[PhpBB] Sicurezza su forum

Salve, posseggo un forum phpbb ultima versione, il quale, da alcuni giorni è sotto attacco dos.
Qualcuno sa darmi qualche consiglio? qualcuno conosce uno script per forum più sicuro o una qualche agenzia che protegga siti internet disponibile? grazie.

[funcool]

Per la sicurezza del forum, basta che lo aggiorni frequentemente.

P.S.: Sposto in Livello 4 e aggiungo il tag al titolo.

A parte gli aggiornamenti, se è del gruppo phpbb* ti consiglio di scaricare il mod Cracker tracker.

[Saturnix]

Quoto funcool: ho letto di un modo per crakkare i phpbb vecchie versioni. Perciò aggiornalo.

[Evcz]

sotto dos?

che dos?

c'entra poco la vers di phpbb che hai... puoi avere anche vb... ma un dos è sempre un dos :S

non ne ho idea, quei cretini di aruba non ti dicono un bel ciuffolo! ho chiesto spiegazioni e questa mattina ecco l email:

Gentile cliente,
la informo che il suo dominio generava a causa degli accessi pervenutogli un numero elevato di processi .PHP che ha portato velocemente alla saturazione delle risorse del server: deve assicurarsi che non vi siano problemi nella home page del suo dominio che, in determinati casi possano portare al verificarsi di questo problema.

Si assicuri inoltre di avere rimosso correttamente tutti i mods di cui indicatomi in precedenza.

Saluti
= = = = = = = = = = = = = = = = = = = =
WebServer - Aruba.it

[Evcz]

ahahaha

chiudi al loro, sono i maghi della sicurezza :)

mmm conoscete qualcuno che può aiutarmi? non dico gratuitamente posso anche pagare se mi aiuta a risolvere questo problema

[Evcz]

non era per cattiveria... ma quando hai scritto di aruba ho capito che si sarebbe andati poco lontani...

Gentile cliente,
la informo che il suo dominio generava a causa degli accessi pervenutogli un numero elevato di processi .PHP che ha portato velocemente alla saturazione delle risorse del server: deve assicurarsi che non vi siano problemi nella home page del suo dominio che, in determinati casi possano portare al verificarsi di questo problema.

problemi??? ma se dicono loro stessi che è a causa degli accessi pervenuti???

Comunque se si tratta realmente di dos (te l'ha detto aruba questa del dos?) bisognerebbe vedere che tipo di richeiste riceveva....

lo puoi desumere dal log... oppure dal server status (che su aruba chiunque può vedere)... ho avuto dei prob simili sul sito che aiuto a gestire... in quel caso l'attacco era stupido...

facevano richiesta /?(numerocasuale) usando client http/1.0 e con un paio di regole mod_security abbiamo sisteamto tutto...

dipende comunque da quanto bene è strutturato l'attacco... se richeide apgine che non hanno senso di esistere come nel caso che era successo a me ti salvi in fretta... altrimenti boh...

in entrambi i casi il provider svolge comunque un ruolo fondamentale:
1) deve identificare la causa precisa dei problemi o almeno darti i dati utili per farlo tu per conto tuo (log di apache in questo caso)
2) deve proporre qualche soluzione al cliente pagante.... chiudere i rubinetti senza un minimo rimborso mi pare assurdo... sopratutto un ISP noto per l'ILLIMITATEZZA delle sue offerte :D

ok ho proprio inviato una email questo pomeriggio ma mi sa che dormono di pomeriggio e che riattacano lunedì sai com'è orari d'ufficio mentre io sto quà cor sito bloccato senza poter mettere mani per proteggermi
we appena mi rispondono vi posto la replica, se mi aiutate vi ringrazio di cuore non scappate e

[Evcz]

si lo staff shared hosting lavora solo da lunedì a venerdì in orario d'ufficio... sabato e domenica ci sono solo quelli dei server dedicati... ma non sono autorizzati a far assolutamente nulla sui server per lo shared hosting...

in bocca al lupo :D

non ci posso credere, ecco che cosa mi hanno risposto!!!!! io gli avevo chiesto di dirmi quali erano le richieste che appesantivano la pagina e questa è la risposta

Gentile cliente,
come già indicatole l'utilizzo di tale applicazione richiede una quantità eccessiva di risorse presso la macchina che gestisce il suo dominio causando problemi al server sul quale è mantenuto il suo stesso sito portandolo dapprima a notevoli rallentamenti del servizio web di visualizzazione portandolo successivamente ad inevitabili crash che impedivano la visualizzazione on line del suo sito e di tutti gli altri domini presenti nella medesima macchina.

Per poter risolvere correttamente la situazione deve rivedere necessariamente l'intera applicazione utilizzata e tutto ciò che interagisce su di essa: deve eliminare le eventuali richieste superflue che l'utilizzo di tale applicazione ha verso la macchina cercando inoltre di ristrutturare l'intera applicazione alleggerendone il carico di utilizzo.

L'accesso FTP al suo spazio web le è stato lasciato attivo e pertanto può accedere tranquillamente allo spazio web del suo dominio per apportare tutte le modifiche che ritiene necessarie.

Tra l'altro non mi hanno nemmeno sbloccato il dominio come cavolo pretendono che lo testo senza vedere we conoscete un'altro hosting più serio? mi sa che cambio!

