Очень часто на сайтах, где я работаю, получаю угрозы такого типа
"Ну и блокируйте, я приму меры к вашему сайту" или "а ты не боишься за свой сайт" или "я твой фтп взломаю" и тп...
Проходит уже долгое время, а последствий угроз я пока не испытываю.
Просьба поделиться. Имело ли это у кого место, кто как реагировал, что делал и были ли реальные осуществления угроз?
Full Version: Наезды
гы 
я знаю один такой сайтик, где ничего не боялись 
главное апдейты, патчи и т.д. во-время ставить - и всё будет ок
что нашему форуму тоже не мешало бы сделать уже есть v2.1.4 
я знаю один такой сайтик, где ничего не боялись главное апдейты, патчи и т.д. во-время ставить - и всё будет ок
что нашему форуму тоже не мешало бы сделать
уже есть v2.1.4
QUOTE(alossenko @ там)
гы я знаю один такой сайтик, где ничего не боялись
И что с этим сайтиком произошло?
2 
KuHOJII-O6:
Ну теперь этого сайтика нет больше
Уложить можно почти всё если руки из правильного места ростут.
Обычно угрозы слышны от всяких прыщавых подростков, которые думают, что просто задав в поиск гугля что-то вроде "Hack Invision Power Board", найдут скрипт аля "Нажми 1 раз и ты всё сломал"
Как сказал alossenko главное ставить во время апдэйты, патчи, делать бэкапы и.т.д. и всё будет ОК.
Удачи, ShubkA
P.S. Знаю тоже один сайт где думали и думают, что они умнее всех
KuHOJII-O6:Ну теперь этого сайтика нет больше
Уложить можно почти всё если руки из правильного места ростут.
Обычно угрозы слышны от всяких прыщавых подростков, которые думают, что просто задав в поиск гугля что-то вроде "Hack Invision Power Board", найдут скрипт аля "Нажми 1 раз и ты всё сломал"
Как сказал alossenko главное ставить во время апдэйты, патчи, делать бэкапы и.т.д. и всё будет ОК.
Удачи, ShubkA
P.S. Знаю тоже один сайт где думали и думают, что они умнее всех
те, кто действительно поломать могут, не будут ходить и об этом трезвонить.
но как уже сказали, патчить во время.
А еще лучше не брать готовые скрипты, дыры в которых известны многим, а сесть и написать их самому.
но как уже сказали, патчить во время.
А еще лучше не брать готовые скрипты, дыры в которых известны многим, а сесть и написать их самому.
Апдейты делать боюсь, так как напоролся на бета обновление - что чуть всю БД не потерял. Пришлось заново переустанавливать все и восстанавливать из бекапа.
Бекап, разумеется, делаю.
Скрипты, пишу вручную по мере своих знаний.
Дело в том, что на сайте (где я получил последнюю угрозу) мы выставляем анонс фильмов и иногда ссылки на закачку... со своих компов...
Это чревато (допустим хакеров исключим) последствиями борьбы против пиратства?
Бекап, разумеется, делаю.
Скрипты, пишу вручную по мере своих знаний.
Дело в том, что на сайте (где я получил последнюю угрозу) мы выставляем анонс фильмов и иногда ссылки на закачку... со своих компов...
Это чревато (допустим хакеров исключим) последствиями борьбы против пиратства?
QUOTE(Bubble-Gum @ Среда, 11 Января 2006, 8:44)
А еще лучше не брать готовые скрипты, дыры в которых известны многим, а сесть и написать их самому.
Совсем не факт, что собственный скрипт будет безопаснее, если ты конечно не гуру программирования. Да и гуру ошибаются. Просто тебе будет спокойнее со своим скриптом
есстественно не факт, но вслепую все равно дыру искать посложнее.
кончено если в собственных скриптах сработает, если в пассворд поле ввести: ' OR 1;
то тогда лучше готовое брать.
кончено если в собственных скриптах сработает, если в пассворд поле ввести: ' OR 1;
то тогда лучше готовое брать.
это sql injection 
ну например для авторизации используется следующий запрос в базу:
SELECT * FROM users WHERE username = '$user' AND password = '$password';
вводим в поле user : admin
а в поле password :
в результате получаем такой запрос:
и этим самым грохаем всю таблицу с пользователями
или еще что угодно сделать с этой базой. насколько фантазии хватит
SELECT * FROM users WHERE username = '$user' AND password = '$password';
вводим в поле user : admin
а в поле password :
CODE
x'; DROP TABLE users; --
в результате получаем такой запрос:
CODE
SELECT * FROM users WHERE username = 'admin' AND password = 'x'; DROP TABLE users; --';
и этим самым грохаем всю таблицу с пользователями
или еще что угодно сделать с этой базой. насколько фантазии хватит
Ну для этого нужно в базу пробраться. Тем более имя user `admin изменен на другое имя. При этом localhost остается с admin
Тем более имя user `admin изменен на другое имя. При этом localhost остается с admin
да блииин
не нужно никуда пробираться. это например на форуме такие поля username и password. если скрипт который сверяет ник и пароль использует запрос, который я написал выше и не фильтрует символы - то пипец форуму, если эту уязвимость использовать.
не нужно никуда пробираться. это например на форуме такие поля username и password. если скрипт который сверяет ник и пароль использует запрос, который я написал выше и не фильтрует символы - то пипец форуму, если эту уязвимость использовать.
Рисковать не стану. Хотя есть у меня один полумертвый форум... 
А это поле БД можно ведь DROP TABLE users сделать неактивным. То есть как сказано - отфильтровать символы.
Если ИПБ - то пипец, только бекап успевай делать. Тут наверно надо апдейты делать 2.1.4.
Если через ПХПНюк, то пхпбб - как-раз тот, что я пару раз обновил, а потом восстанавливал с бекапа. Вот тут есть уязвимость админ доступа к .htaccess, а также уязвимость отображения всевозможных веб-ошибок для глаз посетителя. По инструкциям некоторые команды переделал, переписал скрипты. Это чтоб не патчить форум, но более менее защитить.
Но пхпББ - глючит нередко.
Вобщем надо - как сказал Владимир Ильич - мучаться, мучаться и мучаться... А для этого учиться надо.
А это поле БД можно ведь DROP TABLE users сделать неактивным. То есть как сказано - отфильтровать символы.
Если ИПБ - то пипец, только бекап успевай делать. Тут наверно надо апдейты делать 2.1.4.
Если через ПХПНюк, то пхпбб - как-раз тот, что я пару раз обновил, а потом восстанавливал с бекапа. Вот тут есть уязвимость админ доступа к .htaccess, а также уязвимость отображения всевозможных веб-ошибок для глаз посетителя. По инструкциям некоторые команды переделал, переписал скрипты. Это чтоб не патчить форум, но более менее защитить.
Но пхпББ - глючит нередко.
Вобщем надо - как сказал Владимир Ильич - мучаться, мучаться и мучаться... А для этого учиться надо.
This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please click here.