Ход работ

[WildRAID]

По порядочку.

1. Аудит форума на предмет уязвимостей.

а) проверить правильные ли даны права файлам и каталогам на хостинге

Как ни странно - права неправильные. На всех папках стоят права 755. Тем не менее, в силу настроек хостинга, это не создаёт никаких проблем. Файлы корректно загружаются.

Учитывая тот факт, что во всех папках, куда могут загружаться файлы, запрещено выполнение скриптов -> ничего страшного в этом нет.

б) проверить версию форума

Текущая версия форума - 2.3.4. Обновление до последней версии (2.3.6) включает в себя такой шаг, как полную замену файлов скрипта на новые. При этом потеряются все установленные модификации. И вся предыдущая работа над кодом форума.

Сделал следующее:

+ поставил все обновления безопасности;

+ вручную сделал несколько самых критичных изменений;

в) использовать все встроенные инструменты по проверке уязвимостей

Использовал. Правда, от встроенных сканеров толку мало - грамотно составленный шелл обойдёт их без особого труда. Запись в conf_global запретил, запуск скриптов из папок с загружаемыми файлами запретил.

Что ещё можно сделать.

На самом деле, за последний год не было найдено ни одной дейтсвительно серьёзной уязвимости в IP.Board. Практически 100% взломов осуществляется через "социальную инженерию". Т.е. такими способами, которые используют ошибки человека, а не скрипта.

Из самых частых способов:

1. Взлом почты администратора, восстановление пароля на почту администратора.

2. Администратор регистрируется на ресурсе X с тем же самым (или похожим) паролем. Этот ресурс может быть либо под контролем злоумышленника, либо иметь уязвимости, через которые можно получить пароль.

3. "Картинка на другом хосте с паролем". 

При постинге такой картинки выдаётся стандартный запрос "Введите логин\пароль" для доступа к картинке. Разумеется, пароли перехватываются.

Что можно с этим сделать.

1. Дополнительный пароль на админку. Т.е. будет: "логин\обычный пароль\доп. пароль". Даже если вы где-то потеряете свой пасс, в админку злоумышленник войти не сможет.

2. Запрет на "Восстановление пароля на почту" для администраторов.

и т.д. Если интересно, можно развить тему.

По борьбе со спамом.

Такого вопроса, как сейчас, вполне достаточно. Даже более того - можно обойтись вообще без картинки, и без вопросов.

Любое, даже самое незначительное изменение в механизме регистрации приводит к тому, что популярные боты оказываются бессильны. Под каждый конкретный форум их никто не переписывает, т.к. есть сотни тысяч форумов, на которых всё отлично работает.