phpbb3 de açık var

"Arkadaş diyor ki: bu sabah hacklenmiş index atmışlar. basit yöntem forum açıklamasına html kodu eklemişler"

Bence forum açıklamasına HTML kodu eklendiğine göre kesin exploit saldırısı yapmışlardır. Yani forum açıklamasına ınsert sql uyghulanmıştır.

Bana sorarsanız olabilir mi evet olabilir neden olmasın ki ?

Sanıyorum ki kodmanyagha arkadaşımız phpbb 3 ün en son sürümünü kullanmıyordu mod eklemek için kodlarla uğraşıyorum dedğine göre phpbb 3 ün eski sürümlerindne biriydi ...

Bu tür basit amatırce saldırılardan kurtulmak içinde çok basit yolar vardır. Örneğin ben phpBB 2 kullanıyorum ve bu amatorlere karşı çok basit bir teknik kullanıyorum:

Orjinal phpbb 2 oage header (header ın küçük bir kısmı)
$template->assign_vars(array(
'SITENAME' => $board_config['sitename'],
'SITE_DESCRIPTION' => $board_config['site_desc'],

ve buda benim tekniğim:
$template->assign_vars(array(
'SITENAME' => addslashes(htmlspecialchars($board_config['sitename'])),
'SITE_DESCRIPTION' => addslashes(htmlspecialchars($board_config['site_desc'])),

Burada kullandığım addslashes(htmlspecialchars kodu HTML karakterlere izin vermiyor hani olmaz ama olurda sql injection yese bile amaotrlerin ınsert ettikleri kodlar çalışmıyor.

Eğer bu yukarıda veridğim örneği kendi forumlarınıza uygularsanız bu tür saldırılardan da kurtulursunuz.

KAYNAK: NEFRİT

her zaman güncel sürüm kullanırım ve fazla mod kurmam kurduğum 2-3 mod vardı 2tanesi seoyla ilgili biride phpbb3portal ayrıca yönetim panelinden değiştirilden çok eminim neyse artık bir önemi yok kullanmıyorum phpbbyi. 4senedir kullandığım sistem benim için artık bitti..

Neye dayanarak phpBB3 te açık olduğunu söylediğinizi anlayamıyorum.

Bu kadar eminseniz, IP loglarını izleyebilirsin, bir kullanıcının login olduğunu, ACP ye tıkladığını, oradan forum ayarlarına girdiği çok net biçimde görebilirsin, phpBB2 ni çok eski bir sürümündeki çerez çalma yönteminde bunlar net olarak görünüyordu.

Kayıtlar var, yönetim paneline girenlerin, ve belirli değişikliklerin logları tutulur ve bunbları sadece "founder" yetkisine sahip birisi görebilir ve silebilir.

Burada kuru kuru "phpBB3 te açık var" dersen, ben bunu ancak kullanıcıyı yanıltma, phpBB3 ten soğutmaya çalışmak derim.

Sen 4 sene, ben ise 6 sene aktif olarak kullanıyorum, bu güne kadar pek çok defa hack girişiminde bulunuldu siteme, çoğu da başarılı oldu, ama hiçbiri de phpBB den kaynaklanmıyordu. Halan anlamakta zorluk çektiğim sunucu açıkları.

Phpbb kullanmıyorum ama bir sorum olacak...Kod bilgim yok ancak şunu düşünüyorum..phpbb sağlam bir sistem..Ancak webmaster forumlarında en çok hacklenenlerin phpbb kullanıcıları olduğu söylenir.(böyledir kanımca)

Siz öyle bir makale hazırlayın ki bizleri phpbb kullanmakta ikna edin...Çünkü herkes artık phpbbnin bittiğini düşünüyor..(phpbb destek sitelerindeki canlılık olmaması işareti)..Şahsen bir kanıt istiyorum phpbbnin çok güvenli olduğuna dair..

En çok phpBB kullanılıyor ki en çok hacklendiği söyleniyor.

Eğer phpBB nin bittiğini düşüyorsanız, kullanmayın, siz kullanmıyorsunuz diye phpBB bitecek değil, kaldır ki siz öyle sanıyorsunuz, phpBB nin bittiği falan yok:

Wappalyzer - web application analyzer

Yazdık daha önce, kapsamlı yazıyı ben yazamam, bunun için tarafsız bir inceleme gerek:

vbulletin ve phpbb karşılaştırması
Phpbb3 vs. Vbulletin [Nedir bu vbulletin hastaligi]
phpBB3'ün diğer popüler pano çözümleri ile karşılaştırılması

erhanby ben sana tek bir örnek göstereceğim ve sadece biraaz mantık yürüt herşeyi anlayacaksın:

Bundan seneler önce phpBB mod geliştiricilerinden Alman Christian Knerr (resmi web sitesi: CBACK.DE - Der Online Computerguide) phpBB için muhteşem bir bileşen üretti. Bu bileşenin (modun) orjinal ismi CrackerTracker Professional' dir.

phpBB dünyasında bu bileşen bir devrim olarak nitelendirirldi. Pek çok phpBB kulanıcısı kendi phpBB forum sistemlerine CrackerTracker Professional' i entegre ettiler.

CrackerTracker Professional zaman içerisinde kendisini dahada geliştirerek (phpBB 2 nin altın çahında) yeni ve daha kapsamlı daha gelişmiş versiyonlar çıkarttı.

Herneyse bizim için asıl önemli olan kısmı ise VB !
Çünki phpBB 2 için üretilen CrackerTracker Professional, oda nesi çıkmasının ardından birde baktık ki bazı VB geliştiricileri tarafından alınıp Vb ye entegre edilmeye çalışıldı hatta VB nin resmi web sitesinde CrackerTracker kelimesini aratırsanız VB ye uyarladıkları CrackerTracker ı bulkabilrsiniz.

Gelelim sonuca:
CrackerTracker Professional bir koruma kalkanıdır. Peki şimdi soruyorum Madem VB çok sağlamdı güvenilirdi de neden CrackerTracker Professional ı kendisine uyarlamaya çalıştı. phpBB nin bir modunu kullanmaktan geri kalmadı.

Bu konuda biraz kafa yorarsanız aslında VB ninde sıradan bir pano sistemi oldunu tek farkının paralı satılması oldunu göreceksiniz...