Владельцам 3.8.6: не поставили патч - потеряли форум!

Файловый Архив

  • Неограниченное количество категорий и суб-категорий
  • Настройки прав доступа по группам
  • Настройки прав доступа по каждой категории
  • Предпросмотр медиа файлов: FLV, IFLV, F4A, F4V, MP4, MP3, MOV и других...
  • Мультизагрузка файлов - SWFUploader
  • Добавление файлов с сервера
Подробности и история обновлений продукта в этой теме
Loading

Go Back   форум vBSupport.org > >
Register Изображения Меню vBsupport Files Manager Аллея Звёзд Реклама на форуме Search Today's Posts Mark Forums Read
  • Мемберка
  • Администраторам
  • Premoderation
  • For English speaking users
  • Изменения в правах
  • Каталог Фрилансеров
Пароли на скачивание файлов в Member Area меняются автоматически каждый день
Если вам нужно скачать какой то скрипт, за паролем ко мне в ЛС
привет какирам kerk
Ещё раз обращаем Ваше внимание: всё, что Вы скачиваете и устанавливаете на свой форум, Вы устанавливаете исключительно на свой страх и риск.
Сообщество vBSupport'а физически не в состоянии проверять все стили, хаки и нули, выкладываемые пользователями.
Помните: безопасность Вашего проекта - Ваша забота.
Убедительная просьба: при обнаружении уязвимостей или сомнительных кодов обязательно отписывайтесь в теме хака/стиля
Спасибо за понимание
На форуме введена премодерация ВСЕХ новых пользователей

Почта с временных сервисов, типа mailinator.com, gawab.com и/или прочих, которые предоставляют временный почтовый ящик без регистрации и/или почтовый ящик для рассылки спама, отслеживается и блокируется, а так же заносится в спам-блок форума, аккаунты удаляются
for English speaking users:
You may be surprised with restriction of access to the attachments of the forum. The reason is the recent change in vbsupport.org strategy:

- users with reputation < 10 belong to "simple_users" users' group
- if your reputation > 10 then administrator (kerk, Luvilla) can decide to move you into an "improved" group, but only manually

Main idea is to increase motivation of community members to share their ideas and willingness to support to each other. You may write an article for the subject where you are good enough, you may answer questions, you may share vbulletin.com/org content with vbsupport.org users, receiving "thanks" equal your reputation points. We should not only consume, we should produce something.

- you may:
* increase your reputation (doing something useful for another members of community) and being improved
* purchase temporary access to the improved category:
10 $ for 3 months. - this group can download attachments, reputation/posts do not matter.
20 $ for 3 months. - this group can download attachments, reputation/posts do not matter + adds eliminated + Inbox capacity increased + files manager increased permissions.

Please contact kerk or Luvilla regarding payments.

Important!:
- if your reputation will become less then 0, you will be moved into "simple_users" users' group automatically.*
*for temporary groups (pre-paid for 3 months) reputation/posts do not matter.
Не можете скачать вложение?
Изменения в правах групп пользователей
внимательно читаем эту и эту темы
Короткая версия - тут
Уважаемые пользователи!

На форуме открыт новый раздел "Каталог фрилансеров"

и отдельный раздел для платных заказов "Куплю/Закажу"

 
 
Первый пост
Old  
CaptainSASH
Простоузер
Default 0

Quote:
Originally Posted by ViolentOr View Post
Ну.. ваще всем админам оно должно падать ^_^ Или уж как минимум дежурному =)
Идиллия прям...

Quote:
Originally Posted by ViolentOr View Post
Я даже не буду спрашивать как ты намерен получить доступ к базе, ибо ты, очевидно, вообще не знаешь как работает данный движок.
Вот, ход мысли правильный...
Как?
Это уже другой вопрос...
А вот если получить, то брут твоего пароля состоящего из слов вопрос времени, причём достаточно короткого. Т.к. пароль свой в рекомендуемые 160 дней (по умолчанию) ты сменил на тот же (вероятность 80%) или очень близкий

Quote:
Originally Posted by ViolentOr View Post
http://www.vbulletin.org/forum/showthread.php?t=237346
например
Я догадывался, что есть что-то подобное... Спасибо!
 
Bot
Yandex Bot Yandex Bot is online now
 
Join Date: 05.05.2005
Реклама на форуме А что у нас тут интересного? =)
Old  
ViolentOr
АнтиГуру
Default 1

Quote:
Originally Posted by CaptainSASH View Post
Идиллия прям...
Ну тут уж извини. Система уязвима ровно настолько, насколько уязвимо её слабейшее звено. Слабейшее звено -- человек (практически всегда). А если человек еще и дурак :-D Предохраняться надо! мы -- за безопасный секс!

Quote:
Originally Posted by CaptainSASH View Post
Вот, ход мысли правильный...
Как?
Лол. Если ты получил доступ к БД, то брутить уже ничего не надо :-D Тупо подставляешь нужному юзеру в поле пароля хэш известного тебя пароля :-D

Ты меня просто убиваешь =)))))

З.Ы. представил щас себе как кулхацкер получил доступ к БД и, радостно потирая руки, пробурчал себе под нос "ну теперь уж мы сбрутим этот гадкий пароль! У меня есть еще 160 дней до смены!"... гыгыгыг
 
Old  
CaptainSASH
Простоузер
Default 0

Quote:
Originally Posted by ViolentOr View Post
Даже интересно. Через что ты намерен брутить админский пароль на форуме?
Так, о том что можно брутить базу ты уже знаешь...

