Nom de dossier et installation phpBB

[gowap]

[MOD] Suite de ce fil[/MOD]

Mon fichier d'erreurs est plein de tentatives de decouverte d'un forum phpBB via essai des dossiers suivants :
/phpbb
/phpbb2
/forums
/board

Voila donc deja 4 choix a proscrire, parce que s'ils sont ballayés par des scripts a la recherche de vulnérabilités.

[philippe]

Et tu as pensé à le mettre à la racine ?

Le domaine ne date que du 21/08/06, c'est un peu tot pour avoir des résultats dans google non ?

[dcz]

Voila donc deja 4 choix a proscrire, parce que s'ils sont ballayés par des scripts a la recherche de vulnérabilités.

erf, faut pas non plus trop pousser, difficile d'éviter les mot forum et phpBB surtout un forum phpBB, et ça suffit déjà à être identifié par des méthodes automatiques.

Le truc c'est que les types qui s'amusent avec des méthodes de hack toute faites pour phpBB ne vont en général pas plus loin que les faille connues sur des forums pas à jour.

Ça doit bien faire un an que phpBB.com n'as pas été hacké, et encore c'était à cause d'une faille awstats, de la à dire que phpBB ne mérite pas sa réputation de script pas sécurisé mais que les webmestres qui l'utilisent le sont ...

++

[gowap]

Ouh la...
Je n'ai pas dit que phpBB n'était pas sécurisé, je suis un des premiers a avor le poil qui se dresse quand je lis encore aujourd'hui dans quantité de forums que phpBB n'est pas sécurisé, qu'il ne faut pas l'utiliser, etc.
Mon intervention n'a qu'un but, signaler qu'utiliser un nom different de celui par défaut est préférable. Et éviter d'autres formes communes.

phpbb.com n'est peut etre pas hacké, mais tu traines encore plus que moi dessus, et combien de fois lit on "je suis sous phpbb 2.0.1x" dans des messages. Et combien de forum sont installés une fois et jamais mis a jour ensuite ? Combien de maj non effectués car trop de mods installés ?

Les exploits connus, utilisés par des script kiddies ou autre font encore quantité de ravages.

[dcz]

Tu as raison, mais il y a tellement de moyens d'automatiser une recherche de forum phpBB ...
Après, c'est certain, éviter phpBB comme nom de dossier est un must, après, oui, forum, mais bon.
C'est un mot clés aussi, et il faudra bien l'appeler par son nom de temps en temps le forum.
Par contre, le terme pesant moins, il y a moins de chance de finir en bonne position sur des requête contenant "forum", alors ça peut aider à filtrer.
Mais ce qui est clair, c'est que d'éviter ces noms de dossier ne dispense pas de maintenir son forum à jour.
Et le pire est bien de dire mon forum est pas à jour en fournissant un lien vers celui-ci, un pousse au crime. Mieux vaut créer un nouveau compte avant de demander de l'aide dans ce genre de cas, quitte à l'abandonner une fois que c'est réglé.

++

[gowap]

perso, le script qui passe chez moi cherche toujours les 4 occurences citées plus haut, et on remarquera qu'il cherche le dossier "forums" avec un "s", et non "forum", qui est d'ailleurs le dossier que j'utilise. Par contre je suppose qu'il doit y avoir d'autres variantes qui explorent plus de noms de dossier.
Enfin comme dit, ce n'est pas ca qui est primordial niveau sécurité, mieux vaut s'abonner a la newsletter phpBB (au minimum) ou suivre ca régulièrement.

[dcz]

perso, le script qui passe chez moi cherche toujours les 4 occurences citées plus haut

On entre dans le HS total là, mais tu as pas essayé de voir si dés fois, ces scripts n'utilisaient pas la ou les mêmes IP au fil du temps ?

Rien de tel qu'un ban d'ip dans ce genre de cas, même momentané (un mois ou deux), cela vaut pour "ce site va être plus difficile à attaquer", et aussi, comme les script kiddies utilisent assez souvent leur IP personnelle, pour "attention, si tu continu, tu risques de te faire taper sur les doigts par ton fournisseur d'accès", car un rapport étayé par des logs apache peut finir par se transforme en avertissement (voir si les scans sont massifs, le retrait de la ligne) reçu directement par l'intéressé.

++

[gowap]

mais monsieur l'administrateur, il ne tient qu'a vous de diviser le sujet

Je ne me suis pas amusé a bloquer les IP, meme si ca me demange, ni a faire de mail aux abuse concernés.
En fait j'attends de trouver un systeme automatisé de ban (mise auto en deny htaccess) pour ce genre de connerie et aussi pour ceux qui scannent a la recherche des extensions frontpage

[dcz]

mais monsieur l'administrateur, il ne tient qu'a vous de diviser le sujet

Je ne me suis pas amusé a bloquer les IP, meme si ca me demange, ni a faire de mail aux abuse concernés.
En fait j'attends de trouver un systeme automatisé de ban (mise auto en deny htaccess) pour ce genre de connerie et aussi pour ceux qui scannent a la recherche des extensions frontpage

Promis dès que j'en finit avec cette maj et les deux ou trois truc que j'ai à faire en ce moment, je lance un test publique sur ma solution de sécurité.

Pour les IP, mieux vaut tout de même essayer de voir si il n'y a pas redondance dans les utilisations, c'est assez fréquent, et une ligne dans le .htaccess c'est radical.

++