ForumDesign TechSupport - Дизайн для форумов и техническая поддержка

Объявление

Акция! Дизайн «MyBB Technical Support»

Дизайн для форума MyBB в тематике компьютерных сообществ или технической поддержки
Стоимость при покупке эксклюзивно: 2000р 1200р
Скидка 40%. В стоимость входит настройка и корректировка дизайна.

Подробнее

Дизайн «Warlords of Draenor»

Детализированный rpg-дизайн для MyBB форума гильдии «Warlords of Draenor»
Стоимость при покупке эксклюзивно: 6300р
В стоимость входит настройка и корректировка дизайна под ваш проект.

Подробнее

Светлый дизайн в фентези стиле с аниме-графикой

Макет для светлого дизайна в фентези стиле с аниме-графикой.
Стоимость: 2600р*
Дизайн продается эксклюзивно (в одни руки).

Подробнее

Дизайн для MyBB форума гильдии WoW Exodar

Детализированный rpg-дизайн для mybb форума гильдии в тематике Экзодара.
Стоимость: 2150р*
В стоимость входит настройка и корректировка дизайна.

Подробнее

Поддержать проект

Если у вас есть желание помочь нам сделать наш проект лучше:
Фонд форумаРеклама на сайте
Стать модераторомОтзывыДонат

Предложения

Информация о пользователе

Привет, Гость! Войдите или зарегистрируйтесь.



Все о взломе форума

Сообщений 1 страница 10 из 35

1

Как взламывают форумы?

Способ 1. Подобрать пароль администратора.
   - вручную
если у вас стоит пароль 123456 или qwerty - вас могут взломать с вероятностью 100%. если вы когда-либо хоть кому-то давали пароль и не поменяли его после, то вас тоже могут взломать.
   - с помощью программ
есть программы, которые подбирают пароли, поэтому почтовые сервисы предлагают вам заводить наиболее длинные пароли, как надежные.

Способ 2. Взломать e-mail, а уже через нее получить пароль на форум.
   - подбор пароля к почте
осуществляется теми же методами, что и подбор пароля на форум.
   - подбор секретного вопроса

bash.org.ru написал(а):

Коннект: Слушай, мож мы родственники?
ALEXA: думаешь???
Коннект: Ну, может дальние. Какая девичья фамилия была у твоей матери?
ALEXA: *енко
Коннект: О, у тебя 8 новых писем )
ALEXA: в смысле???

Хакеры не только могут "выпытывать" из вас линую информацию, но и вы сами можете ее "засветить". (и не считайте себя оригинальным, если вы запостили на любой вопрос слово "***ня", именно так многие и поступают)

Способ 3. Втереться в доверие.
Через милое дружеское общение можно заставить вас сделать себя администратором или получить ваш пароль.

Способ 4. Вирусы.
есть программы. которые могут считать ваш пароль при вводе и передать его хакеру.

Учимся избегать взлома.

Пароли
Пароли должны быть сложными, длинными и состоять из случайной буквенно-циферной последовательности

Учимся делать супер-сложный пароль:
1. Строим ассоциации из букв и цифр. Например: маме 43 года, ее зовут Валентина; папе 50 лет, его зовут Игорь; собака - жучка, ей семь лет; вас, допустим, зовут Аня, вам 18 лет.
2. Пишем ассоциации подряд: валентина43игорь50жучка7аня18
3. Запоминаем наш ассоциативный ряд, меняем язык на латиницу и пишем его: dfktynbyf43bujhm50;exrf7fyz18
у нас получился ну просто СУПЕР паролище, который для всех - непонятная фигня, а для вас - простые и понятные вещи.
в этом случае пароль состоит даже не просто из латиницы, а еще и содержит дополнительный символ - ;
ни один хакер не догадается. не догадается даже тот человек, который эту информацию о вас знает.
всякие пароле-подбирательные программы будут очень долго с вами возиться, хакер успеет состариться и умереть.

Пароль нельзя никому выдавать!
Даже, если этот человек вам брат или "ну, очень хочет помочь по форуму"

Email
Пароль на почту должен быть сложным, длинным и состоять из случайной буквенно-циферной последовательности (как это делать см. выше)

Пароль на почту должен быть отличный от пароля на форум

Не "светить" почту, на которую у вас зарегистрирован форум. Желательно, даже не пользоваться ей.
Чтобы взломать почту, надо знать, какой адрес взламывать. Скройте этот адрес - и нечего будет взламывать.
В настройках профиля "приватность" поставьте галочку на пункте "Скрыть ваш e-mail адрес и запретить слать вам сообщения через форум". Уведомления о новых ЛС вам запросто будут приходить, зато хакеры не смогут выявить, какой почтой вы пользуетесь.
Поставите себе такой е-мейл адрес на аккаунт админа, который вы вообще НИГДЕ никогда не размещали.
если не хочется менять почту - поставьте переадресацию всех уведомлений на тот ящик, которым пользуетесь, это можно сделать либо с помощью почтовых программ, ибо прямо в том месте, где зарегистрировались.

Выбирайте "безопасную" почту
Самая надежна - gmail.com, самая не надежная - mail.ru. Как определить насколько безопасна почта? Просто засеките время, которое вам потребовалось на регистрацию. Чем больше ваших данных нужно ввести для завершения регистрации и потратить время, тем надежней почта.

Не придумывайте секретные вопросы для почты, которые можно угадать
Ответ на секретный вопрос должны знать только вы. Если вопрос будет звучать "герой книги преступление и наказание", то ответ можно легко угадать

Не ставьте очевидных ответов на секретные вопросы
В принципе, вопрос, может быть любым, пусть хакер перебирает героев "преступления и наказания", главное - чтоб героя среди ответов не было. Вы можете вписать любую билеберду в ответ на вопрос (вас никто на правдоподобность не будет проверять), главное - это ее запомнить. Самый идеальный ответ - это пароль к вашему форуму. (если он длинный и сложный, как указано выше)

Компьютер
С тех пор, как вы - администратор форума, запомните: в интернет без включенного антивируса заходить нельзя!
Если хочется заходить с мобильного, сделайте себе для этих целей дополнительный аккаунт.

Доверие
Не надо делать админом первого встречного!
Придумайте четкую иерархию (например, как у нас: пользователь - стажер - модератор - администратор).
Если человек хочет помогать, он может это делать независимо от того, кем он является на форуме - проверено на FDts.
Еще лучше, если вы опишите систему перевода в другие группы в рамках правил.

Админ/модератор отсутствует временно или надолго - снимите с него права
сделайте группу пользователей как у нас "форумчане". пусть туда складируются те, кто будет иметь допуск ко всем разделам, но будут простыми пользователями. таким образом, админ, которого не было два-три месяца, вернувшись к работе может, отписаться вам в "модеаторском" разделе - и вы вернете ему права.
а пока он отсутствует, с его аккаунтом что угодно твориться может.

Вы теперь молодец, вы знаете, как защищаться от взлома - научите модераторов и администраторов
Если у хакера не удастся взломать ваш аккаунт, он взломает того, кто вам помогает.
Убедитесь, что ваши соадминистраторы соблюдают те же правила безопасности, что и вы.
Разместите эту статью у себя в админ-разделе (если он закрыт от пользователей, то даже ссылку указывать не надо) или просто поставьте ссылку, чтобы почитали.

Теги: безопасность, email, форум, администрирование, пароль, хакеры

+4

2

:D Самый простой способ получить админ пароль, поставить баннер со скрипто-фреймом , либо по обмену банеров, либо как рекламу,

Поэтому - Желательно после создания форума - глав админ ник законсервировать и пользоваться в крайнем случае для отката или снятия админов, а так пользоваться новосозданным админ ником паролем( ксать ники по-виду могут совпадать, достаточно заменить букву русский на лат или наоборот

Отредактировано Deff (11.11.2011 10:19:31)

0

3

Deff написал(а):

Самый простой способ получить админ пароль, поставить баннер со скрипто-фреймом , либо по обмену банеров, либо как рекламу,

а как его отличить от баннерного скрипта? чтобы не попасть впросак?