Quote:
Originally Posted by ViolentOr View Post
Лол. Если ты получил доступ к БД, то брутить уже ничего не надо :-D Тупо подставляешь нужному юзеру в поле пароля хэш известного тебя пароля :-D
Угу и нормальный админ резко восстанавливает всё из бэкапа (у нормального админа ведь есть бэкап?) и усиливает оборону... И лавочка прикрылась...
А кулцхакерам это не нужно, нужно что бы он (админ) оставался в неведении и спокойно спал. Понимаешь?

Quote:
Originally Posted by ViolentOr View Post
З.Ы. представил щас себе как кулхацкер получил доступ к БД и, радостно потирая руки пробурчал себе под нос "ну теперь уж мы сбрутим этот гадкий пароль!"... гыгыгыг
От этих представлений, ты как "нормальный админ" должен проснуться и покрыться липким потом от ужаса... И бежать проверять вверенное тебе оборудование и ПО на наличие рут-китов и прочей нечести!
 
Old  
ViolentOr
АнтиГуру
Default 1

Quote:
Originally Posted by CaptainSASH View Post
Так, о том что можно брутить базу ты уже знаешь...
а.. так ты и логи мускуля не читаешь? =)

Quote:
Originally Posted by CaptainSASH View Post
А кулцхакерам это не нужно, нужно что бы он (админ) оставался в неведении и спокойно спал. Понимаешь?
я вообще так слабо себе представляю, что кулхацкерам вообще может быть нужно на форуме, кроме слитой базы и радостного глума на главной. Вот ейбогу. Понимаешь? =) А я тебя еще удивлю. Есть еще и хак, который отслеживает с каких IP были входы под админским аккаунтом. Как думаешь -- как среагирует админ, увидев вход с IP не из своей подсети? м? =)

Quote:
Originally Posted by CaptainSASH View Post
От этих представлений, ты как "нормальный админ" должен проснуться и покрыться липким потом от ужаса... И бежать проверять вверенное тебе оборудование и ПО на наличие рут-китов и прочей нечести!
Регулярно занимаюсь на вверенном мне оборудовании. Мне для этого сказки на ночь не нужны =)
 
Old  
CaptainSASH
Простоузер
Default 0

Quote:
Originally Posted by ViolentOr View Post
а.. так ты и логи мускуля не читаешь? =)
Логи мускула мало чем помогут, база то слита...

Quote:
Originally Posted by ViolentOr View Post
я вообще так слабо себе представляю, что кулхацкерам вообще может быть нужно на форуме
То, что ты слабо представляешь объём информационной безопасности - это до первого "испуга"
Форумы бывают разные и инфа на них разная...

Quote:
Originally Posted by ViolentOr View Post
А я тебя еще удивлю. Есть еще и хак, который отслеживает с каких IP были входы под админским аккаунтом. Как думаешь -- как среагирует админ, увидев вход с IP не из своей подсети? м? =)
Не удивил... Это уже разбор "полётов"... Да и вряд ли "нормальный" помнит адреса других админов, в том числе и дежурных...
.htaccess предотвратит это.

Подведём итоги...
В ходе дискута мы выяснили, что не всё так просто.
-Пароль нужно выбирать правильный...
-Брутят не через "парадный вход"...
-грамотно построенная защита - залог успеха и крепкого сна... ;)
 
Old  
ViolentOr
АнтиГуру
Default 1

Quote:
Originally Posted by CaptainSASH View Post
Логи мускула мало чем помогут, база то слита...
Куда она нафик слита? Ты сколько времени потратишь на брут базы? =) А вот попытку твою увидят в течении суток. И зобанят подсеть и пароль поменяют, ага.
Quote:
Originally Posted by CaptainSASH View Post
.htaccess предотвратит это.
ну начнем с того, что правильно настроенный .htaccess вообще снимает необходимость в пароле больше 1 символа... ах да.. ты же сбрутишь ФТП и хтакцесс поправишь =)
Quote:
Originally Posted by CaptainSASH View Post
В ходе дискута мы выяснили, что не всё так просто.
ну ты легких путей очевидно не ищешь. (кстати куда более перспективно -- слямзить почту.. её в "лоб" сбрутить куда проще чем базу или форум..), а через анал гланды вырезать непросто. особенно автогеном (с) народный анекдот.
Quote:
Originally Posted by CaptainSASH View Post
-Пароль нужно выбирать правильный...
>_< не.. ну я отказываюсь по второму кругу на пальцах показывать.
Quote:
Originally Posted by CaptainSASH View Post
-Брутят не через "парадный вход"...
ога. сначала брутят базу, потом брутят пароль админа... кстати.. а чего бы не сбрутить пароль к ФТП и не прописать своего суперадмина через конфиг? тоже способ перспективный! Я уже молчу про возможность залить шелл... вот уж где просто для фантазии! :-D
Quote:
Originally Posted by CaptainSASH View Post
-грамотно построенная защита - залог успеха и крепкого сна... ;)
ну вот тут я спорить не буду. Только вот админский пароль -- далеко не главная составляющая данной безопасности. так сложилось, ага.

З.Ы. это не значит что надо ставить в качестве пароля дату своего рождения или что-ньть такое... это-то проверят в любом разе ^_^

Фух.. таки дождался ответа, не уснул. Вот теперь с чувством выполненного долга пойду спать...
 
 

Thread Tools

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is On
Smilies are On
[IMG] code is On
HTML code is Off




All times are GMT +4. The time now is 04:24 AM.


Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd.