Forum Dive Trek Group

Zastanów się zanim coś napiszesz - ktoś może to przeczytać...

 

 


"  Strona główna "  FAQ "  Szukaj "  Użytkownicy "  Grupy "  Statystyki "  Rejestracja "  Zaloguj "  Album

Poprzedni temat :: Następny temat
Ataki na phpBB
Autor Wiadomość
martin Płeć:Mężczyzna


Stopień nurkowy: Tech.Cave
Ubezpieczenie: DAN/VDST
Pomógł: 55 razy
Dołączył: 28 Sty 2006
Posty: 3501
Skąd: NUE
PostWysłany: 24-01-2011, 09:29   Ataki na phpBB Dodaj użytkownika do listy ignorowanych Odpowiedz z cytatem

W ostatnich dniach pojawily sie mocne ataki na fora postawione na phpBB, skrypty blokuja konta urzytkownikow. Dla innego forum przerabialem skrypt logowania, po trzech blednych probach wymagane jest wprowadzenie captcha. Moze powinnismy zapobiegawczo tez cos podobnego tutaj zaimplementowac?

_________________
[quote:e1aa1c559f="KasiaK"]ja sie nie boje siebie
boje sie tych z ktorymi mialabym plywac[/quote]
Przejdź na dół
Zobacz profil autora Wyślij prywatną wiadomość
   
crowley Płeć:Mężczyzna


Stopień nurkowy: Technical Cave Diver
Stopień instruktorski: SDI/IDF Instructor
Oznaczenie stage: STASZEK
Pomógł: 19 razy
Wiek: 39
Dołączył: 05 Sty 2008
Posty: 1017
Skąd: Gdańsk
PostWysłany: 24-01-2011, 10:28   Re: Ataki na phpBB Dodaj użytkownika do listy ignorowanych Odpowiedz z cytatem

martin napisał/a:
W ostatnich dniach pojawily sie mocne ataki na fora postawione na phpBB, skrypty blokuja konta urzytkownikow. Dla innego forum przerabialem skrypt logowania, po trzech blednych probach wymagane jest wprowadzenie captcha. Moze powinnismy zapobiegawczo tez cos podobnego tutaj zaimplementowac?
mógłbyś podać dokładniej w jaki sposób są przeprowadzane ataki? albo chociaż jakiś link do informacji.
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość Odwiedź stronę autora
 
Numer Gadu-Gadu
4054774
   
Wojtek A. Filip Płeć:Mężczyzna
Site Admin
Autor Programu Świadome Nurkowanie


Stopień nurkowy: GUE T2+, Cave
Ilość nurkowań rocznie: 365
Stopień instruktorski: emeryt :)
Ubezpieczenie: DAN/PROGLD
Oznaczenie stage: WAF
Pomógł: 125 razy
Wiek: 54
Dołączył: 28 Maj 2008
Posty: 11932
Skąd: Warszawa
PostWysłany: 24-01-2011, 10:57    Dodaj użytkownika do listy ignorowanych Odpowiedz z cytatem

Cześć Martin.
martin napisał/a:
oze powinnismy zapobiegawczo tez cos podobnego tutaj zaimplementowac?

Dziękuję za info - już napisałem do naszego Admina Technicznego - powinien się do tego jakoś ustawić.

Pozdrawiam,
Wojtek

_________________
Bądź dobrej myśli, bo po co być złej Smile ?
S. Lem
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość Wyślij email Odwiedź stronę autora
   
martin Płeć:Mężczyzna


Stopień nurkowy: Tech.Cave
Ubezpieczenie: DAN/VDST
Pomógł: 55 razy
Dołączył: 28 Sty 2006
Posty: 3501
Skąd: NUE
PostWysłany: 24-01-2011, 12:47    Dodaj użytkownika do listy ignorowanych Odpowiedz z cytatem

crowley napisał/a:
mógłbyś podać dokładniej w jaki sposób są przeprowadzane ataki?


Brutforce na podstawie listy uzytkownikow. Skrypt generuje liste kont i potem probuje logowac sie na kazde z nich az do zablokowania konta.

_________________
[quote:e1aa1c559f="KasiaK"]ja sie nie boje siebie
boje sie tych z ktorymi mialabym plywac[/quote]
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
   
crowley Płeć:Mężczyzna


Stopień nurkowy: Technical Cave Diver
Stopień instruktorski: SDI/IDF Instructor
Oznaczenie stage: STASZEK
Pomógł: 19 razy
Wiek: 39
Dołączył: 05 Sty 2008
Posty: 1017
Skąd: Gdańsk
PostWysłany: 24-01-2011, 13:28    Dodaj użytkownika do listy ignorowanych Odpowiedz z cytatem

martin napisał/a:
crowley napisał/a:
mógłbyś podać dokładniej w jaki sposób są przeprowadzane ataki?


Brutforce na podstawie listy uzytkownikow. Skrypt generuje liste kont i potem probuje logowac sie na kazde z nich az do zablokowania konta.
czyli fora phpBB z zablokowanym dostępem do listy użytkowników dla osób niezalogowanych są bezpieczne?
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość Odwiedź stronę autora
 
Numer Gadu-Gadu
4054774
   
Mariusz Płeć:Mężczyzna
administrator techniczny

Wiek: 52
Dołączył: 31 Sty 2006
Posty: 226
Skąd: Gorzów Wlkp.
PostWysłany: 24-01-2011, 14:23    Dodaj użytkownika do listy ignorowanych Odpowiedz z cytatem

Hi

Racja takie zabiegi wlamania na konta forum sa notoryczne.
Forum to ma juz od dawna inny mechanizm autoryzacji niz standardowy w phpbb.
Cos tam kiedys dokladalem, ale pozwolcie ze dzialanie mechanizmu pozostawie w tajemnicy Smile


Oczywiscie wlamac sie mozna jak wszedzie. Nie jest to zabezpieczenie jakies magiczne, aczkolwiek jest inne niz standardowe phpBB co skutecznie wycina mozliwosc dzialania automatow szeroko dostepnych na forach hackerskich. Jednak zawsze istnieje taka mozliwosc ze sie ktos uprze i sie wlamie modyfikujac taki automat. Ale do tego trzeba sie juz troche znac.

Profilaktycznie raz na 24h jest dumpowana cala baza danych z postami, takze w razie draki i milionowych wpisow zawsze moge szybko cofnac baze o 24h wstecz.

Do tego zawsze mozna wyciac posty danej osoby z danego dnia jednym pociagnieciem w sqlu.



Pozdrawiam
Mariusz

_________________
Let's BOFH
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość Odwiedź stronę autora
   
Wyświetl posty z ostatnich:   
Odpowiedz do tematu
Nie możesz pisać nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz głosować w ankietach
Nie możesz załączać plików na tym forum
Nie możesz ściągać załączników na tym forum
Dodaj temat do Ulubionych
Wersja do druku
Oznacz temat jako nieczytany

Skocz do:  

Powered by phpBB modified v1.9 by Przemo © 2003 phpBB Group

Akagahara style created by NashT.