Widziałem w sieci takie akcje, że na forum phpBB2 po wejściu instalowały się na kompie jakieś śmiecie i wywaliło błąd plików np session.php
W phpBB3 też widziałem podobne historie, wywalało błędy jakiś plików itp :/
Kiedyś koleszka pokazywał mi w jakimś sklepie internerowym, że wystarczy zadać proste polecenie SELECT (nie pamiętam dokładnie co tam było :/), np: w opcji wyszukiwania przedmiotów i już można komuś zajrzeć do BD :/
Czy takie same historie są z forami phpBB, czy to co opisuję wyżej to zwykłe spamboty?
I jak się przed tym zabezpieczyć?
Ataki na fora :/
Ataki na fora :/
Ostatnio zmieniony 04 czerwca 2008, 21:33 przez Betrayal, łącznie zmieniany 1 raz.
Powód: Usunięcie znaczników pogrubienia całego tekstu
Powód: Usunięcie znaczników pogrubienia całego tekstu
Re: Ataki na fora :/
nigdy do końca sie nie zabezpieczysz... niestety ale gdy programiści łatają jedną dziurę "hakerzy" znajdują kolejną
Parę ogólnych informacji:
Moduły PHP są pisane w języku programowania C, zatem moduły PHP mają takie same możliwości jak inne programy pisane w C, zatem skrypty PHP (np. phpBB) mogą używać opcji dostępnych dla C.
"hakerzy" również wykorzystują to do własnych celów.
Dlatego sugerował bym upgrade skryptów do najnowszych* stabilnych wersji
oprócz dziur w skryptach "hakerzy" wykorzystują dziury i luki w zabezpieczeniach serwerów, więc następną moją rada jest umieszczenie naszego skrypty PHP na profesjonalnym serwerze hostingowym (yoyo.pl i inne darmowe serwery nie są tak dobrze zabezpieczone!)
Jeśli spełniasz oba warunki w razie ataku możesz szczerze sobie odpowiedzieć "robiłem wszystko co było w mojej mocy! ale sie stało.."
* wersja RC nie jest wersją stabilną!
ps. mam nadzieje że chociaż troszkę i przybliżyłem ten problem z którym borykają sie wszyscy programiści tworzący skrypty PHP takie jak nasze phpBB.
// edit
o i zapomniałem na spamboty obecnie chyba najlepszą linią obrony jest potwierdzenie graficzne, włącz tą opcje przy rejestracji oraz przy dodawaniu postów przez gości.
Parę ogólnych informacji:
Moduły PHP są pisane w języku programowania C, zatem moduły PHP mają takie same możliwości jak inne programy pisane w C, zatem skrypty PHP (np. phpBB) mogą używać opcji dostępnych dla C.
"hakerzy" również wykorzystują to do własnych celów.
Dlatego sugerował bym upgrade skryptów do najnowszych* stabilnych wersji
oprócz dziur w skryptach "hakerzy" wykorzystują dziury i luki w zabezpieczeniach serwerów, więc następną moją rada jest umieszczenie naszego skrypty PHP na profesjonalnym serwerze hostingowym (yoyo.pl i inne darmowe serwery nie są tak dobrze zabezpieczone!)
Jeśli spełniasz oba warunki w razie ataku możesz szczerze sobie odpowiedzieć "robiłem wszystko co było w mojej mocy! ale sie stało.."
* wersja RC nie jest wersją stabilną!
Pozdrawiam Kubawikipedia pisze:RC (ang. Release Candidate, czyli Kandydat do wydania) – wydanie kandydujące, których może być nawet kilka, ale jeżeli nie zostanie w nim znalezione żadne istotne odstępstwo od planu wersji, zmienia się jedynie numer wersji na wyższy i uznaje wersję za stabilną
# wersja stabilna (wersja produkcyjna) – wersja nadająca się do użytkowania zgodnie z założeniami autorów
# wersje stabilne z poprawkami bezpieczeństwa lub innych błędów
ps. mam nadzieje że chociaż troszkę i przybliżyłem ten problem z którym borykają sie wszyscy programiści tworzący skrypty PHP takie jak nasze phpBB.
// edit
o i zapomniałem na spamboty obecnie chyba najlepszą linią obrony jest potwierdzenie graficzne, włącz tą opcje przy rejestracji oraz przy dodawaniu postów przez gości.
Re: Ataki na fora :/
To o czym piszesz to SQL Injection.snakedoo pisze: Kiedyś koleszka pokazywał mi w jakimś sklepie internerowym, że wystarczy zadać proste polecenie SELECT (nie pamiętam dokładnie co tam było :/), np: w opcji wyszukiwania przedmiotów i już można komuś zajrzeć do BD :/
Niestety większość z nich jest słabej jakości, nawet te zastosowane w phpBB3 (zostało złamane jeszcze przed wydaniem wersji stabilnej)..Net pisze:o i zapomniałem na spamboty obecnie chyba najlepszą linią obrony jest potwierdzenie graficzne, włącz tą opcje przy rejestracji oraz przy dodawaniu postów przez gości.
