Mantenha o phpBB Atualizado

Quarta-feira, 25 de Abril de 2007. 10:37:12
Sobre Fóruns |

O phpBB, como qualquer ferramenta, está sujeito a erros, problemas e ataques. O fato dele ser aberto favorece a descoberta de falhas. Constantemente a equipe de desenvolvimento lança correções para problemas descobertos. Infelismente nem todo administrador fica atento a isto, “está funcionando, não há o que mexer”. Este comportamente acaba permitindo ataques e propagação de erros. Este artigo visa apresentar alguns motivos para a realização da atualização e o processo correto para manter seu fórum atualizado e funcionando sem problemas.

Antes de mais nada, é necessário descobrir qual versão o seu fórum está usando. Existem 2 formas de fazer isso. A primeira é olhando o rodapé do fórum. Até a versão 2.0.13 a versão era exibida ali. A partir desta versão (que veio corrigir falhas contra o worm santy, que em 2004 atacou milhares de sites que usam o phpBB em todo o mundo) a versão é exibida na página inicial do painel de administração, juntamente com a versão mais recente e um aviso de que deve ser atualizado (se for este o caso).

Se o seu fórum está desatualizado você está sujeito a diversos tipos de ataque que incluem:

1 - Falha no arquivo de perfil, que permite à um hacker ter acesso ao arquivo hash (senha criptografada) do administrador ou outro usuário: O hacker tendo o hash pode chegar à sua senha. Apesar de não ser uma tarefa fácil, não é impossível descobrir qual texto representa o hash, permitindo assim ao hacker descubra sua senha, podendo se logar com seu usuário e realizar qualquer atividade em seu nome. Isso pode ser ainda pior se você utilizar a mesma senha para outros registros, como e-mail pessoal e acesso ao domínio e administração do site em relação ao seu serviço de hospedagem.

2 - Executar arquivos remotos: Essa falha permite que o hacker use o fórum para executar comandos do sistema operacional onde os arquivos estão hospedados, tendo acesso total á sua conta (não só dos arquivos do fórum!). Tendo acesso à sua conta, o hacker pode alterar arquivos (podendo desfigurar sua página), deletar arquivos (tirando o site do ar) e ter acesso a arquivos de configuração, como o config.php do phpBB, que contém todos os dados de conexão ao banco de dados, expandindo o seu ataque à ele, baixando o banco e reproduzindo seu site/forum em outro local, alterando e deletando informações e muito mais. observe que está falha é bastante grave, mesmo sendo apenas no fórum, o site inteiro pode ser atacado.

3 - SQL Inject: Permite ao hacker executar consultas e inserções ao banco de dados, podendo deletar tudo, copiar o banco, deletar você do seu próprio site, criar um usuário com perfil de administrador, visualizar informações restritas entre outras coisas.

4 - Logar-se como administrador: De forma simples, sem saber sua senha, o hacker pode se logar como administrador (ou qualquer outra pessoa do fórum) e realizar atividades como se fosse essa pessoa. No caso de se logar como administrador do fórum ele poderá realizar qualquer coisa, desde copiar o banco de dados até deletar tudo.

5 - DoS (Denial of Service) - Negação de serviço. O hacker usa uma falha que permite gerar grande tráfego, seja por registros de usuários fantasmas ou buscas, tirando seu site do ar ou esgotando a sua taxa de transferência mensal, deixando seu site fora do ar. Dependendo do caso e da proteção do seu serviço de hospedagem, não só o seu site, mas TODO o serviço de hospedagem pode cair. Neste caso o serviço pode até deletar o seu site por permitir tal ação. Lembre-se que você é responsável por seu site e pode vir a responder por crimes e ações causadas por outras pessoas usando seu site. Veja a importância de se manter o sistema atualizado. Um descuido pode prejudicar não só você, mas muitas pessoas.

6 - PHP Code inject - permite que o hacker execute funções do php e obtenha acessos não autorizados ao sistema, seja no fórum ou mesmo no seu site inteiro.

Como vemos, o sistema já teve várias falhas corrigidas e não atualizar o sistema deixa seu site/forum exposto a elas. Vale lembrar que o administrador do site é responsável por ele e pelos conteúdos que ele manipula, inclusive os dados dos usuários (que poderão recorrer a justiça em caso de problemas ligados a uma invasão).

Mostrado o porque de atualizar é hora de colocar a mão na massa. O processo de atualização é basicamente o de substituição de códigos antigos pelos novos, além de adptar o banco de dados para a nova versão.

Este processo pode ser feito da seguinte forma:

1 - Seu fórum não possui nenhuma modificação ou personalização
Se o seu fórum está do mesmo jeito que foi instalado, sem nenhum modificação nos arquivos, basta baixar o pacote “phpBB 2.0.xx Changed Files Only” que contém todos os arquivos modificados em relação a cada versão e o arquivo de atualização do banco.
O primeiro passo é atualizar o banco. envie para o servidor a pasta install que vem no arquivo e execute o arquivo update_to_latest.php que se encontra dentro dele, removendo em seguida os arquivos que acabaram de ser copiados. Feito isto o banco estará atualizado e basta você descompactar o arquivo referente à sua versão atual e madnar os arquivos descompactados para o diretório principal do fórum. Pronto! O fórum está atualizado e rodando sem problemas.

2 - Seu fórum foi modificado/personalizado
Se o seu fórum foi personalizado não é possível usar o primeiro método. Isto porque se sobrescrever os arquivos as personalizações serão perdidas. Neste caso o processo de atualização é um pouco mais complicado, cada mudança de versão deverá ser feito via código, programando cada uma. Para fazer isso os desenvolvedores do sistema disponibilizam o arquivo “Code Changes” que contém as mudanças. O padrão deste arquivo é o mesmo que um MOD (se você não tem idéia de como isso funciona leia o artigo Modificando o phpBB 2.0.x - Instalação de MODs que eu postei esta semana). O processo de atualização do banco é o mesmo do primeiro método. É importante destacar que, se você tem um fórum muito desatualizado, você terá que fazer o code change de cada versão até chegar a mais recente.

Bom no mais fica aí a dica, manter o sistema atualizado aumenta a segurança do mesmo e evita que você tenha a desagradável sensação de ter o site atacado ou mesmo de um visitante reclamar de erros.

Até a próxima…