Единый форум поддержки |
Привет, Гость! Войдите или зарегистрируйтесь.
Вы здесь » Единый форум поддержки » Безопасность » Мысли и предложения по защите форума от взлома
Вот это дело. 
Хорошо что за многими вопросами решили и этот вопрос * почти* - пароль, секретный вопроси и бэкап.
Он теперь расстроен.
Лицемерие так и прёт из него ... мда ... В общем все мысли впервые за некторое время об этом модераторе, в теме Эпизод 2, пост номер 575, страница 23. Причём - это по теме )) Нефиг строить из себя ,,супермодератора,, и на пустом месте чистку затевать )) смешно.
Anni-neko написал(а):
Он теперь расстроен.
я этого не писала ((
я оч извиняюсь..но уменя по ходу пару вопросов..ибо все серьезнеет и серьезнеет ето все;еси не трудно кому--ответьте1-шмеля ломали?2-причем тут руслан
1-еси ломали шмеля,причем не так давно-ждите взлома марисоль
2-рус врядли че ломал,*от мысли етой me смеется
еси ломали шмеля,причем не так давно-ждите взлома марисоль
Мне казалось, форум у них один...
Morfirin
неа
почитала я..ну и флудеры
вообщем на русю гонят--зря..некрасиво вообще..называется поклеп и клевета..подответственно,кстати..не говоря уже об оскоблениях..я все понимаю--эмоции..но холодная голова=имхо-лучше
догадки,даже подтвержденные косвенно=все равно являются субъективными..все понятно?или по пунктам объяснять?
вот думаю-ликбез чтоле открыть..как то хакеры действительно быстрее понимают=боюсь сказать умнее\они\
мб тогда и тупить не будете
еще раз повторюсь--просто так чтоб кто кого ломал...мдя.
время=деньги..не гвооря уже обо всем остальном
шутки ет хорошо
но хотите чтоб было все норм,ведите ся соответственно..а то выясняете грубо какие то отношения,а потом друг друга подозреваете\впринципе без претензий к мафке,так..в общем\
положение вещей прискорбное..а могу еще рассказать как бывает,форум-мелочь,можно потерять жесткие безвозвратно,железо нафик,инет фтопку
вот и думайте терь кто где когда кому нахамил
у меня лично лю пасс--12345--зебра подтвердит--скок у хакеров--никто иникогда 
Свои мысли еще вчера изложил здесь: Средства от взлома форумов через модераторов
Admin
Вероятно кто-то знает про существовании этой проблемы, но я её на всякий случай здесь сообщу.
Дело в том что каким-то образом зарегестрированный юзер может получить емеил админа или модератора
форума. И это при том что они скрыты от всех с помощью опции Приватность. Каким образом это
происходит я не знаю, но получают без проблем. Собственно мне вчера один из моих знакомых
это наглядно продемонстрировал, получив скрытое мыло одного из юзеров.
Ну а дальше уже проще - ломают мыло и высылают на него пароль форума.
Разумеется от этого легко можно защитится указав мыло с например доменом @mybb.ru и т.д., но это ведь не выход.
Надо как-то это дело пофиксить.
Отредактировано budda (Пн, 9 Июн 2008 13:50:17)
Admin
Дальше может быть чушь, а может наоборот
Первый вопрос: самый первый профиль который регистрируется это ведь ваш Admin? Потом глав админ форума, так? Если так, то как давно вы меняли пароль?
Второй вопрос: у майбб свои сервера на которых хранятся. Сервер - высокопроизводительный компьютер со специальной OC и ПО. Зная что все ос ставятся на dos вопрос Почему нельзя востановить форумы если файлы в досе не так трудно востанавливать?
Вот идея 
Сделать два поля логин и ник в форме регистрации. Логин будет служить только для входа и в профиле нигде не будет показываться, а ник будет как и сейчас над аватаром, в профиле и т.д.
Вот идея
Сделать два поля логин и ник в форме регистрации. Логин будет служить только для входа и в профиле нигде не будет показываться, а ник будет как и сейчас над аватаром, в профиле и т.д.
Все это конечно хорошо, но согласись, это грубо говоря 2 пароля, взломать соответственно труднее, но придется ведь и делать функцию для "забывчевых" иначе никак, и на почту будут высылаться этот логин и пароль, а через почту чаще всего и ломают, поэтому на много это не защитит, а недовольных может быть немало.
"секретные вопросы" уже звучало?
1. Пользователь использует уникальный пароль, т.е. такой, который не использует больше нигде.
Вот тут полезная информация про надежность паролей.
Продолжаю свою мега идею с прошлой страницы
Создать так же пользователя-невидимку о нике и пароле которого будет знать только админ. Когда при попытке взлома админа будут нажимать Забыли пароль в лс неведимки будет высылаться логин и пароль админа. При нажатие Забыли пароль у невидимки на мэйл высылать пароль невидимки, а на профиль (если есть ещё админы) другога админа высылать логин и пароль пользователя-неведимки в лс. Сообщение закрыто лёгким паролем, который знает только админ.
Несколько советов для главных администраторов, чтобы не стать жертвой взлома форума.
