout
Stef schreef:Nee, dat beweer ik niet.
Pfff, gelukkig, ik schrok al
Stef schreef:Dus niet dat phpBB 2.0.16 software onveilig is.
Oeps, wrong answer. 't Is wachten op de volgende bug waardoor men weer met een exploit aan de gang kan..... 1 voordeel heeft phpBB in deze: men is er als de kippen bij om een update uit te brengen die de bug verhelpt, dat is het mooie weer van phpBB.
//edit: overigens is de eerste gevonden bug in .16 al weer bekend, incl. exploit. PM (alleen stef) maar eens voor de link.
Geplaatst: 07 jul 2005, 14:47
door Stef
headout schreef:Stef schreef:Dus niet dat phpBB 2.0.16 software onveilig is.
Oeps, wrong answer.
Ik vind van niet, het is dat jij al wist van die bug.
Maar tot die tijd is phpBB eigenlijk zo veilig als wat, de meeste hackgroepen zijn er niet op uit om een forum kwaad te doen en melden het bij phpBB. Pas als het script openbaar word, komen er scriptkiddies die het gaan uitproberen en wel schade aan gaat richten.
Geplaatst: 07 jul 2005, 15:43
door headout
Stef en ik hebben even wat heen en weer gePB'ed. PhpBB 2.0.17 zal binnenkort uitkomen zo denken we beide:
http://www.phpbb.com/phpBB/viewtopic.php?t=304514
Geplaatst: 07 jul 2005, 18:10
door mosymuis
Stef schreef:Pas als het script openbaar word, komen er scriptkiddies die het gaan uitproberen en wel schade aan gaat richten.
Klopt, en dat is reeds al gebeurd. Als de bug gecomfirmed is door phpBB zal er dus inderdaad snel een .17 volgen.