News:

Want to get involved in developing SMF, then why not lend a hand on our github!

Main Menu

Κλείσιμο θυρών στο hacking

Started by leftezi, August 25, 2006, 02:52:29 PM

Previous topic - Next topic

leftezi

Αφού κατοχύρωσα το ωραίο domain ονοματάκι για το forum μου, πριν μερικές μέρες έψαχνα για κάτι σχετικό με το όνομα και τι βρίσκω;
Τη σελίδα κάποιου Τούρκου όπου είχε όλες τις σελίδες που είχε χακέψει σε λίστα, με η μερομηνίες μάλιστα. Ανάμεσα σ' αυτές βρίσκω και το όνομα του φόρουμ μου αλλά... 4 χρόνια πριν! Φαίνεται ότι και κάποιος άλλος είχε κατοχυρώσει το ίδιο όνομα παλιότερα (*.gr μάλιστα) αλλά δεν το ανανέωσε και το βρήκα ελεύθερο.

Σκέφτομαι τώρα, πριν το κοινοποιήσω και αρχίσει η κίνηση ότι δεν είμαι και κανένας εξπέρ σε θέματα ασφαλείας. Με κάποιες αλλαγές στα chmod κατά τις διάφορες εγκαταστάσεις μπορεί να έδωσα permissions εκεί που δεν χρειαζόταν και το forum να είναι ευάλωτο σε επιθέσεις.

Γιαυτό:
Μπορεί κάποιος να μου πει ποιοί φάκελοι - αρχεία πρέπει να έχουν και τι είδους permissions;
Επίσης ποια αρχεία που δεν θα έπρεπε να είναι στο server είναι πιθανό να ξεχάστηκαν και να μην σβήστηκαν κατά την εγκατάσταση;

Ίσως ζητάω πολλά.
Τουλάχιστον κανένα link που αναφέρει τα πράγματα που πρέπει να προσέχουμε για την ασφάλεια του forum;
.

magica

www.blogspace.gr - The other side of greek blogging

mforum

Πιο πολύ να ανησυχεις για την ασφάλεια του λογαριασμού σου στον σέρβερ παρά για το φορουμ  :)

Να μην αφήνεις αρχεία install , upgrade , update php klp
Πήγαινε Διαχείρηση-Κεντρο διαχείρησης-Πακέτα-Επιλογές-Καθορισμός δικαιωμάτων και βάλε Μόνο συγκεκριμένα αρχεία είναι εγγράψιμα ή τα ελάχιστα δυνατά αρχεία είναι εγγράψιμα.

Αν το setup του σέρβερ είναι φτιαγμένο απο κάποιους που ξερουν τι τους γίνετε και είσαι σε linux  μην ανησυχείς, είναι αρκετά ασφαλές.
Παλιά οι Τούρκοι είχαν την τάση να κάνουν ζημιές σε phpbb Ελληνικά φόρουμ.To SMF όμως δεν είναι phpbb  ;)

leftezi

Στο πρώτο σκέλος της απάντησής σου με τα αρχεία που πρέπει να σβηστούν, κάτι είπες.
Εδώ όμως:
Quote from: mforum on August 25, 2006, 05:38:44 PM
Πήγαινε Διαχείρηση-Κεντρο διαχείρησης-Πακέτα-Επιλογές-Καθορισμός δικαιωμάτων και βάλε Μόνο συγκεκριμένα αρχεία είναι εγγράψιμα ή τα ελάχιστα δυνατά αρχεία είναι εγγράψιμα.
δε βοηθάς γιατί αυτό ακριβώς ρωτάω:

Ποια είναι αυτά τα "συγκεκριμένα" αρχεία που πρέπει να είναι εγγράψιμα και ποια όχι; Γιατί αν αρχίζω να κόβω permissions στην τύχη θα αρχίσουν τα προβλήματα.

agridoc

Είχε βρεθεί παλιότερα μια "τρύπα" στο shoutbox του TP που διορθώθηκε. Το μόνο που έγινε ήταν redirection.

Αλλο το domain name και άλλο ο host.

Εχουν αναφερθεί περιπτώσεις hacking και σε SMF, συνήθως όμως εκεί έχουν μπει στον server και όχι άμεσα στο πρόγραμμα.

Περιμένω κάποια νέα για την RC3.
  For Greek aeromodellers and our friends around the world  - Greek Button sets for SMF - Greeklish to Greek mod
Δeν αφιερώνω χρόνο για μηνύματα σε greeklish.

leftezi

Είχα διαβάσει για την τρύπα στο shoutbox αλλά όπως είπες διορθώθηκε.

Τελικά αυτός ο Τούρκος είχε βρεί την τρύπα στα phpbb.
Βρήκα ένα σχετικό μήνυμα που το αναφέρει αλλα δεν μπορώ να ξαναβρώ τη λίστα του που υπερηφανευόταν για τα... "τρόπαια".

Αν υπάρχει πάντως καμιά λίστα για το ποια αρχεία πρέπει να είναι "ανοιχτά" και ποια "κλειστά"... καλά θα ήταν.


-------------------------------------

Of topic αλλά για να μην το κάνω νέο θέμα (και γίνω και ρεζίλι):
Η εισαγωγή συνδέσμου στα μηνύματα του smf δεν μπορώ να πω ότι είναι ιδιαίτερα πρακτική. Για να καταφέρω τη λέξη "μήνυμα" παραπάνω να είναι klickable και να ανοίγει το link χρειάστηκε κόψε - ράψε:

* Επιλογή της λέξης "μήνυμα"

* Πάτημα του "Εισαγωγή συνδέσμου" και μου βγάζει αυτό:
[url]μήνυμα[/url]

* Πληκτρολόγηση του = πριν τη δεύτερη αγκύλη και έχω αυτό:
[url=]μήνυμα[/url]

* Επικόλληση του δεσμού μετά το = για να βγεί τελικά το πολυπόθητο:
[url=http://www.........]μήνυμα[/url]
για να έχω το αποτέλεσμα:
μήνυμα
Πάω Λάρισα μέσω Βλαδιβοστόκ ή έτσι γίνεται;



mforum

Πιο εύκολο για εσένα είναι να γράψεις ο ίδιος το tag παρά να πατάς κουμπάκια.

