继续听到其他论坛被黑客攻击。我意识到,如果一个黑客是坚定的,他们会找到一种方法,但你可以采取什么措施来尽可能地确保它不会发生呢?
答案 0 :(得分:5)
PHPBB3中还会有另一个漏洞,您将被黑客入侵。尝试并保持PHPBB3最新。我知道Simple Machines Forums更加安全,因为我手动审核了它们。
1)毫无疑问,使用任何Web应用程序更安全的最重要的事情是使用Mod_Security等Web应用程序防火墙。
2)确保您使用的是使用ether SELinux或AppArmor的现代Linux发行版,SELinux更安全。 不要使用WINDOWS。
3)确保您的mysql用户帐户只能访问PHPBB3数据库,并且 NOTHING ELSE 。最重要的是要确保PHPBB3的帐户无法访问mysql.user表! “文件权限”是迄今为止您可以为Web应用程序提供的最糟糕的事情。文件权限远比“grant”更糟糕,因为攻击者会尝试像这样注入sql:' union select '<?php eval($_GET[e])?>' into outfile "/var/www/backdoor.php"--上传他的后门,“grant”只能在攻击者可以“堆叠”时使用“查询和mysql_query()不允许这样,并且不能在sql注入攻击中使用。
4)防火墙关闭端口3306,或mysql正在使用的任何端口。您应该只允许您绝对需要的端口,并且要特别小心数据库。
5)运行PHPSecInfo并确保它不会发出“红色”警告。
6)针对您的服务器运行OpenVAS,这可能是黑客首先要做的事情。
答案 1 :(得分:2)
你永远不能说如何从黑客那里100%安全,但你至少可以遵循一些安全政策来降低风险。