Hoe beveilig ik mijn forum?

[bdeprez]

Hoi iedereen,

hoe meer ik rondkijk op dit forum, hoe meer schrik ik krijg dat mijn forum / database / server zal worden gehackt...

Ik ben dan ook op zoek naar een goeie hulp bij het beveiligen van het forum / mysql / server...

Het is voor een beginneling niet vanzelfsprekend om te weten:
- welke privileges moet de database user in MySql voor phpbb hebben?
- hoe beveilig ik mijn php setup
- etc...

Weet iemand of er ergens een handleiding of zo bestaat die een newbie kan helpen om de zaak hier zo veilig mogelijk te maken?

Bedankt alvast op voorhand,
Bernard.

[Stef]

Als je bij een host zit, moet dat voledig veilig gaan.
Vaak als je hoort over exploits, dat het dan over een slecht beveiligde host gaat.

Of draai je lokaal?

[bdeprez]

Ik draai mijn forum lokaal op mijn eigen server (win2K)

Werk met een router en via port forwarding stuur ik alle requests op poort 80 naar mijn eigen server.

Heb antivirus staan, maak iedere nacht backup van webdirectory & database.

Iets anders dat ik best nog kan opzetten?

Thx,
Bernard.

[headout]

Vaak als je hoort over exploits, dat het dan over een slecht beveiligde host gaat.

Onzin en ongefundeerd. Of wou je zeggen dat ieder stukje software 100% veilig is en er nooit bugs boven komen drijven na het uitbrengen van de software?

[traxx!]

man man, als je echt hackers wilt buitenhouden, gebruik dan gewoon altijd de laatste phpbb versie + update altijd die versie naar de nieuwste en als je heel zeker wil zijn, gebruik nog eens een htacess, dat kan niemand hacken, groeten

ps: een exploit is een lek id server

[mosymuis]

Simpelweg stellen dat je veilig bent als je phpBB blijft updaten is onzin, je moet voor ALLE software die draait op het systeem, de updates bijhouden. Dat geldt dus voor Windows/Linux kernels, Apache2/IIS, MySQL/SQL Server, PHP/Perl/ASP, phpMyAdmin, awStats, Ensim/cPanel/DirectAdmin/Plesk etc etc.

en als je heel zeker wil zijn, gebruik nog eens een htacess, dat kan niemand hacken

Onzin, alles is te kraken. Om .htaccess te omzeilen bestaan ook een legio aan trucs, die afhankelijk van de serversoftware werken.

ps: een exploit is een lek id server

Nee, een exploit is een hack dat gebruik maakt van een bug in software.

[traxx!]

awel ja bvb SQL he

[mosymuis]

awel ja bvb SQL he

[traxx!]

http://www.derkeiler.com/Mailing-Lists/ ... /0015.html

das er een voorbeeld van
tzijn nu wel homeservers denkek maar ja op websites doen ze da ook

[mosymuis]

Dat is geen "SQL", SQL is een taal. En natuurlijk bestaan er bugs in MS SQL Server, die haalde ik hierboven ook al aan. Zo kan je wel alle bugreports hier gaan plaatsen.

[Stef]

Vaak als je hoort over exploits, dat het dan over een slecht beveiligde host gaat.

Onzin en ongefundeerd. Of wou je zeggen dat ieder stukje software 100% veilig is en er nooit bugs boven komen drijven na het uitbrengen van de software?

Áls iemand nu over een exploit spreekt in phpBB, dan is er een mogelijkheid dat die fout bij slecht beveiligde hosts liggen of bij andere software aangezien er bij phpBB tot nu toe wetend geen exploits bekend zijn.

[headout]

Áls iemand nu over een exploit spreekt in phpBB, dan is er een mogelijkheid dat die fout bij slecht beveiligde hosts liggen of bij andere software aangezien er bij phpBB tot nu toe wetend geen exploits bekend zijn.

Leg eens uit, ik vat je niet. (Dat wil zeggen: als ik denk door te hebben,wat jij hier beweert, zit je er heel ver naast. Maar ik vermoed dat je iets anders bedoelt dan hetgeen ik denk.)

Om het helder te krijgen: jij beweert dat er geen exploits bestaan die gebruik maken van een bug in phpBB, om server/root access te krijgen?

[Stef]

Nee, dat beweer ik niet.

En als je NU over een exploit leest, dat dit dan gaat over, of niet geüpdate forum, of een slecht ingestelde server, of andere software die slecht beveiligd is. Net zoals toen bij phpBB.com ik geloof dat ze een teller hadden.

Dus niet dat phpBB 2.0.16 software onveilig is.

[headout]

Nee, dat beweer ik niet.

Pfff, gelukkig, ik schrok al

Dus niet dat phpBB 2.0.16 software onveilig is.

Oeps, wrong answer. 't Is wachten op de volgende bug waardoor men weer met een exploit aan de gang kan..... 1 voordeel heeft phpBB in deze: men is er als de kippen bij om een update uit te brengen die de bug verhelpt, dat is het mooie weer van phpBB.

//edit: overigens is de eerste gevonden bug in .16 al weer bekend, incl. exploit. PM (alleen stef) maar eens voor de link.

[Stef]

Dus niet dat phpBB 2.0.16 software onveilig is.

Oeps, wrong answer.

Ik vind van niet, het is dat jij al wist van die bug.

Maar tot die tijd is phpBB eigenlijk zo veilig als wat, de meeste hackgroepen zijn er niet op uit om een forum kwaad te doen en melden het bij phpBB. Pas als het script openbaar word, komen er scriptkiddies die het gaan uitproberen en wel schade aan gaat richten.

[headout]

Stef en ik hebben even wat heen en weer gePB'ed. PhpBB 2.0.17 zal binnenkort uitkomen zo denken we beide:

http://www.phpbb.com/phpBB/viewtopic.php?t=304514

[mosymuis]

Pas als het script openbaar word, komen er scriptkiddies die het gaan uitproberen en wel schade aan gaat richten.

Klopt, en dat is reeds al gebeurd. Als de bug gecomfirmed is door phpBB zal er dus inderdaad snel een .17 volgen.