Хакнули сайт
Moderator: модераторы подфорумов
- Михаил РАДУГА
- ФАЗЕР
- Posts: 1969
- Joined: Fri Apr 29, 2005 1:39 pm
- Location: Bp ybjnrelf gj genb d ybrelf
- Contact:
Хакнули сайт
23 на семинаре мне люди сообщили, что сайт не работает. Только ночью добрался до сети выяснилось, что вычистили одну из БД. Вероятно взлом был через необновляемый движек ВордПресса, на что я как-то забил, если честно...
Но волноваться не стоит. На сервере Валуехост автоматом всегда идет бэкап как БД, так и файлов и в атаках на сайт вообще нет смысла, так как это на раз плюнуть восстанавливается.
Еще проблема:
неведомым мне образом моя уникальная, мной же придуманная, не давшая ни одного сбоя за 2 года, защита форума от роботов вдруг накрылась от имени какой-то программы. Уже сотни фальшивых пользователей. Как они лезут - не пойму. Или кто-то вбил в программу пороль, который может узнать только ЧЕЛОВЕК, либо роботы ушли дальше моих скромны познаний в пхп и чтмл. Попытаюсь вылечить.
Но волноваться не стоит. На сервере Валуехост автоматом всегда идет бэкап как БД, так и файлов и в атаках на сайт вообще нет смысла, так как это на раз плюнуть восстанавливается.
Еще проблема:
неведомым мне образом моя уникальная, мной же придуманная, не давшая ни одного сбоя за 2 года, защита форума от роботов вдруг накрылась от имени какой-то программы. Уже сотни фальшивых пользователей. Как они лезут - не пойму. Или кто-то вбил в программу пороль, который может узнать только ЧЕЛОВЕК, либо роботы ушли дальше моих скромны познаний в пхп и чтмл. Попытаюсь вылечить.
-
- Posts: 4
- Joined: Tue Aug 12, 2008 10:03 pm
- Михаил РАДУГА
- ФАЗЕР
- Posts: 1969
- Joined: Fri Apr 29, 2005 1:39 pm
- Location: Bp ybjnrelf gj genb d ybrelf
- Contact:
Ага, быстро!)))DerKater wrote:ПРИЗНАВАЙТЕСЬ КАКОЙ МУДАГ СЛОМАЛ РАДУГЕ САЙТ??
Все сложнее. Я вчера изменил код на 777777, но надпись оставил про 666666. Боты прошли запросто в первые же минуты. Видимо, взломана система форумов phpBB в самом корне. Буду придумывать что-то прнципиально новое.Smart wrote:На каком то сайте видел такую фишку: чтобы зарегистрироваться надо прослушать аудиозапись в которой записан код. Например нажимаю плей и слышу 1234 потом ввожу 1234 и только тогда зарегистрируюсь. Против ботов самое то!
Не надо такие коды ставить. Есть нормальная каптча на сайте http://captcha.ru/. К ней там есть и инструкция по установке.
Скачать вот тут: http://captcha.ru/kcaptcha/
Скачать вот тут: http://captcha.ru/kcaptcha/
- Михаил РАДУГА
- ФАЗЕР
- Posts: 1969
- Joined: Fri Apr 29, 2005 1:39 pm
- Location: Bp ybjnrelf gj genb d ybrelf
- Contact:
Это все боты ломают давным давно и легко. Разновидности таких защит стояли, но все равно некоторые боты прорывались. Когда я оставил всего один вариант кода и вообще удалил картинку, написав вместо нее вопрос - 2 года ни одного робота.scriptin wrote:Не надо такие коды ставить. Есть нормальная каптча на сайте http://captcha.ru/. К ней там есть и инструкция по установке.
Скачать вот тут: http://captcha.ru/kcaptcha/
Распространенные защиты ставить нет смысла. Под них программы делаются отдельно. А когда сам что-то делаешь - никто под тебя не будет пограммы создавать. Поэтому доверяю только своим рукам, хотя все знаю поверхностно.
Распространённое заблуждение. Большинство взломов уникальны и бОльшая часть хакерского ПО пишется под какой-то конкретный случай.Михаил РАДУГА wrote:А когда сам что-то делаешь - никто под тебя не будет пограммы создавать.
