SMF vor Hacker schützen

[michael24179]

Gibtes eine möglichkeit sich vor Hacker zu schützen. Beim PHPBB2 gab es eine möglichkeit. Kann mir da jemand einen rad geben.

[sonst-was]

Was meinst du denn dich "vor Hacker schützen"? Wo siehst du denn eine konkrete Gefahr dass dein Forum gehackt werden könnte...?

Solange du keine einfach zu erratenden Passwörter verwendest (für den Admin-, FTP- und MySQL-Benutzer) sollte es eigentlich keine wirkliche Angriffsfläche geben (und sollte dem nicht so sein, würde es garantiert recht schnell ein Update geben... also das Forum immer Up-to-Date halten).

[michael24179]

Mein Forum ist in einer Szene wo alles möglich ist. WoltLab ist auch sicher und dennoch habe ich bei manch ein board schon ein Schutz gesehen. Es ist der selbe wie beim PHPBB. Ich glaube er heist cracker oder so änlich. Das niemand auch meinen server kommt ist mir im übrigen auch klar.

Dies ist von einen WoltLab Board

Board Blocks: | Spy-/Malware: | Bad Bot: | Flooder:
CT Security System Pre : © 2006-2007 Frank John

[PfalzNacht]

Du meinst wohl den CTExtra vom User Nordin.

Musste mal die Suche bemühen, dann findest den auch, und den dazugehörigen Thread.

[michael24179]

danke

[mediman]

CTExtra ist ein netter Mod, aber er schützt keineswegs vor dem Hacken des Boards, so

a) andere Applikationen auf dem Server unsicher sind
b) Passwörter oder Einstellungen das Board unsicher machen

Ihr glaub nicht, wieviele angebliche sichere Joomlahoster es nicht packen, die htaccess.txt, die Joomla freundlicherweise mitliefert als .htaccess zum Laufen zu bringen.

Insider: http://www.serversupportforum.de/forum/virtuelle-server/17980-ich-wurde-gahackt-richtig.html

[Jorin]

Ist das wirklich "unser" Nordin???

[mediman]

Ist das wirklich "unser" Nordin???

Deswegen hab ich das nicht gepostet, hab garnicht  bemerkt, dass dieser User auch Nordin heisst, obwohl alles passt, entscheidend war, das auf diesen vServer CBACK-Techniken eingestzt worden sind und trotzdem wurde er gehackt.

Btw. ich nutze auf http://ticker-oase.de auch etwas ähnliches wie CTracker, aber, bisher hat sich kein Hackversuch daran gestossen, erst Mod_Security2 in Kombi mit Suhosin Mod&Patch und SuPHP sowie Firewall konnten die Angriffe stoppen.

medi

[Jorin]

Wäre interessant, mal ein gepinntes Thema mit einigen Tipps zu schreiben, wie man sein SMF möglichst sicher machen kann, welche Mods wirklich was bringen und was serverseitig Sinn machen würde. Am besten für Dummies...

[mediman]

Wäre interessant, mal ein gepinntes Thema mit einigen Tipps zu schreiben, wie man sein SMF möglichst sicher machen kann, welche Mods wirklich was bringen und was serverseitig Sinn machen würde. Am besten für Dummies...

SMF bietet faktisch keine Angriffsfläche für normale automatische Hackversuche.

Die meisten SMF werden gehackt, weils die Leute Joomla installieren inkl. sehr miesen Mods wie dieser Postcard-Mod (rw_cards oder so ähnlich) und es dann nicht packen, die von Joomla mitgelieferte .htaccess zu aktivieren.

Hat man dann einmal als Hacker ein r57 oder eine andere Shell am Laufen, ist es recht einfach alles was auf dem Server ist zu hacken, eben auch ein SMF.

Das mit den Sticky-Topic ist eine sehr gute Idee.

medi

[Jorin]

Na, dann bin ich ja beruhigt, mich rechtzeitig vom CMS verabschiedet zu haben 

[mediman]

Na, dann bin ich ja beruhigt, mich rechtzeitig vom CMS verabschiedet zu haben 

CMS sind immer mist, weil sie einfach für den Coder zu chaotisch gebaut sind.

Eigene Klassen in eine Framework zusammenfassen ist fast immer die beste Lösung.

Es ist so easy Queries zu sparen und dabei übersichtlichen, sicheren Code zu erzeugen, der zudem nach CSS3 und XHTML 1.0 strict validiert ist.

Mal ein Beipiel:

Koodi [Valitse] Laajenna

     function NumMembers() {
          $q = "SELECT * FROM ".TBL_USER;
          $result = mysql_query($q, $this->connection);
          $this->num_members = mysql_numrows($result);
      return $this->num_members;
    }

Diese Funktion würde in der Datenbankklasse mit jeden Klick eines users die Anzahl der registrierten User ermitteln.

Vatti macht des so.

In den Konstruktor der DB-Klasse kommt einfach ein

Koodi [Valitse] Laajenna

$this->num_members = -1;

Und die Funktion baue ich mir so:

Koodi [Valitse] Laajenna

    function NumMembers() {
       if($this->num_members < 0) {
          $q = "SELECT * FROM ".TBL_USER;
          $result = mysql_query($q, $this->connection);
          $this->num_members = mysql_numrows($result);
     }
       return $this->num_members;
   }


Und gucke da, ab sofort werden für Subsequent-Calls keine Queries mehr verbraten.

Und jetzt sage nochmal, warum brauch CMS, wenn ich eine sehr komplexe Seite inkl. Sicherheitscenter, Ajax, SEO-Links mit einer handvoll winziger Klassen gebraten bekomme? Ich hab ja fast mehr JS als PHP-Klassen.

Just my Senf

[Flitsch]

... die von Joomla mitgelieferte .htaccess zu aktivieren.

was muss man denn machen?

[PfalzNacht]

Einfach die htaccess.txt in .htaccess umbennen.

[mediman]

Einfach die htaccess.txt in .htaccess umbennen.

Und dafür sorge tragen, dass PHP als CGI läuft oder entsprechend abgesichert ist, weil sonst hilft die .htaccess auch bloß nix, oder ned viel.

Wird nämlich ein anderer Account gehackt (auf dem Server) nützen die .htaccess i.d.R. nichts.