Page 1 of 2

Хакнули сайт

Posted: Wed Sep 24, 2008 1:14 am
by Михаил РАДУГА
23 на семинаре мне люди сообщили, что сайт не работает. Только ночью добрался до сети выяснилось, что вычистили одну из БД. Вероятно взлом был через необновляемый движек ВордПресса, на что я как-то забил, если честно...

Но волноваться не стоит. На сервере Валуехост автоматом всегда идет бэкап как БД, так и файлов и в атаках на сайт вообще нет смысла, так как это на раз плюнуть восстанавливается.

Еще проблема:

неведомым мне образом моя уникальная, мной же придуманная, не давшая ни одного сбоя за 2 года, защита форума от роботов вдруг накрылась от имени какой-то программы. Уже сотни фальшивых пользователей. Как они лезут - не пойму. Или кто-то вбил в программу пороль, который может узнать только ЧЕЛОВЕК, либо роботы ушли дальше моих скромны познаний в пхп и чтмл. Попытаюсь вылечить.

Posted: Wed Sep 24, 2008 1:20 am
by DerKater
Мне вот интересно знать кому могло понадобится?
Конкурентам - шизотерикам?

Posted: Wed Sep 24, 2008 4:34 am
by JustAnEmptyShell
Когда выходит свежий эксплойт, то пионеры ломают "лишь бы было", перед бабами понтоваться - "А я-то Радугу ломанул!"

Posted: Wed Sep 24, 2008 5:51 am
by DerKater
ПРИЗНАВАЙТЕСЬ КАКОЙ МУДАГ СЛОМАЛ РАДУГЕ САЙТ??
Image

Posted: Wed Sep 24, 2008 6:47 am
by nooob
Астрально покараем.

Posted: Wed Sep 24, 2008 10:36 am
by Smart
На каком то сайте видел такую фишку: чтобы зарегистрироваться надо прослушать аудиозапись в которой записан код. Например нажимаю плей и слышу 1234 потом ввожу 1234 и только тогда зарегистрируюсь. Против ботов самое то!

Posted: Wed Sep 24, 2008 10:45 am
by Михаил РАДУГА
DerKater wrote:ПРИЗНАВАЙТЕСЬ КАКОЙ МУДАГ СЛОМАЛ РАДУГЕ САЙТ??
Ага, быстро!)))
Smart wrote:На каком то сайте видел такую фишку: чтобы зарегистрироваться надо прослушать аудиозапись в которой записан код. Например нажимаю плей и слышу 1234 потом ввожу 1234 и только тогда зарегистрируюсь. Против ботов самое то!
Все сложнее. Я вчера изменил код на 777777, но надпись оставил про 666666. Боты прошли запросто в первые же минуты. Видимо, взломана система форумов phpBB в самом корне. Буду придумывать что-то прнципиально новое.

Posted: Wed Sep 24, 2008 11:51 am
by scriptin
Не надо такие коды ставить. Есть нормальная каптча на сайте http://captcha.ru/. К ней там есть и инструкция по установке.
Скачать вот тут: http://captcha.ru/kcaptcha/

Posted: Wed Sep 24, 2008 12:25 pm
by Михаил РАДУГА
scriptin wrote:Не надо такие коды ставить. Есть нормальная каптча на сайте http://captcha.ru/. К ней там есть и инструкция по установке.
Скачать вот тут: http://captcha.ru/kcaptcha/
Это все боты ломают давным давно и легко. Разновидности таких защит стояли, но все равно некоторые боты прорывались. Когда я оставил всего один вариант кода и вообще удалил картинку, написав вместо нее вопрос - 2 года ни одного робота.

Распространенные защиты ставить нет смысла. Под них программы делаются отдельно. А когда сам что-то делаешь - никто под тебя не будет пограммы создавать. Поэтому доверяю только своим рукам, хотя все знаю поверхностно.

Posted: Wed Sep 24, 2008 6:17 pm
by Лондо
Так может просто спамер посмотрел код, а раз код один - то и всех ботов он научил его вводить?

Posted: Wed Sep 24, 2008 6:27 pm
by scriptin
Михаил РАДУГА wrote:А когда сам что-то делаешь - никто под тебя не будет пограммы создавать.
Распространённое заблуждение. Большинство взломов уникальны и бОльшая часть хакерского ПО пишется под какой-то конкретный случай.

