【閒聊】phpbb 的 index.php 全被換掉

[genjen]

大家好, 我有位朋友的 phpbb 論壇, 上個禮拜的某一天, 一夜之間所有phpbb 目錄下的 index.php 都被換掉, 但是他的站有設定 firewall rule, 只有 http、ssh 以及 ping 可以到得了那台 Linux Server, 而且 ssh 有限定來源IP, 所以懷疑是不是 phpbb 有什麼漏洞可以讓人家透過 phpbb 取得權限進而修改所有的 index.php? 因為他除了 index.php 之外, 其他的檔案都好好的...

[hertw]

不知道和這個有沒有關，參考看看吧！

2.0.1.1 之前的有漏洞會被攻擊
http://www.symantec.com/avcenter/ven...erl.santy.html

官網公告
http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=244451

[cheerx]

光是開PING就足以讓人癱瘓一個網站.如果有人知道APACHE的緩衝區溢位的漏洞,透過APACHE就可以做一些事情了.常用的幾套討論區和架站程式都存在很多已經公開和沒有公開的漏洞,要使用就要常常注意更新版本,才能做到基本的防護.

[阿 土]

phpbb 是免費的 , 漏洞很多
很多針對 phpbb 攻擊成功後植入入木馬程式於網站上
任何上去瀏覽的人 , 若沒裝防毒軟體都可能中鏢
唯一的方法就是改換其他程式 , 或三天兩頭就要注意一下更新狀況
不要裝了就以為沒事了不管版本的更新

[linux_xp]

IP 可以偽裝
SSH 限定來源 IP 並不能做到 100% 防護
若要提供能從 Internet 連入 SSH (非區域網路私人IP)
最佳的防護方法是禁止 root 登入

首先，不能 root 登入，就只能以 user 權限登入
那駭客就必須知道 usr 的名稱，這個比密碼還難猜

就算給他從字典檔猜中了，他還要破解兩道密碼
一個是 user 密碼，一個是 root 密碼

但問題是 SSH 登入時，並不會去回應有沒有這個 user
SSH 只會回應登入成功或失敗
所以猜中的成功率，可以說幾乎等於0
因為根本就不知道，到底是帳號名稱錯，還是密碼錯...
除非駭客原先就知道你那台主機上面，有什麼帳號名稱

以 user 權限登入後，再執行 su - 切換身分為 root
同樣就可以用 root 權限執行工作了，並不受影響

而這個 su 程式，最好也設上權限
例如：
-rwsr-x--- (4750) root mis su
使能夠執行 su 的人，只有 root 和 mis 群組

假設電腦上面有2個 user 帳號 (或更多帳號)
abc001，群組為 abc001
abc002，群組為 mis

這兩個帳號都能以 SSH 登入
但只有 abc002 可以用 su 轉換身份為 root
因為 abc001 權限不足，無法執行 su
這樣安全性就更上層樓了

[dou0228]

phpbb 基本上 bug 非常的多.. 如果要拿來做公開的網站
最好還是不要, nuke 一類的也是一樣..

它的原始碼真的是.. 慘不忍睹.. 唯一的好處大概只剩下是 Open Source

如果只有 index.php 被改, 應該就是 phpbb 本身的 bug 了

ssh 如果有限制某些 IP 才可以 ssh, 那樣已經夠了..
ping 最好還是限制一下 threshold, 避免被 ping flooding
echo -n 0x7FFFF > /proc/sys/net/ipv4/icmp_ratemask
echo -n 200 > /proc/sys/net/ipv4/icmp_ratelimit ( 2 * HZ = 2 * 100 )

這樣就可以限制 2 秒才回一個 ping request

或者就不回 ping:
echo -n 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all