Mysql databáze, jak na to

Máte problémy s instalaci phpBB3 nebo s konverzi z phpBB2 na phpBB3? Zde naleznete pomoc.
Pravidla fóra
Čim více informací poskytnete ve vašem dotazu, tim vyšší je šance, že se vám dřív dostane přesné odpovědi. Uveďte odkaz na vaše fórum, používané MODy a styly a zkuste sepsat úpravy na fóru za poslední týdny. Nezapomeňte uvést výstižný titulek tématu.
Zamčeno
Chandler89
Příspěvky: 16
Registrován: pon 24. kvě 2010 14:08:22

Mysql databáze, jak na to

Příspěvek od Chandler89 » pon 24. kvě 2010 14:28:27

Zdravím ..už jsem se tu zde stručně jednou zmiňoval o daném problému, ale teď se na ten problém zaměříme více ..

Jednou jsem nainstaloval úspěšně forum, založil diskuze a vše v pohodě. Uživatelům jsem nastavil oprávnění s tím, že mohou editovat a mazat své příspěvky, nic extra navíc .. no a pak se tam naboural hacker a začal všechno měnit. Měl práva "admin" i přesto, že tam byl přihlášen jako "nově registrovaný uživatel".

Byl jsem s ním v kontaktu a upozorňoval mě, že ve foru mám díru, přes kterou se tam lehce dostane. Do teď mě odmítl sdělit o jakou konkrétní chybu se jedná. Dle mě se nevím jak, se naboural do souboru "config.php " a získal tak přihlašovací údaje k Mysql databázi, které jsou v souboru uloženy. Otázkou je, jak se tam dostal a co jsem konkrétně udělal špatně. Forum běželo chvíli a vím, že na 100% jsem uživatelům práva nepřiděloval, aby měla plné funkce jako admin.

V tý době, kdy moje forum bylo napadeno, jsem resetoval a dělal vše proto, aby všichni uživatelé neměli žádné práva na nic ..jen admin. I přesto ho to nezastavilo a šmejdil si tam dál. když jsem se díval do pole administrátorů, byl jsem tam přidán pouze já.

Nenapadal mi jen forum, dostal se i do WP administrace, tedy na web. Začal editovat články atd. hacker uvědomil dalším svým kolegům chybu v mém foru, která tam byla a přidali se i oni.

Závěrem by mě zajímalo, Co jsem konkrétně udělal špatně, jak se tam dostal, jestli nevyužíval na to nějaký program a čeho se vyvarovat a jak lépe svou databázi Mysql zabezpečit. Pokud jste to dočetli až sem, gratuluji a Děkuji předem za vaše odpovědi.

;-)

WhiteWolfSix
Příspěvky: 9436
Registrován: pon 24. črc 2006 0:00:00
Bydliště: 48°43'N, 19°08'E
Kontaktovat uživatele:

Re: Mysql databáze, jak na to

Příspěvek od WhiteWolfSix » pon 24. kvě 2010 14:55:26

Súbor config.php obsahuje citlivé údaje pre prístup do DB, takže ho je nutné chrániť. Počas inštalácie fóra je nutné nastaviť CHMOD 666, čím nastavíme prístupové práva pre zápis do tohto súboru, ale umožníme tým aj prípadným útočníkom dostať sa k údajom tohto súboru. Preto je po inštalácii fóra nutné nastaviť CHMOD tohto súboru na hodnotu 640, prípadne 644, čím zvýšime bezpečnosť fóra.

Ak si zistil prienik do DB, musíš zmeniť prístupové údaje k DB tak, aby ich narušiteľ nedokázal zistiť. Problémom môže byť to, že sa útočník mohol dostať k údajom tvojho prístupu na server prostredníctvom nezabezpečeného FTP klienta (mnohokrát riešený problém na fórach), čím sa mohol dostať k údajom súboru config.php bez akýchkoľvek problémov.

Riešenie:
1. Zmena prístupových údajov k administrácii webu
2. Zmena e-mailového kontaktu pre administráciu webu (
3. Zmena prístupových údajov k FTP kontu
4. Zmena prístupových údajov k DB (phpMyAdmin)
5. Neukladanie hesla v FTP klientovi (zvyčajne Total Commander)
6. Prekontrolovanie všetkých zložiek, prípadne súborov webu na prítomnosť pridaného skriptu na kradnutie hesiel
7. Skontrolovanie aktualizácií fóra a Word Pressu
8. Prekontrolovanie nastavení atribútov zložiek a súborov (tzv. CHMOD)
9. Zmena hesla pre prístup do administrácie fóra i WP
9. Kontrola oprávnení užívateľov
WhiteWolfSix (WW6)
Nežiadajte ma o pomoc prostredníctvom icq a SS (SZ)

Chandler89
Příspěvky: 16
Registrován: pon 24. kvě 2010 14:08:22

Re: Mysql databáze, jak na to

Příspěvek od Chandler89 » pon 24. kvě 2010 15:16:41

Ok, takže jestli jsem to dobře pochopil ..nastavím tam jen CHMOD 644 ? To 666 teda nastavovat nemám ..když nastavím 644

Chandler89
Příspěvky: 16
Registrován: pon 24. kvě 2010 14:08:22

Re: Mysql databáze, jak na to

Příspěvek od Chandler89 » pon 24. kvě 2010 15:25:07

PS : Mé forum je toto (instalováno na novo) http://friends-sitcom.com/forum/

WhiteWolfSix
Příspěvky: 9436
Registrován: pon 24. črc 2006 0:00:00
Bydliště: 48°43'N, 19°08'E
Kontaktovat uživatele:

