Работа форума восстановлена.Работа форума восстановлена. Опции

[Richard Roe]

Если очень постаратся, можно круто обламатся...

[dfc_darkman]

вся проблема для них, что они делали это по видео ролику взлома, т.е. это не профи и они б точно не додумались бы до сохранения базы... зы база весит 100 метров, и ее очень тяжело мускульсервер глушит запрос в процесе...

в АЦ есть такая галочка GZIP Content? и база сливается в архиве, размером около 20 мб

Насамом деле не могут. Макс зайти под моим логином на форум.
А перебрать пароль с помощью мд5, займет пол жизни, потому что от 3х символов уже перебор занимает минут 30. Я молчу про 15 символов...

Ну я про это и говорил. в АЦ они не зайдут, если подменят хеш в куки. Но имея права админа на форуме тоже можно делов наделать

если сильно захотеть - можно в космос полететь .. ;)

вот-вот теоретически расшифровать нельзя, но можно, но и шансы малы. т.е. тут либо да, либо нет

[Arhivator]

в АЦ есть такая галочка GZIP Content? и база сливается в архиве, размером около 20 мб

Ну у мну сервак вые*тся и нехочет сохранять... Я спрашивал админов, они сказали что слишком большой размер базы, поэтому и не гзипит.

[dfc_darkman]

Ну у мну сервак вые*тся и нехочет сохранять... Я спрашивал админов, они сказали что слишком большой размер базы, поэтому и не гзипит.

МОгу дать классный скриптик с помощью которого делаю бекап базы Если надо, напиши в ПМ.

Ну если у тебя глюки с Гзипом, значит тебе повезло Но врятли кросавчег в АЦ залез...

[Arhivator]

Залез в АЙ! говорю ж все делал по пособию, я сначала подумал что более-менее шарящий черт, раз смог сделать запрос к базе с присвениме себе админской группы, узнав что это не так обрадовался

[p4elka]

Залез в АЙ! говорю ж все делал по пособию, я сначала подумал что более-менее шарящий черт, раз смог сделать запрос к базе с присвениме себе админской группы, узнав что это не так обрадовался

я тож так подумал)
но оказывается, все элементарно, а так может просто хостер отребил функцию, зипа, изза того что такой объем архивировать... мощности тратить...=/

[=®=]

Ну если у тебя глюки с Гзипом, значит тебе повезло Но врятли кросавчег в АЦ залез...

простите, а как можно поменять название форума не залезая в АЦ??? :blink:

Сообщение отредактировал =®= - 08-05-2006 - 14:47:05

[Richard Roe]

простите, а как можно поменять название форума не залезая в АЦ??? :blink:

Руками в базе, в принципе. А Радар ломанули начитавшись простейших детских статеек. Патчится надо регулярно и будет вам счастье... Deforum ведь ниразу не упал, сколько живет, а желающих его навернуть - немеряно.

[Sab]

Руками в базе, в принципе. А Радар ломанули начитавшись простейших детских статеек. Патчится надо регулярно и будет вам счастье... Deforum ведь ниразу не упал, сколько живет, а желающих его навернуть - немеряно.

Радар тут при чём? Нас пытались крякнуть

[Richard Roe]

Точно также, как и радар. Бэкап - это способ не потерять, надо о защите думать.

Самый простой метод "не влететь" - купить лицензию на форум и активно читать то, что пишут в комьюнити IPB. Тогда ты будешь в курсе всех найденых дыр и будешь оперативно получать латки на найденные отверстия и никакой малолетний мудак начитавшись детских статей тебя не вломит.

Аватары - нах. BBCode в подписях - нах. Ибо несекьюрно.

[Arhivator]

Мож тогда и сообщения нах? Это уже параноя.

[Xrobak]

Мож тогда и сообщения нах? Это уже параноя.

зачот! и кампутер тоже нах! патамушта вредна для здаровья, гы

ЗЫ: харе флудить тут, все поняли что тут есть умные люди на форуме, расслабились и забыли.

[Richard Roe]

http://deforum.ru

Аватар нет. BBcode в подписях нет. Обиженных на него - вагон и маленькая тележка. За пять лет существования взломов - 0! Комьюнити одно из лучших.

Потому что там не дети сидят, дети там давно забанены, потому аватары там никому не нужны, да и юзербары тоже. Или бэкапьтесь раз в час, 3.14здите хацкеров под заборами и так далее, или следите за дырами и вовремя латайтесь.

[Markus]

Мож тогда и сообщения нах? Это уже параноя.

Нет, ну не до такой степени. Но думаю, что в словах Richard Roe есть доля правды. Если сейчас существует тенденция атак на форумы, то стоит уделить больше внимания защите.

[Markus]

Ну имея мд5хеш твоего пароля я могу вставить себе его в куки и быть админом на форуме экстрадж

Я не сильно разбираюсь в работе скриптов IPB-форумов. Но думаю, они не столь глупы, чтобы хранить md5-hash в куках...

Сообщение отредактировал Markus - 08-05-2006 - 23:42:49

[kothor]

Чем скажите аватары небезопасны? ББКод, согласен - небезопасен, но тем не менее существует масса форумов с разрешенным ББКодом и проблем с ним админы не имеют. Да и к тому же кулхацкер наш скорее всего походил по нехорошей ссылке или брутфорснул админский пароль.

[Arhivator]

у меня слишком длинный пароль буртфорсом будет тяжеловато взломать.

[Настёна]

кти-нибудь восстановит подписку "уведомления об ответе"!

[=®=]

Я не сильно разбираюсь в работе скриптов IPB-форумов. Но думаю, они не столь глупы, чтобы хранить md5-hash в куках...

Ты будешь приятно удивлён глянув в своё куки с этого форума.

[xSlavik]

Я конечно против таких приколов потому что я высадился что форум просто закрыли за ©, но надо и иметь ввиду что дирки есть - надо залатывать.

Мне кажется что провайдеру будет п.х. на какого то типа который висел под каким то Proxy и т.д. он же на капусту никого не кинул по этому ни кто шевелится не будет - хотя если найдут было бы интресн с ним поговорить нах ему это надо. Потому что практика показывает ... Да и статья у нас в стране не свежая мало кто её юзает. В Росии за такое могут посадить .. У нас ХЗ ... Ладно Рад что воостановились ;) .

Ты будешь приятно удивлён глянув в своё куки с этого форума.

Там хранятся Session ID а это просто HEX идентификатор своего формата - для некоторых выглядит как MD5

с Уважением Vyacheslav Putsenko
Senjor Developer.

Making Things Evident

Сообщение отредактировал xSlavik - 11-05-2006 - 17:12:40