0

4

Nikodima написал(а):

а как его отличить от баннерного скрипта? чтобы не попасть впросак?

Баннер обычно чисто HTML

<a href="Ссылка" target="_blank"><img src="Ccылка на картинку" title="..." alt="..."/></a>

В этом же коде Обязаны присутствовать теги <script
С другой стороны,
Не факт что все банеры с тегами <script - шпионы - в частности ротаторы и различные счетчики от гуглов и яндексов тож со скриптом

0

5

Deff написал(а):

в частности ротаторы и различные счетчики от гуглов и яндексов тож со скриптом

не думаю что ротаторы в этом заинтересованы) но я поняла) спасибо за ответ)

0

6

Так как ваш форум существует уже супер давно, а вопрос о безопасности поднят всего месяц назад))), то вопрос уж явно запущен...
При этом тут практически каждый -- админ форума))).

Я что бы читабельно было и удобней было обсуждать методы, буду разбивать на несколько сообщений.
Выкладывать буду постепенно, потому как если не интересно, то и остановлюсь (не обязательно учить не хорошему залётных... А учить защищаться, это значит и учить активной защите, то есть фактически нападению.
Писать буду стараться принципы и алгоритмы взлома, без технических нюансов. Хотя, кого что заинтересует легко уже сможет в инете надыбать конкретику.
Герду попрошу поставить на контроль и если чего удалить и остановить.

Кто и так плохо спит, дальше не читайте.
То, что написала Герда в заголовке и баннер, это не самые простые способы. Есть ещё проще.
Интернет вообще не приспособлен для хранения закрытой информации. Для этого есть сейфы, а не интернет.
Вышли в интернет, значит выложили в свободный доступ. Это факт и не надо тут... Это как вышли в подъезд, будьте готовы, что кто-то вас увидит с не накрашенным лицом... иначе сидите дома.

Для того что бы вас кто-то взломал, ваш сайт или вы лично должны представлять хоть какой-то интерес.
То есть, должен быть мотив. Даже из хулиганских побуждений школяры и то предпочитают сладенькое, чем пресное.
Второй и третий принципы следуют из криптографии. Взломать можно всё, надо лишь время и средства. И надёжно защищённой считается информация если:
-- на добывание информации потребуется времени столько, что к моменту когда откроется доступ информация устареет (понятно, что она просто уже не нужна станет, поэтому ни кто её и добывать не станет);
-- на добывание информации уйдёт больше средств, чем сама информация стоит (элементарный принцип например финансовой не выгодности).
Четвёртый принцип, это нельзя обижать никого!