Re: Mysql databáze, jak na to

Příspěvek od WhiteWolfSix » pon 24. kvě 2010 19:11:25

CHMOD666 pre súbor config.php sa nastavuje len počas inštalácie fóra. Po dokončení inštalácie je nutné okamžite zmeniť na CHMOD644.
WhiteWolfSix (WW6)
Nežiadajte ma o pomoc prostredníctvom icq a SS (SZ)

danti
Příspěvky: 2615
Registrován: pon 12. led 2009 20:57:21

Re: Mysql databáze, jak na to

Příspěvek od danti » pon 24. kvě 2010 19:45:46

troska opravim CHMOD777 pre súbor config.php sa nastavuje len počas inštalácie fóra

Chandler89
Příspěvky: 16
Registrován: pon 24. kvě 2010 14:08:22

Re: Mysql databáze, jak na to

Příspěvek od Chandler89 » pon 24. kvě 2010 21:25:57

Rozjel jsem tedy nové forum .. http://friends-sitcom.com/forum/ snad úspěšně. Nastavoval jsem oprávnění jen v diskuzích, na uživatelé jsem neklikal (těm jsem jako skupinám neměnil práva, nechal jsem, jak to je). Myslíte, že je to takhle ok ? Nebo jsem někde už udělal nějakou chybu ?

WhiteWolfSix
Příspěvky: 9436
Registrován: pon 24. črc 2006 0:00:00
Bydliště: 48°43'N, 19°08'E
Kontaktovat uživatele:

Re: Mysql databáze, jak na to

Příspěvek od WhiteWolfSix » úte 25. kvě 2010 13:09:51

danti píše:troska opravim CHMOD777 pre súbor config.php sa nastavuje len počas inštalácie fóra
Súboru sa nedáva CHMOD777 ale CHMOD666. CHMOD777 sa dáva zložkám a nie súborom.
WhiteWolfSix (WW6)
Nežiadajte ma o pomoc prostredníctvom icq a SS (SZ)

danti
Příspěvky: 2615
Registrován: pon 12. led 2009 20:57:21

Re: Mysql databáze, jak na to

Příspěvek od danti » úte 25. kvě 2010 17:42:00

WhiteWolfSix píše:
danti píše:troska opravim CHMOD777 pre súbor config.php sa nastavuje len počas inštalácie fóra
Súboru sa nedáva CHMOD777 ale CHMOD666. CHMOD777 sa dáva zložkám a nie súborom.
asi sa nerozumieme CHMOD777 sa dava na config.php pri instalacii a po instalacii sa dava na CHMOD644 alebo sa da nainstalovat ked das CHMOD666 na config.php podla mna nie config.php pri instalacii musi mat 777 aby sa dalo do neho zapisovat

Uživatelský avatar
gmvasek
V.I.P.
V.I.P.
Příspěvky: 1910
Registrován: pát 20. led 2006 1:00:00
Bydliště: RuneScape W61/92
Kontaktovat uživatele:

Re: Mysql databáze, jak na to

Příspěvek od gmvasek » úte 25. kvě 2010 19:22:49

config.php bude při 666 zapisovatelný. Tečka. Nehádej se s členem podpory.
RuneScape Wiki | Můj Twitter | CSRUNE fórum | Smixovo fórum o phpBB3 - lastRSS

NEPOSKYTUJI podporu přes ICQ/Jabber/SZ ani jiné komunikační protokoly! => ptejte se zde
NEPOSKYTUJI podporu pro warez fóra.
HLEDEJTE před položením dotazu.
NEURGUJTE podporu.

WhiteWolfSix
Příspěvky: 9436
Registrován: pon 24. črc 2006 0:00:00
Bydliště: 48°43'N, 19°08'E
Kontaktovat uživatele:

Re: Mysql databáze, jak na to

Příspěvek od WhiteWolfSix » úte 25. kvě 2010 21:56:13

danti: Odporúčam Ti doštudovať si napríklad: http://www.phpbb.com/kb/article/phpbb3- ... rmissions/
WhiteWolfSix (WW6)
Nežiadajte ma o pomoc prostredníctvom icq a SS (SZ)

danti
Příspěvky: 2615
Registrován: pon 12. led 2009 20:57:21

Re: Mysql databáze, jak na to

Příspěvek od danti » úte 25. kvě 2010 21:56:38

gmvasek píše:config.php bude při 666 zapisovatelný. Tečka. Nehádej se s členem podpory.
mas pocit ze sa hadam.Tečka
Naposledy upravil(a) WhiteWolfSix dne úte 25. kvě 2010 22:02:22, celkem upraveno 1 x.
Důvod: Varovanie vydané

WhiteWolfSix
Příspěvky: 9436
Registrován: pon 24. črc 2006 0:00:00
Bydliště: 48°43'N, 19°08'E
Kontaktovat uživatele:

Re: Mysql databáze, jak na to

Příspěvek od WhiteWolfSix » úte 25. kvě 2010 22:02:06

Tému zamykám.
WhiteWolfSix (WW6)
Nežiadajte ma o pomoc prostredníctvom icq a SS (SZ)

Zamčeno