Hacking attempt...

[Robis]

Sveiki!

Skatiijos cauri vienu free skriptu, aciimredzot, profesionaalju programmeetu, un tur bija shaadi:

 

index.php:

 

define('IN_PHPBB', true);

$phpbb_root_path = './';

include($phpbb_root_path . 'extension.inc');

include($phpbb_root_path . 'common.'.$phpEx);

 

extension.inc:

 

if ( !defined('IN_PHPBB') )

{

die("Hacking attempt");

}

 

//

// Change this if your extension is not .php!

//

$phpEx = "php";

 

$starttime = 0;

 

common.php:

 

if ( !defined('IN_PHPBB') )

{

die("Hacking attempt");

}

 

...u.c. failiem veel visaadas fishkas...

--------------------------------------------------------------------

 

hmm... :)

 

Kas taa par diivaino aizsardziibu pret hakeriem? Vai kaads var man izskaidrot jeegu?

+ gribu zinaat, vai piemeeram, ja man ieksh index.php ir require('config.php'), kur teiksim mainigajos vai konstantes ir ierakstitas MySQL paroles un cita info, ko nevajadzetu zinat, tad vajag likt .htaccess uz config.php vai ari ja index.php ir iekljauts, to var ieraudzit?

Kaut kur ir sikaka informacija par web hakoshanas pamatiem? :ph34r:

[Klez]

tas ir domaac taa:

 

tav ir fails index.php un fails zinjas.php

 

define('IN_PHPBB', true);

$phpbb_root_path = './';

include($phpbb_root_path . 'extension.inc');

include($phpbb_root_path . 'common.'.$phpEx);

tas staav failaa index.php

bet shis

if ( !defined('IN_PHPBB') )

{

die("Hacking attempt");

}

failaa zinjas.php

 

taatad:

 

mees ejam uz attieziigo lapu index.php, kura satur vairaakus failus un ja kaac nofailiem nav, tad lapa nefunkcionee. tas ir domaac gadiijumam, ja mees ejam pa taisno uz lapu zinjas.php. Tad mums izmet "Hacking attempt".

 

taa luuk.

 

to sauc par droshiibu :) :P

[Robis]

Nja... Nu sanaak taa - ja meegjini atveert kaadu citu lapu, kas ir iekljauta, piemeeram ieksh index.php, tad tiek izmests "hacking attempt", tachu iisti nesaprotu to jeegu (saprotu, ka tas ir domaats, lai nevareetu piekljuut citiem failiem), tachu index.php ta var piekljuut un nolasiit tos! Un kaapeec veel vajadziigs shis extension.inc fails? Vienkaarshi, lai paraditu, ka iekljautajiem failiem extension ir .php ...? Vispar, hakerim ir kadas iespejas izlasit kaada .php faila kodu?

[Gacha]

Pieņemsim, ka tev lapas dizains ir tikai uz index.php un pārejo informāciju (zinjas, foto, viesugramata u.c.) tu inklūdo kaut kur vidū iekš index.php Ja lietotajs staigajot pa tavu lapu spiež uz linkiem kurus tu esi veidojis tad piem. lapa www.robis.lv/index.php?cat=zinjas parādīsies tā kā tu to gribi. Bet ja kāds rakņājas pa tavu serveri un ieiet folderī, kur tev mētājas visas tās inklūd lapas, tad viņš tās redzēs nesmukā veidā.

 

Un ja kāds meģina no citas lapas apskatīt tavu index.php vai ko citu

<? highlight_file('index.php' ?>

tad vinjam tas neizdosies, parādīsies balta bilde, bet ja viņš ir uz tā paša servera tad tas ir atkarīgs no tā cilvēka, kurš konfigurēja serveri. Pēc būtības nedrīkstētu atļaut includot citu lietotāju failus.

[Venom]

Gacham žetons! Sāk parādīties sakarīgas atbildes.

 

Par to phpBB un profesionalitāti, apstrīdējams jautājums. Ja esi nodarbojies ar modu pielikšanu/rakstīšanu priekš viņa, diez vai būs kas labs sakāms.