Di hosting buoni conosco Pianeta Hosting e TopHost.

[Evcz]

ti consiglio anch'io il primo dei due che ti ha indicato tuttoeniente2 :)

mmm mi hanno risposto ecco quà:

Gentile cliente,
le specifico che nel dettaglio il suo dominio subiva attacchi DOS che arrivavano poi a causare problemi all'intero server di gestione del suo spazio web: per poterle riattivare il suo dominio deve provvedere a modificare le sue pagine web in modo che possano rilevare mediante IP le pagine web che le vengono attaccate in modo che successivamente possa aggiungere negli applicativi delle sue pagine web una restrizione singola per l'indirizzo IP dal quale le è pervenuto l'attacco dos.

La informo inoltre che non è possibile configurare restrizioni per IP lato server, pertanto la soluzione sopra indicata è l'unica attuabile con un hosting condiviso.

Mi faccia sapere non appena avrà inserito on line le pagine web con le medesime caratteristiche.
Saluti

mi sembra assurdo dato che questo tipo di protezioni le avevo già messe da tempo esattemente 3 protezioni diverse per tutte le pagine:

1) Uno script che disabilita i programmi di flooding automatici utilizzando cookies, un utente infatti non può accedere al forum se prima non clicca sopra un pulsante "Enter" l'accesso alle altre pagine non è permesso se prima non si preme questo pulsante;
2) Uno script che limita le sessioni, solamente un dato numero di sessioni (20) può essere aperto;
3) Uno script che limita il numero di sessioni per ip (2) solamente due sessioni possono essere aperte dallo stesso ip.

non capisco come riescano a dossarmi

[Evcz]

non erano fatte bene.... quelle protezioni devono usare pochissime risorse.... l'ideale è mod_dosevasive direttamente in apache... ma li non ci puoi mettere le mani...

filtrare via php.... magari impiegando 30centesimi di secondo di parsing prima di filtrare non va bene e non funziona...

finchè non ti danno i log ci fai poco....

su aruba chiunque può accedere all'error_log globale di apache... potresti provare a vedere se c'è qualcosa che ti può tornare utile... l'access_log invece ora l'hanno bloccato...

per riuscire a dossarti basta avere un centinaio di ip pc... e far richiedere in continuazione pagine del tuo sito... per quanto sia fatto bene il blocco deve sempre passare per php, controllare eventuali matching con altre sessioni già aperte (magari via sql???)... insomma... roba che non va fatta con php...

Finalmente ho i log errors, però mo qualcuno deve aiutarmi a leggerli hey Evcz hai msn messenger che ti contatto? altrimenti, posso metterli tranquillamente quà e mi aiutate a leggerli?

[Evcz]

msn ce l'ho ma ho già fin troppa gente che mi tartassa :)

l'error_log non so a quanto possa servire... servirebbe l'access_log ... cmq posta quello che hai :)

Mmm, provo a chiedere magari me lo danno.
Ecco l'error log:

www.rev0xlu3s.net/log.txt

[Evcz]

quel log non serve a nulla dice solo che ci sono molti (???? 190 su un server che lavora con una media di 1200 thread apache aperti? :P) processi aperti...., bisogna sapare quali erano le esatte richieste che arrivano al server http... e quelle sono nell'access_log....

Ho chiesto ma non me li danno a sto punto cambio hosting e basta. Hey ne conoscete di buoni? ho bisogno di molta brandwith.

[Evcz]

molta quanta?

100-1000-10.000 giga al mese?

quantifica il molta :)

un sito medio su aruba non penso superi i 50giga al mese......

Su aruba era illimitata quindi non mi preoccupavo.
Comunque sarei rimasto con altervista ma voi non mi davate più di 10 giga mi sa che la mia si aggirava sulla ventina o sulla trentina di giga, mysql di circa 90MB in crescita. spazio mi basta anche una decina di giga.
We ma mi serve un hosting serio che non mi lascia a terra come questi quà

[Evcz]

beh...

10giga di spazio sono tantini eh :S

hosting seri, conoscendo le persone che ci lavorano, ti consiglierei pianetahosting.it ... ma come hai avuto modo di sperimentare sulla tua pelle... una conto tutto illimitato un'altro è l'hosting serio...
due cose difficilmente concigliabili....

ok, mi sembra una cosa fatta bene, prenderò il pachetto da 200.
Damn! devo solamente cambiare dominio, l'unica seccatura nemmeno il trasferimento di dominio ti danno quelli di aruba!

[Evcz]

il trasferimento dovrebbe in genere è compreso nel costo del nuovo pacchetto (nuovo dominio oppure trasferimento)... basta che lo sblocchi dal pannello aruba... e ti fai mandare l'authorization code ;)

eventualmente quando attivi il piano segnala loro il problema che hai avuto su aruba... così magari possono prestare particolare attenzione per vedere se ci sono richieste strane in arrivo verso il tuo sito ;)

ohhhh quà si parla di un'altra settimana, faccio prima ad ordinare un nuovo dominio e a mettere un redirect sull'altro

[Evcz]

in effetti :D

prendi il corrispettivo .com e buona notte... così pure ti levi di torno il ddos se è fatto in maniera stupida :D

mmm impossibile già registrato .com, l'ho pigliato .name spero di aver fatto una buona scelta

Aruba non supporta phpBB
http://phpbb.it/forum/viewtopic.php?t=6224