Каптча, на которую я дал ссылку, не распознаётся роботами, в отличие от той, что в phpBB стоит стандартно (http://captcha.ru/breakings/phpbb/). Именно поэтому я порекомендовал поставить kcaptcha. Я интересуюсь вопросами информационной безопасности (в связи с тем, что я будущий специалист по защите информации), а также теорией распознавания образов. Я уверяю вас, что современные боты не научились распознавать такие каптчи, как та, что я порекомендовал (за реальное время, конечно).

"Некоторые боты" прорывались потому, что старая защита была ненадёжна и по теории вероятности они часто угадывали код с картинки. Когда вы убрали эту защиту, старым ботам нечего стало атаковать. Но только до тех пор, пока какой-то хакер не заинтересовался сайтом и не написал новых ботов, заточенных под новую защиту.

Posted: Wed Sep 24, 2008 6:27 pm
by scriptin
Лондо wrote:Так может просто спамер посмотрел код, а раз код один - то и всех ботов он научил его вводить?
Бинго! Что может быть проще?

Posted: Wed Sep 24, 2008 6:58 pm
by scriptin
Только что взглянул на форму регистрации. Крутой бот может прочитать текст и посчитать ответ. Т.е. защиты от ботов практически нет. Текст ведь даже не меняется! Оценка такой защиты будет 2 по 10-балльной шкале. Единицу я ставил движку, который мой друг написал - там был ответ прямо в коде страницы. Ноль - это когда защиты нет.

Кстати, каптча - это самый продвинутый способ защиты. Даже звук проще распознаётся, зачастую.

Альтернативный способ: пользователю показывают картинки и просят отметить те, на которых изображён, к примеру, самолёт.
Недостаток: бот может составить базу всех картинок.
Решение: чаще обновлять базу картинок.

Ещё способ: генерируется (именно генерируется) картинка с кучей маленьких рисуночков. На других картинках эти рисуночки отдельно. Нужно указать, например, какой из маленьких рисуночков отсутствует на большой картинке.
Недостаток: бот может распознавать картинки, т.к. они шаблонны и их число ограничено.
Решение: использовать зашумление изображения.

Кстати, вот тут: http://captcha.ru/captchas/multiwave/ - описан алгоритм "MultiWave", который, на мой взгляд, является лучшим среди всех алгоритмов генерации каптчи. Такие картинки легко распознаются человеком, но практически не по зубам ботам. Плюс к тому не требуется дополнительных библиотек. Нужна только GD, которая в большинстве случаев сразу есть в базе PHP на любом сервере.

Posted: Wed Sep 24, 2008 11:10 pm
by scriptin
Меня посетила мысль. А что если боты цифры угадывают тупым перебором? Допустим, бот может отправлять запрос раз в секунду. Тогда, при 6-значном коде, он будет угадывать его примерно раз в 1000000 секунд, т.е. около 11 суток. Т.о., даже 6-значная каптча не даёт страховки от ботов. Вот отсюда те самые "некоторые боты".
Выход: использовать лат. буквы и цифры. 36 вариантов - это даже для 4-символьной каптчи даёт 1679616 комбинаций. А в phpBB стандартно используются длинные каптчи из цифр - воодить дольше, а защита всё равно меньше.

Вторая мысль: А не могли ли сайт поломать сектанты? Им ведь больше всего невыгодно распространение правдивой информации о феномене ВТО.

Posted: Thu Sep 25, 2008 8:24 am
by Михаил РАДУГА
scriptin, каптча не поможет.
Еще раз повторяю: даже когда реальный код стоит 111111, а вопрос о 666666, бот все равно ЛЕГКО проходит...........
То есть, ему по барабану, что там за вопрос или картинка. Хоть бы ее вообще не было...

Перебором вариантов он тоже не занимается, так как стоит защита на максимум три ввода, а потом нужно ждать 15 минут на следующие три ввода.

Взомална вся регистрационная система phpBB, как я понимаю.

Posted: Thu Sep 25, 2008 8:56 am
by walker
Михаил РАДУГА wrote:scriptin, каптча не поможет.
Еще раз повторяю: даже когда реальный код стоит 111111, а вопрос о 666666, бот все равно ЛЕГКО проходит...........
То есть, ему по барабану, что там за вопрос или картинка. Хоть бы ее вообще не было...

Перебором вариантов он тоже не занимается, так как стоит защита на максимум три ввода, а потом нужно ждать 15 минут на следующие три ввода.

Взомална вся регистрационная система phpBB, как я понимаю.
Пора менять движок форума и его тип?Как-то давно уже шла речь об этом, как о недалкой перспективе, но насколько я понимаю это будет не бессплатно.

Posted: Thu Sep 25, 2008 7:33 pm
by Smart
А может нужно задавать контрольный вопрос? К примеру "Сколько лап у кошки?" Ответ должен читать ЧЕЛОВЕК (или его астральная проекция))), Но ни как не прога!!!