 

/me domā, ka vislabāk neļaut lasīt failus no šāda veida ir:

1) izmantot .htaccess, kurā salikt, ka neviens cits, izņemot pašu serveri savām vajadzībām, nevar nolasīt citus failus, izņemot index.php

2) iekš "apakšfaila" čekot refereri un ja tas nav zināms, vai nepieder domēnam - taisīt header un meta refresh uz sākuma lapu - gaužam labāk par trulu "tu esi iekulies ne tur kur vajag, tāpēc es tevi saukšu par hackeri". Jo apakšlapas tiek indeksētas no visādu gūglu puses un tad nu token nav pamata saukt ūzeri, kas meklējot kaut-ko no gūgles ielinkojies tavā lapā ne tur, kur vajadzētu.

u.tt. u.tml.

[Robis]

he... Tu jau zini par kaadu skriptu runaaju... Nemaz nedomaaju, ka vinjsh ir tik populaars... Ko tu saki piemeeram par Sitellite skriptu?

Ja zini, pasaki, luudzu, kaadu ljoti labaa stilaa uzprogrammeetu free skriptu...

[Gacha]

Kapēc tu meklē visādus scriptus? Paņem šito, kuru es izmantoju. Un kas nepatīk to nodzēs, ko vēl gribi pieliec. Un tev būs labs engins. Un parejo meklē forumā

[sviesc]

Hmm īstenība man liekas ka pret īstu hackrei aizsardzību uzraxtīt nevar protams ka jautajums ir kas ir īsts hackeris

[Aleksejs]

Security is a process - not a product

Bruce Schneier

 

Par drošību nevar domāt tā: "Uzlikšu es produktu X (vai uzrakstīšu tik un tik koda rindiņas) un tad mana sistēma būs droša". Bez tam ir jānoskaidro attiecībā pret ko vēlamies, lai sistēma būtu droša. Eksistē daudz dažādu, atšķirīgu metožu, lai paaugstinātu sistēmas drošību un katrai no tām ir savas spēcīgās un vājās puses. Turklāt ir ar vēsu prātu jāizvērtē, cik resursus prasa tā vai cita aizsardzības metode un cik vērta ir tā informācija un tie resursi, kurus cenšamies aizsargāt. Nav vērts izlietot 1000Ls, lai aizsargātu 1Ls vērtu lietu. Nav vērts veikt 24x7 servera monitoringu, ja uz šī servera ir kaut kāda www lapele, kuras atdeve ir 5Ls gadā.

 

Ai, nu ceru, ka sapratāt. :)

[Gacha]

Nu es uz pavasara beigām plānoju dabūt pietiekami labu internetu, lai varētu sev uzstādīt savu serverīti. Bet man ir bail par to, ka pēc pāris dienām lapas vidū būs "Hello admin" :o Jo, ja likšu linuxu tad tā noteikti būs, jo to tik 1x esmu redzējis :P Uz win jau wismaz kādu firewall varetu uzlikt un noslēgt visu, ko tik var noslēgt.

 

Drošība mūsdienās ir ļoti svarīga, jo ir daudz cilvēku kuriem labāk patīk kaut ko sabojāt nevis radīt jaunu, jo tas takš sarežģītāk :D

[Aleksejs]

Runājot par drošību interesentiem sirsnīgi ieteiktu izlasīt Brūsa Šnaiera (Bruce Schneier) grāmatu "Secrets and Lies" (Vēl nesen redzēju tulkotu krievu valodā Valterā un Rapā Секреты и Лож). Tā ir uzrakstīta ļoti saprotamā valodā ar piemēriem no daudzām dzīves situācijām. Vēl viņam ir iznākusi jauna grāmata ar nosaukumu "Beyond Fear", bet to lasījis neesmu, tādēļ no sevis nekādus komentārus nevaru teikt, taču no citu lasītāju atsauksmēm var saprast, ka tā ir "samoje to" tiem, kas vēlas dziļāk izprast drošību per se.

 

Patiesībā būtu interesanti uzzināt citu ļaužu domas un atsauksmes par drošības tēmai veltīto literatūru.