Forum Dive Trek Group

Forum Ogólne - Ataki na phpBB
martin - 24-01-2011, 09:29
Temat postu: Ataki na phpBB
W ostatnich dniach pojawily sie mocne ataki na fora postawione na phpBB, skrypty blokuja konta urzytkownikow. Dla innego forum przerabialem skrypt logowania, po trzech blednych probach wymagane jest wprowadzenie captcha. Moze powinnismy zapobiegawczo tez cos podobnego tutaj zaimplementowac?
crowley - 24-01-2011, 10:28
Temat postu: Re: Ataki na phpBB
martin napisał/a:
W ostatnich dniach pojawily sie mocne ataki na fora postawione na phpBB, skrypty blokuja konta urzytkownikow. Dla innego forum przerabialem skrypt logowania, po trzech blednych probach wymagane jest wprowadzenie captcha. Moze powinnismy zapobiegawczo tez cos podobnego tutaj zaimplementowac?
mógłbyś podać dokładniej w jaki sposób są przeprowadzane ataki? albo chociaż jakiś link do informacji.
Wojtek A. Filip - 24-01-2011, 10:57
Temat postu:
Cześć Martin.
martin napisał/a:
oze powinnismy zapobiegawczo tez cos podobnego tutaj zaimplementowac?

Dziękuję za info - już napisałem do naszego Admina Technicznego - powinien się do tego jakoś ustawić.

Pozdrawiam,
Wojtek
martin - 24-01-2011, 12:47
Temat postu:
crowley napisał/a:
mógłbyś podać dokładniej w jaki sposób są przeprowadzane ataki?


Brutforce na podstawie listy uzytkownikow. Skrypt generuje liste kont i potem probuje logowac sie na kazde z nich az do zablokowania konta.
crowley - 24-01-2011, 13:28
Temat postu:
martin napisał/a:
crowley napisał/a:
mógłbyś podać dokładniej w jaki sposób są przeprowadzane ataki?


Brutforce na podstawie listy uzytkownikow. Skrypt generuje liste kont i potem probuje logowac sie na kazde z nich az do zablokowania konta.
czyli fora phpBB z zablokowanym dostępem do listy użytkowników dla osób niezalogowanych są bezpieczne?
Mariusz - 24-01-2011, 14:23
Temat postu:
Hi

Racja takie zabiegi wlamania na konta forum sa notoryczne.
Forum to ma juz od dawna inny mechanizm autoryzacji niz standardowy w phpbb.
Cos tam kiedys dokladalem, ale pozwolcie ze dzialanie mechanizmu pozostawie w tajemnicy Smile


Oczywiscie wlamac sie mozna jak wszedzie. Nie jest to zabezpieczenie jakies magiczne, aczkolwiek jest inne niz standardowe phpBB co skutecznie wycina mozliwosc dzialania automatow szeroko dostepnych na forach hackerskich. Jednak zawsze istnieje taka mozliwosc ze sie ktos uprze i sie wlamie modyfikujac taki automat. Ale do tego trzeba sie juz troche znac.

Profilaktycznie raz na 24h jest dumpowana cala baza danych z postami, takze w razie draki i milionowych wpisow zawsze moge szybko cofnac baze o 24h wstecz.

Do tego zawsze mozna wyciac posty danej osoby z danego dnia jednym pociagnieciem w sqlu.



Pozdrawiam
Mariusz

2.0 Powered by phpBB modified v1.9 by Przemo © 2003 phpBB Group and little modified v 0.1 by Mariusz