Перейти к содержанию
    

уязвимости в форуме

В тему:

Поддержка форума

 

_______________

 

Только надо было написать так:

Нашёл дыру. Уезжаю в отпуск. Приеду - посмотрю на руины. Вместе посмеёмся.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Только надо было написать так:

Нашёл дыру. Уезжаю в отпуск.

Один из админов писал, что буквально 12-го числа ставили заплатки на форум. А та дыра, которой воспользовались уроды была опубликована 14-го числа :). Как раз когда udofun, как я понял, отбыл в отпуск.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

все верно, я уезжал, но заплатки были поставлены товарищем.

дырку от 14ого числа проглядели.... виноват...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да ладно. Никто не виноват, кроме тех уродов. Как говорится, shit happens.

Не от всего и защитится-то можно. Вот винт скажем крякнет и кто будет виноват?

______________

А уменя такая мысля родилась. Я вообще не спец по всякому хостингу, серверам и прочей сетевой приблуде. Но можно ли сделать так, чтобы раздвоить входящий траффик на две линии и на два идентичных сервера. Чтобы только один был доступен по сети, но инфа обновлялась на них обоих и ... чё-то лажа какая-то получилась. Ладно, не знаю я нифига в этом деле.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Неплохо бы какую-нибудь систему обнаружения атак (аномалий) к серверу (форуму) прикрутить. Чтобы при обнаружении такого рода бяк сообщалось администраторам форума. Или сделать так, чтобы для совершения критичных для целостности форума действий требовалось участие N >= 2 администраторов (модераторов). Только тут важно соблюсти баланс между юзабельностью и желаемым уровнем защиты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

И наверно несложно убрать упоминание о версии движка форума, о чем упоминали в ветке про взлом. Мартышки из детского сада уж наверно обломятся, да?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Если говорить о версии движка и информации внизу страницы, то лучше не убирать, а написать что-то уводящее в сторону, например:

- не обновлять инфо, если движок обновили

- указать другой движок

или что-то в этом роде

Это конечно не для текущей ситуации, а на будущее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Согласен с сокрытием/подменой информации о версии движка. Это уберет львиную долю попыток сломать его.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я вам вполне профессионально могу сказать, что подмена версии движка не играет никакой роли.... наличие уязвимостей определяют по другим совсем факторам.

Как защищаться? Вовремя закрывать дыры :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Или сделать так, чтобы для совершения критичных для целостности форума действий требовалось участие N >= 2 администраторов (модераторов). Только тут важно соблюсти баланс между юзабельностью и желаемым уровнем защиты.

 

Усложнение системы приводит к уменьшению её надёжности. А кто гарантирует, что в коде обеспечения одновременности администраторов не будет ещё худших ошибок?

 

Тут на мой вкус простое и понятное решение — ежедневное архивирование БД со сбросом на болванки или включение версий в БД, а-ля CVS…

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я вам вполне профессионально могу сказать, что подмена версии движка не играет никакой роли.... наличие уязвимостей определяют по другим совсем факторам.

Как защищаться? Вовремя закрывать дыры :)

хотябы отведет мартышек ищущих поисковиками уязвимые форумы по номеру(типу) движка

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

...Тут на мой вкус простое и понятное решение — ежедневное архивирование БД со сбросом на болванки или включение версий в БД, а-ля CVS…

 

решение многим по вкусу, но есть несколько принципиальных НО:

1) общий объем всего форума - для поиска суточных изменений этой "а-ля CVS" потребуется определенное время - работа форума итак нагружает вычислительную мощность сервера : даже если было внесено изменение в 1 символ всеравно будет просканировано содержимое всей БД - каждого файла.. кого устроит то, что раз в сутки форум будет недоступен 30-60 минут?!?

2) новые темы - новые файлы.. в CVS-подобных системах для отслеживания изменений новые файлы надо добавлять вручную..

.

эти проблемы решаемы, если бы логика CVS была бы интегрирована в сам движок форума - при штатной работе писать суточный лог-файл изменений (id новых сообщений и тем), либо просто находить сообщения дата создания которых относится к последним суткам, но поскольку сам IPB - что называется Third Parity Product, это уже надо предлагать непосредственно его разработчикам

 

ЗЫ: а насчет сброса на болванки - это лишнее. движок форума самое уязвимое место - поэтому достаточно грамотно задать права доступа к папкам: запретить скриптам форума доступ к тем папкам, в которых организовано CVS-хранилище.

 

ЗЗЫ: диавол.. стока идей.. можно даже наскрести на диссертацию =) ..поменять чтоли направление: вместо "05.12.04 радиотехника" взять "информатика" =)

Изменено пользователем Doka

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

1) общий объем всего форума - для поиска суточных изменений этой "а-ля CVS" потребуется определенное время - работа форума итак нагружает вычислительную мощность сервера : даже если было внесено изменение в 1 символ всеравно будет просканировано содержимое всей БД - каждого файла.. кого устроит то, что раз в сутки форум будет недоступен 30-60 минут?!?

Делаем дамп, архивируем, высылаем его на почту на gmail-е? Что-то а-ля CVS есть в самих БД, не помню только, как называется.

 

2) новые темы - новые файлы.. в CVS-подобных системах для отслеживания изменений новые файлы надо добавлять вручную..

Не совсем верно. В SVN даже на дирректории и то распространяются версии. :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Хочу предложить свои соображения по избежанию:)

Правда, я ничего в этом не соображаю.:)

Надо сделать так ,чтобы фактического удаления записи человеком не было.НИ КАКИМ!

Запись в базе помечалась бы как "удаленная" и не отображалась.Как в файловой системе, той лишь разницей ,

что фактическое удаление поисходило бы автоматически , спустя некоторое время, например через месяц.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...