Αυτό που σου είπα για την διαχείρηση αλλάζει μόνο του τα διακιωμάτα στα ελάχιστα ώστε να δουλεύει το φορουμ (1.1.RC2)
Λίστα σαν και αυτην που ψάχνεις δεν υπάρχει, ότι χρειάζετε να είναι εγγράψιμο πρέπει να είναι 777, αλλιώς 644, οι φάκελοι σε 755 εκτος αν χρειάζετε 777 για να δουλέψουν.

leftezi

Quote from: mforum on August 26, 2006, 04:47:42 AM
Πιο εύκολο για εσένα είναι να γράψεις ο ίδιος το tag παρά να πατάς κουμπάκια.

:D :D :D
    Δεν έχεις και άδικο! Αλλά δεν ασχολούμαι συχνά με γραφή κώδικα. Μερικές φορές μπερδεύω το BBCode με του Html (img src). Δεν κάθησα ποτέ να μάθω κάτι απ' έξω. Βρίσκω πάντα πιο εύκολη λύση τα κουμπάκια (εδώ) και ας είναι καλά το dreamweaver για το Html. Αυτά τα κατανοώ (και τα τροποποιώ αναλόγως) αλλά δεν ξέρω να τα γράφω απ' έξω. Το php και τα css μου είναι εντελώς εξωγήινα!
    Πάντως νομίζω ότι είναι ένα θέμα που χρειάζεται βελτίωση, δεν είναι τρόπος αυτός που δουλεύει το κουμπάκι για την εισαγωγή URL.

Quote
Αυτό που σου είπα για την διαχείρηση αλλάζει μόνο του τα διακιωμάτα στα ελάχιστα ώστε να δουλεύει το φορουμ (1.1.RC2)
Λίστα σαν και αυτην που ψάχνεις δεν υπάρχει, ότι χρειάζετε να είναι εγγράψιμο πρέπει να είναι 777, αλλιώς 644, οι φάκελοι σε 755 εκτος αν χρειάζετε 777 για να δουλέψουν.
Νόμιζα ότι θα μου βγάλει καμιά λίστα να τα κάνω ένα - ένα χειροκίνητα και δεν το κοίταξα καθόλου.  :-[ Sorry.
Thanks mforum. Αυτό ακριβώς χρειαζόμουν.
    Επέλεξα το "Μόνο συγκεκριμένα αρχεία είναι εγγράψιμα" και το εκτέλεσα.

    Έχεις μήπως δοκιμάσει το "Τα ελάχιστα δυνατά αρχεία είναι εγγράψιμα"; Δεν το κάνω γιατί δεν ξέρω πώς ακριβώς λειτουργεί το σκεπτικό. Σκέφτομαι ότι αν βάλω "Τα ελάχιστα δυνατά..." φοβάμαι μήπως δε λάβει υπ' όψιν κάποια που ανήκουν στο TP και τους αλλάξει τα δικαιώματα και αρχίσουν τα μηνύματα λάθους. Και δεν ξέρω αν είναι αναστρέψιμη η κατάσταση, δηλ.: Αν το κάνω με τα "ελάχιστα δυνατά" και δω ότι μου δημιουργεί πρόβλημα, - μετά, αν επιλέξω πάλι "Μόνο συγκεκριμένα..." θα γυρίσουν στο προηγούμενο καθεστώς;
    Ψιλά γράμματα θα μου πεις...

mforum

Μάλλον είναι ανστρέψιμη η διαδικασία, δεν εχω δοκιμάσει ούτε εγώ τα ελάχιστα. :)

agridoc

Οι ιδιλοτητες των αρχείων (file attributes) αλλάζουν όποτε θέλουμε από το FTP.

Δεν αλλάζει το περιεχόμενο των αρχείων.
  For Greek aeromodellers and our friends around the world  - Greek Button sets for SMF - Greeklish to Greek mod
Δeν αφιερώνω χρόνο για μηνύματα σε greeklish.

leftezi

Μάλλον δε μπορώ να σε συλλάβω, agridoc. Βοήθησε λίγο, τι θες να πεις ακριβώς;
Νομίζω ότι για τις ιδιότητες μιλάμε, όχι για το περιεχόμενο.

Ναι, όπως λες αλλάζουν απο το FTP αλλά εκεί πρέπει να ξέρεις καλά τι κάνεις.
Η περίπτωση με τα "ελάχιστα δυνατά" που αναφέρθηκε παραπάνω επηρεάζει το TP;

agridoc

leftezi εσύ έκανες μια ερώτηση αν είναι αναστρέψιμη  :o η κατάσταση. Με την αλλαγή της ιδιότητας δεν αλλάζει το περιεχόμενο, το οποίο πρέπει να έχεις αντίγραφο για να το επαναφέρεις όπως ήταν.

Η επιλογή που σου έδωσε ο mforum βρίσκεται στις επιλογές για τα πακέτα. Το TP, όπως και άλλα mods, ίσως σε δυσκόλεψε στην εγκατάσταση γιατί δεν είχες κάποια αρχεία και directories εγγράψιμα. