Reklama na portáli

Niekoľko viewtopic využíva phpbb. Ochrana PhpBB

No, začnime dávať malé tipy na optimalizáciu a propagáciu stránok (fór) na phpBB. V tomto prípade vykonáme malý hack, ktorý vám pomôže zbaviť sa externý odkaz ako "Používa phpBB © ...". V tejto publikácii sa pozrieme na 2 spôsoby, ako to môžete urobiť - techniku ​​pre phpBB 3.x.x.

Odstránenie externého odkazu Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group a ruská podpora phpBB

Prvý spôsob odstránenia externého odkazu s nápisom Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group. Najjednoduchším spôsobom je odstránenie pomocou panela správcu. Prejdeme na administratívny panel, prejdeme na položku ponuky „Styles“, vľavo vidíme panel, kde sa nachádza blok v ponuke, zaujíma nás blok „Style Components“ a v ňom „Šablóny“. Podľa štandardu v navrhovanom okne uvidíme nasledovné: prosilver a subsilver2, hoci môžu existovať aj iné, ak ste ich nainštalovali. Vo všeobecnosti o to nejde. Z navrhovanej sady vyberte predvolenú. Kliknite na tlačidlo "upraviť" vedľa šablóny. Ďalej sa zobrazí okno s výzvou na „Vyberte súbor šablóny“. Ďalej vyberte „Súbor šablóny“ - „overall_footer.html“. HTML editor sa zobrazí nižšie. Nájdeme nasledujúci kód: “Powered by phpBB 2000, 2002, 2005, 2007 phpBB Group” a jednoducho ho vymažeme, hoci si môžete nastaviť vlastný odkaz a popis. "
(TRANSLATION_INFO) " (ktorý sa nachádza nižšie, možno ho tiež odstrániť) - tento kód je zodpovedný za lokalizáciu, napríklad externý odkaz s nápisom "podpora ruského phpBB".

Druhý spôsob odstránenia externého odkazu s nápisom Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group. Táto metóda je podobná, ale na stránku sa pripájame cez Pratacol ftp. Prejdite na nasledujúce štýly cesty/názov_šablóny/šablóna/overall_footer.html. A upravíme rovnaký kód, ktorý sme upravili vyššie. Ak zmeníte kód, nezabudnite nastaviť kódovanie UTF - týmto spôsobom sa môžu namiesto kotiev objaviť „crackery“ (štvorce a iné nepochopiteľné symboly).

Takže, drahý priateľ, z nejakého dôvodu ste si na svoje stránky nainštalovali PhpBB.
Možno preto, že ste nečítali časopis ][, alebo možno preto, že sa vám tento motor páči. Šanca, že vás nehacknú, je však minimálna. Armády detí prehľadávajú internet a hľadajú svoju ďalšiu obeť. Ako sa chrániť pred primitívom
hackovanie fóra? Pokúsim sa vám dať nejaké nápady. Väčšinu z nich môžete použiť v iných skriptoch.

Aktualizovať

Toto je predvolene. Fórum je potrebné aktualizovať. A skutočnosť, že máte 5/10/15 (podčiarknite vhodné) mody, nie je ospravedlnenie. Ide len o to, že v tomto prípade by ste mali použiť „zmeny kódu“, ktoré vývojári fóra starostlivo pripravili vo forme rovnakých modov. Odporúčam tiež prihlásiť sa na odber noviniek o nových verziách fóra. Nemôžete však sledovať všetko a ste príliš leniví
stane sa, nie? Preto vám ponúkam niekoľko pasívnych spôsobov ochrany fóra.

Skrytie verzie

Nedávno sa objavil v PhpBB a je skvelým pomocníkom proti hackerom Google. A ak fórum stále neaktualizujete, myslím si, že nebude pre vás ťažké opraviť súbory simple_footer.tpl a total_footer.tpl. Môžete však ísť ďalej a napísať zlú frázu „Powered by PhpBB“ pomocou javascriptu



Ak má používateľ zakázaný javascript, dôjde k malej strate, hoci fráza by sa nemala úplne odstrániť na základe čisto morálnych princípov. Alebo si z toho môžete urobiť srandu napísaním „PhpBB 2.0.6“. Keď hacker, ktorý vás hackol, zistí skutočnú verziu, od hnevu vám zahodí celú databázu 😉 Môžete napísať aj „Php BB“... Nie je to úplne úprimné, ale funguje to!

Vlastný štýl

Nielenže ozdobí vaše fórum, ale tiež mierne zvýši ochranu pred exploitmi, ktoré vytrhávajú informácie zo stránky HTML. A potom štandardný štýl vytvára pocit, že admin buď zanedbal fórum, alebo je chromý.

Predpona tabuľky

Čo tak tam dať niečo svoje, napríklad „ExBB“. Mimochodom, to sa dá urobiť po inštalácii úpravou config.php a premenovaním tabuliek.

Úprava databázy

Spoľahlivým spôsobom ochrany pred útokmi SQL injection-Union je zmena databázy. Pridajte do tabuliek ďalšie prázdne polia, prejdite kódom a primitívne (!) exploity zlyhajú kvôli nesúladu v počte polí. Alebo inak: premenujte pole user_password na blablahblah a opravte zdroje (tento proces sa dá ľahko automatizovať). To je všetko, keď sa teraz pokúsite získať hash hesla správcu, exploit bude prekvapený visieť :) A nielen exploit.

Skrytie súboru config.php

Uľahčí vám život, ak bude hacker schopný čítať súbory na serveri vďaka chybe include. Samozrejme, v tomto prípade mu obsah súboru bude stále málo užitočný, pokiaľ na všetko nedáte rovnaké priepustky.

Normálne heslo

Akokoľvek banálne sa to môže zdať, heslo by malo mať tvar Sdh66rH904hG – len tak sa nebudete musieť obávať hacknutia hash. Uložíte ho do Password Commander. No povedzte, ako často to budete musieť zavádzať? Teraz, ak je hash ukradnutý, bude menej užitočný.

Zakázať vyhľadávanie

A nebolelo by to. Funguje to strašne zabugované, žerie neskutočne veľa miesta v databáze a strašne znižuje výkon. A potom je to zdroj chýb, to isté. Prepáčte, že to robím štandardné prostriedky nemôžete, ale nie nadarmo čítate ][? Odstráňte súbory, ktoré s tým súvisia, zrušte tabuľky a vyčistite suroviny a témy. Výsledkom je zvýšená produktivita a bezpečnosť. Ak ste príliš leniví na to, aby ste na to prišli, potom vám poradím: eliminujte volania funkcií nachádzajúcich sa v functions_search.php. Okrem toho posledného, ​​samozrejme. Premýšľajte o tom, ktoré stoly zhodiť.... Nemal som žiadne problémy.

Falošný admin

Skryte skutočný panel správcu a vo falošnom odstráňte všetky dotazy do databázy, ako sú INSERT, UPDATE atď. Ešte lepšie je, že ich namiesto spustenia zapíšte do súboru spolu s IP a ďalšími užitočnými údajmi. Viete si predstaviť, aký pomalý bude hacker, keď sa zmeny, ktoré urobí, nepoužijú? Len honeypot, nie fórum!

Zmena hašovacieho algoritmu

Vo všeobecnosti užitočná technika. Zmeňte všetky volania funkcií súvisiace s hashovaním na svoje vlastné, ktoré po volaní štandardných mierne upravia hash. Napríklad ac45e53bc8dc478e->ac45e53bc8da478e.
Je nepravdepodobné, že by hacker podozrieval nejaký trik... Navyše, pri pohľade na tieto dva hashe si hneď nevšimne rozdiel...

Nuž, prečo bola táto únia vynájdená, priniesla toľko dier.... Otvorte teda include pre prácu s databázou a pridajte filtrovanie dotazov pomocou UNION!

Záver

Čím viac súborov, tabuliek a polí premenujete, tým viac súborov, tabuliek a polí premenujete

  • Náročnejšie to bude mať haxor
  • Bude pre vás ťažšie aktualizovať fórum
  • Urobíš viac chýb

Poznajte teda svoje hranice a nebuďte paranoidní. Vykonaním všetkých týchto trikov vystrašíte/zastavíte Kiddis aj Haxor, pokiaľ Haxor nemá konkrétny cieľ vás hacknúť. Hoci premenovanie polí tabuľky poskytuje takmer nepreniknuteľnú ochranu pred SQL injection, pretože pred hacksorom nebudú žiadne druhy.

V jednom z komentárov k môjmu článku som bol požiadaný, aby som vám povedal, ako odstrániť pole autorských práv tvorcov nástroja phpBB: „Vytvorené na základe phpBB.“ Keďže tieto informácie môžu byť užitočné aj pre ostatných návštevníkov, rozhodol som sa o nich napísať tento článok.

Prečo odstrániť toto pole? Mnohí z vás môžu vyjadriť rozhorčenie a povedať, že odstránenie tohto poľa sa bude považovať za nedodržanie autorských práv. To však nie je úplne pravda – phpBB je bezplatné webové fórum s free zdrojový kód. Preto všetky zmeny, ktoré vykonáte, predpokladajú, že vlastníte autorské práva na váš konkrétny produkt. Inými slovami, po vytvorení fóra na tomto engine sa stane vaším duševným vlastníctvom. Autori phpBB napísali mechanizmus, nástroj na vytváranie fór a nie hotový produkt. V tomto prípade, ak odstránite upozornenie o autorských právach v päte fóra, nebude to porušenie autorských práv. Na druhej strane, ak tento nápis opustíte, bude to prejav vďaky a podpory vývojárom, čo je určite dobré!