Posted: Thu Sep 25, 2008 7:35 pm
by scriptin
Михаил РАДУГА wrote:Перебором вариантов он тоже не занимается, так как стоит защита на максимум три ввода, а потом нужно ждать 15 минут на следующие три ввода.
3 раза с одного IP. Кто сказал, что они работают с одного? Он может хоть каждый раз с нового заходить (гипотетически).

Комбинации а-ля "111111" перебираются в первую очередь. Кстати, есть ещё перебор по словарю. Попробуйте поставить совершенно случайную последовательность.

Каптчу надо ставить в любом случае. Если кто-то узнал пароли, их следует поменять.

Кстати, пароль (т.е. те самые "666666") хранится в php-скрипте регистрации? Если так, то всё однохначно - кто-то может этот файл смотреть. И преимущество каптчи в данном случае заключается в том, что генерируемая последовательность хранится не в файле, а в памяти на сервере (в сессии).

Поэтому я настоятельно рекомендую поставить каптчу! Я уверен на 80%, что после этого боты перестанут проходить.

Posted: Thu Sep 25, 2008 7:38 pm
by scriptin
Smart wrote:А может нужно задавать контрольный вопрос?
Нет, это не поможет. Разве что, если вопрос будет каждый раз уникальным. И опять же - можно составить базу ответов. Плюс пользователям будет лень это воодить.

Posted: Sun Sep 28, 2008 3:03 pm
by Михаил РАДУГА
Поставил проверку. Сейчас можно зарегистрироваться только через иньекцию в корень бд. Если пройдут - придется по-потеть. Не пройдут - читают код заранее.

Однако пользователи могут регистрироваться, верней, переписывать заранее созданные аккаунты под себя. Инсрукция на странице регистрации.

Posted: Sun Sep 28, 2008 5:35 pm
by Михаил РАДУГА
Не помогло.
Через MySql как-то походят.

Posted: Sun Sep 28, 2008 6:16 pm
by scriptin
Вообще, phpBB - вещь высьма дырявая. Самая "неуязвимая" версия, которую я знаю - 2.0.22. Как-то искал на неё дырки - нашёл всего две каких-то некритичных уязвимости.

Хуже, если взлом вообще в обход уязвимостей движка идёт.

Posted: Wed Oct 01, 2008 9:16 pm
by -ПОЭТ-
Это йа сламал сайт! Больша не буду! Абещаю

Posted: Thu Oct 02, 2008 6:40 am
by p0stal
-ПОЭТ-
Предлагаю астрально гильотинировать!

Posted: Sun Nov 02, 2008 1:35 am
by walker
На время перекрыл ботам допуск, а те что уже успели зарегестрироваться уничтожаются, за вчера и сегодя из БД было удаленно более 800 акаунтов=).
Если боты пролезут опять, придётся ужесточать правила регистрации на форуме, через потверждение по e-mail например.

Posted: Sun Nov 02, 2008 8:38 am
by P.J.
Полностью поддерживаю walkera. Пора ужесточить правила регистрации на форуме. Не дадим в обиду любимый форум:)!

Posted: Sun Nov 02, 2008 2:56 pm
by walker
Вроде всё, всех зарегившихся ботов удалил из БД.Всего за месяц на сайт пролезло более 1300 спам-ботов.

Posted: Sun Nov 02, 2008 6:19 pm
by Privet
А меня расстраивает, что все подобные форумы скатываются к какой-то полной хренотне (посмотрите на весь флуд в соседних ветках), а зерно - обсуждение ОСОЗНАННЫХ СНОВИДЕНИЙ (методик, техник, совершенствования и проч), становится продуктом редким и почти лишенным смысла и внятности(((
Может быть вообще имеет смысл закрывать "общие открытые разделы" и обсуждать только предметные вещи...Пусть лучше ничего, чем куча мусора.
И уж во всяком случае, надо отсекать при регистрации как предложил walker!

Posted: Sat Nov 08, 2008 9:17 am
by -ПОЭТ-
Йа пошутил! Йа еще раз взламаю сайт! Абещаю! Это я так люблю их ламать патаму чта я очемь уный!

Posted: Mon Nov 10, 2008 12:22 am
by Smart
Да какой ты нахрен умный? Ошибок больше чем у первокласника!
Чтобы было меньше спам ботов надо запретить постить ссылку, а ещё лучше создавать тему, до тех пор, пока не наберётся 10 сообщений. Тогда спам боты не смогут фигачить рекламму.