Каптча, на которую я дал ссылку, не распознаётся роботами, в отличие от той, что в phpBB стоит стандартно (http://captcha.ru/breakings/phpbb/). Именно поэтому я порекомендовал поставить kcaptcha. Я интересуюсь вопросами информационной безопасности (в связи с тем, что я будущий специалист по защите информации), а также теорией распознавания образов. Я уверяю вас, что современные боты не научились распознавать такие каптчи, как та, что я порекомендовал (за реальное время, конечно).
"Некоторые боты" прорывались потому, что старая защита была ненадёжна и по теории вероятности они часто угадывали код с картинки. Когда вы убрали эту защиту, старым ботам нечего стало атаковать. Но только до тех пор, пока какой-то хакер не заинтересовался сайтом и не написал новых ботов, заточенных под новую защиту.
Только что взглянул на форму регистрации. Крутой бот может прочитать текст и посчитать ответ. Т.е. защиты от ботов практически нет. Текст ведь даже не меняется! Оценка такой защиты будет 2 по 10-балльной шкале. Единицу я ставил движку, который мой друг написал - там был ответ прямо в коде страницы. Ноль - это когда защиты нет.
Кстати, каптча - это самый продвинутый способ защиты. Даже звук проще распознаётся, зачастую.
Альтернативный способ: пользователю показывают картинки и просят отметить те, на которых изображён, к примеру, самолёт.
Недостаток: бот может составить базу всех картинок.
Решение: чаще обновлять базу картинок.
Ещё способ: генерируется (именно генерируется) картинка с кучей маленьких рисуночков. На других картинках эти рисуночки отдельно. Нужно указать, например, какой из маленьких рисуночков отсутствует на большой картинке.
Недостаток: бот может распознавать картинки, т.к. они шаблонны и их число ограничено.
Решение: использовать зашумление изображения.
Кстати, вот тут: http://captcha.ru/captchas/multiwave/ - описан алгоритм "MultiWave", который, на мой взгляд, является лучшим среди всех алгоритмов генерации каптчи. Такие картинки легко распознаются человеком, но практически не по зубам ботам. Плюс к тому не требуется дополнительных библиотек. Нужна только GD, которая в большинстве случаев сразу есть в базе PHP на любом сервере.
Кстати, каптча - это самый продвинутый способ защиты. Даже звук проще распознаётся, зачастую.
Альтернативный способ: пользователю показывают картинки и просят отметить те, на которых изображён, к примеру, самолёт.
Недостаток: бот может составить базу всех картинок.
Решение: чаще обновлять базу картинок.
Ещё способ: генерируется (именно генерируется) картинка с кучей маленьких рисуночков. На других картинках эти рисуночки отдельно. Нужно указать, например, какой из маленьких рисуночков отсутствует на большой картинке.
Недостаток: бот может распознавать картинки, т.к. они шаблонны и их число ограничено.
Решение: использовать зашумление изображения.
Кстати, вот тут: http://captcha.ru/captchas/multiwave/ - описан алгоритм "MultiWave", который, на мой взгляд, является лучшим среди всех алгоритмов генерации каптчи. Такие картинки легко распознаются человеком, но практически не по зубам ботам. Плюс к тому не требуется дополнительных библиотек. Нужна только GD, которая в большинстве случаев сразу есть в базе PHP на любом сервере.
Меня посетила мысль. А что если боты цифры угадывают тупым перебором? Допустим, бот может отправлять запрос раз в секунду. Тогда, при 6-значном коде, он будет угадывать его примерно раз в 1000000 секунд, т.е. около 11 суток. Т.о., даже 6-значная каптча не даёт страховки от ботов. Вот отсюда те самые "некоторые боты".
Выход: использовать лат. буквы и цифры. 36 вариантов - это даже для 4-символьной каптчи даёт 1679616 комбинаций. А в phpBB стандартно используются длинные каптчи из цифр - воодить дольше, а защита всё равно меньше.
Вторая мысль: А не могли ли сайт поломать сектанты? Им ведь больше всего невыгодно распространение правдивой информации о феномене ВТО.
Выход: использовать лат. буквы и цифры. 36 вариантов - это даже для 4-символьной каптчи даёт 1679616 комбинаций. А в phpBB стандартно используются длинные каптчи из цифр - воодить дольше, а защита всё равно меньше.
Вторая мысль: А не могли ли сайт поломать сектанты? Им ведь больше всего невыгодно распространение правдивой информации о феномене ВТО.