Ak sa teda rozhodnete tohto nápisu zbaviť, prvým krokom je zistiť, kde sa nachádza parameter zodpovedný za zobrazovanie informácií o autorských právach. Aby sme to mohli urobiť, musíme otvoriť akúkoľvek stránku fóra, na ktorej je fórum viditeľné v jednom z prehliadačov, ktoré podporujú funkciu zobrazenia kódu stránky (Opera, Google Chrome, Firefox atď.) a kliknutím kliknite pravým tlačidlom myši podľa samotného nápisu vyberte z roletového menu možnosť zobrazenia kódu (prvok Skontrolovať).

Po otvorení inšpektora kódu vidíme, že blok, ktorý nás zaujíma, sa nazýva „copyright“. Je to miesto, kde je potrebné vykonať zmeny, aby bolo možné upraviť, skryť alebo odstrániť informácie.

Druhým krokom je nájsť súbor, ktorý obsahuje blok „copyright“. Keďže nepoznáme názov súboru, manuálne vyhľadávanie bude trvať veľmi dlho. Využijeme preto pohodlnú funkciu – vyhľadávanie podľa obsahu, ktorá je dostupná v mojom obľúbenom správcovi súborov – Total Commander, ďalej len TC (existujú aj iné spôsoby vyhľadávania podľa obsahu, o ktorých sa však v tomto článku nebudem hovoriť) . V správcovi súborov otvorte priečinok, v ktorom je fórum nainštalované lokálny server alebo na FTP serveri vášho hostiteľa. Pre uľahčenie vyhľadávania hneď otvoríme priečinok, v ktorom sú uložené súbory predvoleného štýlu. Ďalej vyberte hľadať súbory v ponuke „ Príkazy “ alebo jednoducho stlačte Alt + F7. V okne vyhľadávania, ktoré sa zobrazí, ignorujeme pole „Hľadať súbory“, pretože názov súboru nám nie je známy. V poli „Umiestnenie vyhľadávania“ musí byť predvolene uvedená cesta k priečinku s nainštalovaným nástrojom fóra, vozidlo si cestu vyberie automaticky, ak bolo okno vyhľadávania vyvolané z aktívnej časti, kde si prezeráte obsah priečinkov. Potom začiarknite políčko vedľa poľa „S textom“ a do vyhľadávacieho panela zadajte „autorské práva“, potom smelo klikneme na tlačidlo „ Spustiť vyhľadávanie“ a počkáme, kým sa zobrazia výsledky.


Vyhľadávanie nám poskytlo niekoľko súborov, teoreticky by ich malo byť 5, v ktorých je uvedený názov bloku autorských práv. Zo všetkých výstupných súborov jasne vidíme, že nás zaujíma súbor s názvom „overall_footer.html“, keďže blok sa nachádza v päte stránky a slovo celkovo naznačuje, že tento súbor ukladá globálne nastavenia, teda napr. celé fórum. Teraz máme 2 možnosti, ako upraviť súbor, ktorý potrebujeme – cez vstavaný editor šablón phpBB alebo pomocou editora tretej strany. Najprv sa pozrieme na možnosť úprav cez natívne rozhranie phpBB.
Musíme prejsť do „Centra správy“ a prejsť na kartu „Štýly“. V sekcii správy štýlov sa pozrieme na to, ktorý štýl je štandardne nainštalovaný, je to označené hviezdičkou za názvom štýlu. V príklade je nainštalovaný iba jeden základný štýl - prosilve, ale môžete ich mať niekoľko.

Ďalej v sekcii správy komponentov štýlu prejdeme do podsekcie „Šablóny“ a vedľa našej aktívnej témy vyberieme položku „Upraviť“.


Teraz musíme z rozbaľovacieho zoznamu vybrať súbor, ktorý nás zaujíma, s názvom „overall_footer.html“


V oblasti úprav, ktorá sa zobrazí, prejdeme úplne na koniec stránky a nájdeme riadok:

potom odstránime nasledujúci kód:

(CREDIT_LINE) (TRANSLATION_INFO) (DEBUG_OUTPUT)

Nakoniec by váš kód mal vyzerať takto:


Teraz stlačíme tlačidlo „Odoslať“ a voila, dosiahli sme požadovaný výsledok – upozornenie na autorské práva tam už nie je.

Prejdime k alternatívnemu spôsobu dosiahnutia rovnakého výsledku: keď už pomenujeme požadovaný súbor, prejdeme do priečinka „template“ predvolene aktivovanej témy a hľadáme rovnaký súbor s názvom „overall_footer.html“.


Potom kliknite pravým tlačidlom myši na súbor a v rozbaľovacej ponuke vyberte „Otvoriť pomocou“ a vyberte svoj obľúbený editor kódu, v mojom prípade je to Blumentals WeBuilder 2011. Potom, rovnako ako v prípade natívneho editora šablón phpBB , odstráňte predtým špecifikovaný kód a uložte zmeny. Program má tiež veľmi pohodlný vstavaný FTP klient, ktorý vám umožňuje upravovať a ukladať zmeny v súboroch na vzdialenom serveri.

Pripravený! Ak ste dodržali všetky vyššie uvedené kroky, mali by ste byť schopní nápis odstrániť. Gratulujem!