Я для себя направления во взломе упрощённо разделяю так:
-- социальная инженерия (это то, что написала Герда). Например, представляются сватом, братом, представителем провайдера, хостера и просят подтвердить ваш пароль в связи с тем, что был сбой, и теперь восстанавливают таблицы, по новой регистрируют, надо указать старый и получить новый, получите подарок, но это только нашим пользователям, подтвердите паролем, что вы это Герда или Вася и т.д. и т.п. Это может быть и на почту и на телефон даже, включая на домашний.
Причём фантазия безгранична и заподозрить бывает очень сложно. Любовные отношения то же эксплуатируются.
Как бы для примера, сходу такой вариант развода. Присылают анкету (а если знают, что вы на работу устраиваетесь или фрилансером ищите, то стопудово пройдёт... например, поискали ваш ник в инете и нашли, что на иностранные языки подписывались, про учёбу вождения и т.д.) в анкете бла, бла, бла и что бы завести вам электронный кабинет просят указать три, предпочтительных для вас, пароля и ника. Практически всегда из этих трёх человек укажет и ник на почту, и на сотню сайтов, и свой админский...
-- Следующее направление, это техническая атака  на комп и почту админа. Тут всё. Если админ скачал себе на комп файл, то...
Это может быть вообще что угодно, любой файл, любой архив (Откройте архиватор и создавая архив чего угодно нажмите на кнопку комментарии. Не думайте, что тут пишут, слова про то, какой это хороший файл. Тут что угодно влезает от готовых вирусов (что редко, потому как антивирусники сразу заорут), до всего 7 команд, которые на 100% пропустит любой антивирус, а комп станет беззащитным)до ...
Это может быть любая картинка. Если вам на почту прислали новогоднюю картинку и вы нажали на неё посмотреть, то кто-то, пока вы ещё не вышли из своей почты (в рамках этой сессии) уже читает ваши письма! Не надо подбирать пароли! Достаточно мелкой картинки, типа ваш друг Вася написал вам письмо посмотрите. А картинка мелкая и Васю не разглядеть. Жмёте посмотреть, что за Вася, а Вася уже сразу после этого получает письмо, что иди, типа смотри почту, открыто...
То же касается всех ссылок. Ещё опасней, если по этим ссылкам предлагается зарегится или видите знакомый сайт и там надо войти. То что сайт только выглядит до мелочей как знакомый и даже в адресной строке будет тот же адрес, это подставной сайт.
Ну и вот к примеру, я сейчас зарегистрировался на этом сайте и пиши пропала моя жизнь, если злонамеренный админ.)))
То же из этой серии просканировать открытые порты компа админа (типа атака в лоб, нахаляву) и программкой например телнет из стандартной винды, лазить на компе админа, как у себя дома.
Это не всё, это только для затравки в каждом направлении пишу.
-- Следующее это "засланный казачок". Добиваются звания модератора, получают пароль на админку и неважно насколько низкий приоритет пароля тупо заливают (в ручную то же не в падлу знаков 40-60 набить) в любое доступное внутри админки окошко шелл. Всё. Полный контроль над всем сайтом, доступ ко всем файлам сайта, хочешь изменяй, хочешь удаляй!
Так что если в админку вошёл = стал админом!
-- Следующее. На сайте регистрируюсь и не надо банер, достаточно моей аватарки...))) Или любой картинки или ссылки, которую я на сайте расположу, лишь бы я админа (если админ цель) или модератора заставил кликнуть. Типа безобидного, глянь, посоветуй, а что ты про это думаешь? Один клик и его кукисы с которыми он входил на форум у меня на компе. Далее я их вставляю в свой браузер и просто подсоединяясь к форуму становлюсь на форуме со всеми этими правами и ником и аватаром этим человеком. Далее что душе угодно. Можно и пароль в кабинете поменять и гадостей всем написать)))
-- Идём дальше. SQL закладки. Многие форумы фильтруют поля ввода. Это где вводят логин, пароль, вот этот текстовый редактор в котором я сейчас пишу. Однако от языка PL редко защищены в полной мере. Через это поле закидывается Backdoor (чёрный вход) и далее с файлами сайта делается что угодно. В файлах смотрится пароли и имя базы данных и... Админка своими возможностями рядом не стояла. Если на форуме регистрируют пользователей, а их регистрируют и позволяют им писать, то форум беззащитен, хоть ты лопни!
-- Сейчас редко используется подбор пароля методом перебора на вход FTP сайта, но так же возможен, причём используется снифер (программа слухач) которая перехватывает вход админа. Но это уже способ у кого терпения  и времени вагон.

Пока хватит. Если интересно, то продолжим.

0

7

ээээ... т.е. в принципе от взлома защититься анриал? http://i.smiles2k.net/aiwan_smiles/pardon.gif