- Михаил РАДУГА
- ФАЗЕР
- Posts: 1969
- Joined: Fri Apr 29, 2005 1:39 pm
- Location: Bp ybjnrelf gj genb d ybrelf
- Contact:
scriptin, каптча не поможет.
Еще раз повторяю: даже когда реальный код стоит 111111, а вопрос о 666666, бот все равно ЛЕГКО проходит...........
То есть, ему по барабану, что там за вопрос или картинка. Хоть бы ее вообще не было...
Перебором вариантов он тоже не занимается, так как стоит защита на максимум три ввода, а потом нужно ждать 15 минут на следующие три ввода.
Взомална вся регистрационная система phpBB, как я понимаю.
Еще раз повторяю: даже когда реальный код стоит 111111, а вопрос о 666666, бот все равно ЛЕГКО проходит...........
То есть, ему по барабану, что там за вопрос или картинка. Хоть бы ее вообще не было...
Перебором вариантов он тоже не занимается, так как стоит защита на максимум три ввода, а потом нужно ждать 15 минут на следующие три ввода.
Взомална вся регистрационная система phpBB, как я понимаю.
Пора менять движок форума и его тип?Как-то давно уже шла речь об этом, как о недалкой перспективе, но насколько я понимаю это будет не бессплатно.Михаил РАДУГА wrote:scriptin, каптча не поможет.
Еще раз повторяю: даже когда реальный код стоит 111111, а вопрос о 666666, бот все равно ЛЕГКО проходит...........
То есть, ему по барабану, что там за вопрос или картинка. Хоть бы ее вообще не было...
Перебором вариантов он тоже не занимается, так как стоит защита на максимум три ввода, а потом нужно ждать 15 минут на следующие три ввода.
Взомална вся регистрационная система phpBB, как я понимаю.
Процесс пошёл(с)
3 раза с одного IP. Кто сказал, что они работают с одного? Он может хоть каждый раз с нового заходить (гипотетически).Михаил РАДУГА wrote:Перебором вариантов он тоже не занимается, так как стоит защита на максимум три ввода, а потом нужно ждать 15 минут на следующие три ввода.
Комбинации а-ля "111111" перебираются в первую очередь. Кстати, есть ещё перебор по словарю. Попробуйте поставить совершенно случайную последовательность.
Каптчу надо ставить в любом случае. Если кто-то узнал пароли, их следует поменять.
Кстати, пароль (т.е. те самые "666666") хранится в php-скрипте регистрации? Если так, то всё однохначно - кто-то может этот файл смотреть. И преимущество каптчи в данном случае заключается в том, что генерируемая последовательность хранится не в файле, а в памяти на сервере (в сессии).
Поэтому я настоятельно рекомендую поставить каптчу! Я уверен на 80%, что после этого боты перестанут проходить.
- Михаил РАДУГА
- ФАЗЕР
- Posts: 1969
- Joined: Fri Apr 29, 2005 1:39 pm
- Location: Bp ybjnrelf gj genb d ybrelf
- Contact:
- Михаил РАДУГА
- ФАЗЕР
- Posts: 1969
- Joined: Fri Apr 29, 2005 1:39 pm
- Location: Bp ybjnrelf gj genb d ybrelf
- Contact:
А меня расстраивает, что все подобные форумы скатываются к какой-то полной хренотне (посмотрите на весь флуд в соседних ветках), а зерно - обсуждение ОСОЗНАННЫХ СНОВИДЕНИЙ (методик, техник, совершенствования и проч), становится продуктом редким и почти лишенным смысла и внятности(((
Может быть вообще имеет смысл закрывать "общие открытые разделы" и обсуждать только предметные вещи...Пусть лучше ничего, чем куча мусора.
И уж во всяком случае, надо отсекать при регистрации как предложил walker!
Может быть вообще имеет смысл закрывать "общие открытые разделы" и обсуждать только предметные вещи...Пусть лучше ничего, чем куча мусора.
И уж во всяком случае, надо отсекать при регистрации как предложил walker!
Йа пошутил! Йа еще раз взламаю сайт! Абещаю! Это я так люблю их ламать патаму чта я очемь уный!
СЛАВА ПОЭТУ!!!
www.aquamaker.ru
www.aquamaker.ru