Вот несколько советов, если у Вас возникли подозрения, что Ваш форум хотят взломать/ взламывают/вы получили угрозы по почте (ЛС, асе, скайп и пр...):
1. Снимите с форума всех администраторов и модераторов (на время), объяснив им причину;
2. Смените e-mail в Вашем профиле на несуществующий, например
тебе@vhoda.net
3. Смените свой пароль на новый. Желательно, чтобы в нём присутствовали буквы разных регистров (заглавные и прописные), буквы разных языков (например русского и английского), цифры, а также специальные символы (найти их вы сможете перейдя в вашем компьютере пуск---все программы----стандартные----служебные-----таблица спец. символов);
4. Закройте форум от гостей. Для этого перейдите администрирование----группы----выберите необходимую группу(например, гости)---нажмите редактировать и запретите пользователям этой группы просматривать форум, писать сообщения, начинать новые темы и пользоваться поиском как участников, так и поиском по форуму---нажмите сохранить. Таким же образом отредактируйте и другие группы, если сочтёте нужным;
5. Уберите из Вашего профиля номера ICQ (QIP и прочее) СКАЙП, остальное, чтоб избежать возможности получать угрозы через них. Также можно запретить использовать ЛС на форуме. Сделать это вы сможете, перейдя по администрирование----группы----- выбираем группу---жмём редактировать---и ставим "нет" в пункте "Использовать ЛС"---сохраняем;
6. Не читайте письма, пришедшие на e-mail от неизвестного источника или имеющие любые прикреплённые файлы. Они могут содержать трояны;
7. Не принимайте по ICQ (QIP и прочее) СКАЙП и остальное файлы от неизвестных пользователей. Они также могут содержать трояны;
8. Запретите регистрацию новых участников на форуме. Сделать это вы сможете, перейдя по администрарование---настройки----находим пункт "Регистрация пользователей" и ставим галочку на "нет"-----сохраняем;
9. Смените пароль у Вашей почты.
10. Если Ваш форум уже достаточно развит, то не назначайте администраторами и модераторами малознакомых людей. Лучше доверить это проверенным пользователям. Оптимальное колличество администраторов и модераторов на форуме - 3.
Не обязательно использовать все вышеуказанные правила. Можно ограничиться лишь некоторыми. Важно понимать, что своевременно принятые меры спасут Ваш форум от полного уничтожения и сохранят Ваши нервы.
Отредактировано rps (Вт, 29 Июл 2008 16:26:39)
Админы некоторых форумов, чтобы обезопасить себя от взлома поступают следующим образом: меняют свой e-mail в профиле на несуществующий. Ни в коем случае нельзя менять на случайное сочетание букв, подобно
ghghirgirgi@mail.ru
Дело в том, что если окажется, что подобного почтового ящика не существует (а в большинстве случаев это именно так), то злоумышленник запросто сможет его зарегистрировать, после отправить на него новый пароль и получить доступ к аккаунту главного админа.
Отсюда совет, заменяйте адрес почты РУССКИМИ буквами, например:
ававпрош@mail.ru
E-mail с русскими буквами не регистрируются.
E-mail с русскими буквами не регистрируются.
кстати это пока не регистрируются 
уже ввели русские домены.. думаю и русская почта не за горами 
лучше всего ставить ящик с доменом mybb например mybb@mybb.ru его не должны сломать)
Сделайте так.
Запрос на смену пароля с мыла-это очень плохая идея. так был взломан мой форум...
Сделайте так, чтобы пароль забытый мог восстанавливаить только админ(это для всех юзверей).
Для админа -три или больше контрольных вопросов, которые заполняет сам админ при регистрации +указание дополнительного емейла+ еще какая-нибудь примочка. И это все только с айпишника админа. если с чужого айпишника-это нужно ужесточить.
А форум свой мне все равно жалко...
Сделайте так, чтобы пароль забытый мог восстанавливаить только админ(это для всех юзверей).
Это хорошо подойдёт для малых форумов, где число участников ограничивается 100... На более крупных форумах это не пойдёт, поскольку в день по нескольку участников заказывают себе новые пароли. И теперь представьте себе, что админу придётся каждый раз приходя на форум получать сообщение о том, что кто-то забыл пароль и надо его менять... А пользователь не сможет попасть на форум, пока не явится админ...Или хуже того, есть форумы, где админы просто забросили руководство и более не появляются. Там как прикажете поступать?
И это все только с айпишника админа.
Скажите, а как быть тем у кого динамический? Пользоватся услугами более дорогого провайдера, который предостовляет постоянный? Или приплачивать за постоянный? Слишком дорогое удовольствие.
То же самое и с мылом. Регните форум с одного, потом сами же и поменяйте, пропишите какую-нибудь ерунду кириллицей, да и все.
оздать так же пользователя-невидимку о нике и пароле которого будет знать только админ. Когда при попытке взлома админа будут нажимать Забыли пароль в лс неведимки будет высылаться логин и пароль админа. При нажатие Забыли пароль у невидимки на мэйл высылать пароль невидимки, а на профиль (если есть ещё админы) другога админа высылать логин и пароль пользователя-неведимки в лс.
Круговая порука мажет как копоть, я беру чью-то руку, а чувствую локоть. (Машина Времени)
Круговая порука на форуме не уместна.
Скажите, а как быть тем у кого динамический? Пользоватся услугами более дорогого провайдера, который предостовляет постоянный? Или приплачивать за постоянный? Слишком дорогое удовольствие.
для этого используют фильтрацию по диапазону айпи
| Как защитить форум от взлома | Безопасность | Вс, 14 Апр 2013 |
| Атака спамеров | Архив | Вт, 26 Дек 2017 |
Вы здесь » Единый форум поддержки » Безопасность » Мысли и предложения по защите форума от взлома