0

8

Герда, не правильно спрашиваешь.
Я по своему перефразирую, хорошо?
У тебя есть квартира. Если замок вскрывается в среднем (от сложнейшего до простейшего, в среднем берём, хотя это не корректно) за пару минут без шума от молотка и дрели, то это не значит, что не надо совсем замок вешать...
1. Замок стоит поввесить хотя бы для того, что бы знать свой своровал или со стороны. А это согласись не маловажно.
2. Мне западло создавать удобства тем, кто мне хочет сделать плохо (даже не сделал, а собирается...).
3. если человек не может вскрыть и простейший замок, то и слава КПСС...))) Замок опять же себя оправдал...
4. Мне хоть не обидно, что я сам подарил гаду. Ну система такая, мир такой, но я пытался противопостоять...)))
Как-то так. Поэтому защищаться по любому стоит.
Другая сторона в том, что не надо хранить того, чего хранить не следует здесь и самоуспокоиться огромным паролем... Пароль вообще во взломе не нужен. Достаточно перехода тобой по подсунутой ссылке и полученные мной твои кукисы из браузера. Я и не собираюсь супер пароль узнавать, он будет внутри кукиса, я и не буду даже знать какой он, он зашифрован, но это не мешает войти с правами root.
Абсолютно защититься  - это значит ничего не делать. Нельзя выйти на улицу из квартиры и не подвергнуться опастности быть избитым или мошенничество получить... Можно качаться, заниматься единоборствами, психологией, купить пистолет, по людным местам ходить, поздно не задерживаться и т.п., но это не значит что опасность на 100% миновала....
Каждый из способов, большой пароль, ответственно подбирать добропорядочных модераторов, окружение уменьшает вероятность атаки в разы! Это да!
Ещё более сильная защита, это как у тебя (я на ты, потому как ты вряд ли старше меня) направленность форума. Например зачем ломать твой форум, если в том его настоящем состоянии как он сейчас есть я смогу от форума получить что-то, а испортив вообще ничего..?
Обиженных у тебя нет (одна вроде забаненная рекламщица была...), не палач явно... Зачем?
Идея понятна?
Не потакать, но и не строить илюзий. По аналогии, что глупо расстраиваться, что мир таков, что Бог по разному наделил всех умом и совестью -- глупо расстраиваться, что интернет такой...)))
Я хоть и не всё ещё написал, но основное и не извращаясь во взломе, то, что доступно семикласснику по моему доступно. Во всяком случае принципы.
Подводя:
Да! Абсолютной защиты нет, даже если аппаратная защита и свой личный хостинг. Взломщики на коне и рулят. Это реальный анрил.
То, что вирусами взламывают, так это не больше 1%. Взломщику интересна адресная атака, а не разослать вирус, получить к тысячи почт доступ и чё с ними делать? Читать?))) Умел бы читать, книжки бы читал))). Взломщику интересен конкретный объект. Вирусы пишут совсем уж бараны...
И так. Мы имеем и находимся в системе которая может в любой момент времени рухнуть. Мы не строим илюзий и не распыляем силы на избыточность безнадёжной защиты. Что тогда?
А вот тут самое и главное, что мы можем сделать. Во первых средства фиксации откуда, кем и какое нападение когда было. и самое главное моментальное восстановление. А именно контакт налаженный с хостером, наличие копий сайта, которые мгновенно позволят восстановить всё на круги своя и поменять пароли. Если сайт захвачен, то у хостера должны быть данные, кто снимал изначально этот хостинг. + иметь надёжных модераторов и пользователей которые могут подтвердить, что например украденная информация была вашей в более раннее время.
Весь реальный смысл сводится к восстановлению малюсенькой кровью, а там, в зависимости от урона, и обратное преследование.
Ни что и ни кто не осудит и за ответную атаку, если это того стоит...
Моя стандартная фраза...Как-то так)))

0

9

Полное сохрание архивной копии для чтения  собственными средствами(до 100мег) - минут 15,
За 1000р средствами PHP переводицо в новую  MYSQL базу
Опять жа - самое простое - поставить собственный iframe, тогда любой вход может писацо на удобный ресурс - пароли, IP email и т.д,

Отредактировано Deff (16.12.2011 15:48:11)

0

10

Deff, ты написал Nikodima, что в не хорошем баннере должны присутствовать теги "В этом же коде Обязаны присутствовать теги <script>" хотя тут же написал, что со <script>  и полезных полно....
Я же скажу, что ни когда бы баннер-разведчик не ставил с тегом скрипт. А если и ставил, то этот скрипт имел совсем другое значение.   Для взломщика скрипт на странице, на которой стоит баннер, вообще не имеет значения, вся работа происходит на странице на которую  переход.
Выявить такие баннеры не представляется возможным, не стоит даже заморачивать голову этим.

0



Рейтинг форумов | Создать форум бесплатно © 2007–2017 «QuadroSystems» LLC