Каскадный · [ Стандартный ] · Линейный+ Наезды, нужен классный совет от спецов

[KuHO]

Очень часто на сайтах, где я работаю, получаю угрозы такого типа
"Ну и блокируйте, я приму меры к вашему сайту" или "а ты не боишься за свой сайт" или "я твой фтп взломаю" и тп...

Проходит уже долгое время, а последствий угроз я пока не испытываю.

Просьба поделиться. Имело ли это у кого место, кто как реагировал, что делал и были ли реальные осуществления угроз?

[alossenko]

гы я знаю один такой сайтик, где ничего не боялись

главное апдейты, патчи и т.д. во-время ставить - и всё будет ок

что нашему форуму тоже не мешало бы сделать уже есть v2.1.4

[KuHO]

гы  я знаю один такой сайтик, где ничего не боялись

И что с этим сайтиком произошло?

[ShubkA]

2 KuHOJII-O6:

Ну теперь этого сайтика нет больше
Уложить можно почти всё если руки из правильного места ростут.
Обычно угрозы слышны от всяких прыщавых подростков, которые думают, что просто задав в поиск гугля что-то вроде "Hack Invision Power Board", найдут скрипт аля "Нажми 1 раз и ты всё сломал"
Как сказал alossenko главное ставить во время апдэйты, патчи, делать бэкапы и.т.д. и всё будет ОК.

Удачи, ShubkA

P.S. Знаю тоже один сайт где думали и думают, что они умнее всех

[Bubble-Gum]

те, кто действительно поломать могут, не будут ходить и об этом трезвонить.
но как уже сказали, патчить во время.
А еще лучше не брать готовые скрипты, дыры в которых известны многим, а сесть и написать их самому.

[KuHO]

Апдейты делать боюсь, так как напоролся на бета обновление - что чуть всю БД не потерял. Пришлось заново переустанавливать все и восстанавливать из бекапа.
Бекап, разумеется, делаю.
Скрипты, пишу вручную по мере своих знаний.

Дело в том, что на сайте (где я получил последнюю угрозу) мы выставляем анонс фильмов и иногда ссылки на закачку... со своих компов...

Это чревато (допустим хакеров исключим) последствиями борьбы против пиратства?

[alossenko]

А еще лучше не брать готовые скрипты, дыры в которых известны многим, а сесть и написать их самому.

Совсем не факт, что собственный скрипт будет безопаснее, если ты конечно не гуру программирования. Да и гуру ошибаются. Просто тебе будет спокойнее со своим скриптом

[Bubble-Gum]

есстественно не факт, но вслепую все равно дыру искать посложнее.

кончено если в собственных скриптах сработает, если в пассворд поле ввести: ' OR 1;
то тогда лучше готовое брать.

[KuHO]

2 Bubble-Gum:
Это с полями бд MySql?

[alossenko]

это sql injection

[KuHO]

2 alossenko:

А точнее? Я только копаюсь в phpmyadmin

[alossenko]

ну например для авторизации используется следующий запрос в базу:

SELECT * FROM users WHERE username = '$user' AND password = '$password';

вводим в поле user : admin
а в поле password :

CODE

x'; DROP TABLE users; --

в результате получаем такой запрос:

CODE

SELECT * FROM users WHERE username = 'admin' AND password = 'x'; DROP TABLE users; --';

и этим самым грохаем всю таблицу с пользователями

или еще что угодно сделать с этой базой. насколько фантазии хватит

[KuHO]

Ну для этого нужно в базу пробраться. Тем более имя user `admin изменен на другое имя. При этом localhost остается с admin

[alossenko]

да блииин

не нужно никуда пробираться. это например на форуме такие поля username и password. если скрипт который сверяет ник и пароль использует запрос, который я написал выше и не фильтрует символы - то пипец форуму, если эту уязвимость использовать.

[KuHO]

Рисковать не стану. Хотя есть у меня один полумертвый форум...
А это поле БД можно ведь DROP TABLE users сделать неактивным. То есть как сказано - отфильтровать символы.
Если ИПБ - то пипец, только бекап успевай делать. Тут наверно надо апдейты делать 2.1.4.
Если через ПХПНюк, то пхпбб - как-раз тот, что я пару раз обновил, а потом восстанавливал с бекапа. Вот тут есть уязвимость админ доступа к .htaccess, а также уязвимость отображения всевозможных веб-ошибок для глаз посетителя. По инструкциям некоторые команды переделал, переписал скрипты. Это чтоб не патчить форум, но более менее защитить.
Но пхпББ - глючит нередко.
Вобщем надо - как сказал Владимир Ильич - мучаться, мучаться и мучаться... А для этого учиться надо.