Re: Ataki na fora :/
Zgadzam się, nie ma w 100% skutecznego zabezpieczenia, hackerzy są coraz bardziej przebiegli i lepiej wyuczeni i wszędzie znajdą drogę do włamania się do bazy danych lub do samego kodu strony.
Ps. Następnym razem nie pisz całego postu wytłuszczonym drukiem, gdyż jest to zbędne.
Ps. Następnym razem nie pisz całego postu wytłuszczonym drukiem, gdyż jest to zbędne.
Re: Ataki na fora :/
I tu sie potwierdza to co napisałem wcześniejwe3b pisze:Niestety większość z nich jest słabej jakości, nawet te zastosowane w phpBB3 (zostało złamane jeszcze przed wydaniem wersji stabilnej).
ale dzięki potwierdzeniu graficznemu chociaż część botów odpada, dodatkowo dodając odpowiednie wymagania do opcji wstawiania linków przez "gości" - Bram możliwości dodawania linków i "nowych użytkowników" minimum 3 posty i 24h po zalogowaniu skutecznie blokują kolejne próby zamieszczenia spamu na naszej witrynie.Net pisze:nigdy do końca sie nie zabezpieczysz... niestety ale gdy programiści łatają jedną dziurę "hakerzy" znajdują kolejną
A co do: SQL Injection.
Również było to wykorzystanie podczas włamania na serwis Allegro poprzez wstrzyknięcie kodu poprzez opcje komentarzy.
W dzisiejszych czasach nikt nie może czuć sie bezpiecznie...
Korzystając z protokołu z protokołu https:// dodatkowo utrudniamy włamanie o kolejny algorytm, a gdy korzystamy z SSL i bezpiecznych ciasteczek spędzamy sen z powiek "hakerom".
Oczywiście nie zabezpieczy nas to w 100% bo jest to tylko kwestią czasu
Re: Ataki na fora :/
Dzienks za odpowiedź 
Akurat dobrego fora nie rozkręcałbym na darmowych serwerach typu yoyo.pl, zainwestowałem w komercyjny serwer.
Robią mi backupa co jakiś czas wiec w razie ataku mam możliwość przywrócenia wszystkiego
Dodatkowo sam robie backup tego co mam
Spam botów za bardzo się nie obawiam, bardziej tego, że ktoś może mniszyć mi forum :/
Opcja potwierdzenia wizualnego jest włączona od zawsze, o tym niema co mówić, możliwości komentowania przez gości u mnie niema.
Profilaktycznie zainstalowałem sobie jeszcze modyfikację Dara Spam Bot Stopped.
Chyba będę musiał bardziej zapoznać się z funkcjami zabezpieczającymi na moim hostingu.
PS: Sorki za pogrubione znaki, u mnie na forum tak piszę
Akurat dobrego fora nie rozkręcałbym na darmowych serwerach typu yoyo.pl, zainwestowałem w komercyjny serwer.
Robią mi backupa co jakiś czas wiec w razie ataku mam możliwość przywrócenia wszystkiego
Dodatkowo sam robie backup tego co mam
Spam botów za bardzo się nie obawiam, bardziej tego, że ktoś może mniszyć mi forum :/
Opcja potwierdzenia wizualnego jest włączona od zawsze, o tym niema co mówić
, możliwości komentowania przez gości u mnie niema.Profilaktycznie zainstalowałem sobie jeszcze modyfikację Dara Spam Bot Stopped.
Chyba będę musiał bardziej zapoznać się z funkcjami zabezpieczającymi na moim hostingu.
PS: Sorki za pogrubione znaki, u mnie na forum tak piszę
Re: Ataki na fora :/
Dzisiaj na tym forum widzialam Yahoo [Bot] i Google [Bot]. A wczoraj mialam wizyte tych botów na forum dalam bana na IP. I po sprawie. (Taka moja uwaga do administracji)
Re: Ataki na fora :/
hmm te boty możesz wyłączyć w PA nie musisz dawać bana na IP..leba12 pisze:Dzisiaj na tym forum widzialam Yahoo [Bot] i Google [Bot]. A wczoraj mialam wizyte tych botów na forum dalam bana na IP. I po sprawie. (Taka moja uwaga do administracji)
Panel administracyjny -> Szybki dostęp -> Boty -> Deaktywuj
tylko po co ... to są boty które zbierają informacje o treści zawieszonych na twoim forum i dodają to do bazy wyszukiwarek.. takie boty specjalnie sie zaprasza na własne witryn a nie bonuje..
Taka moja uwaga
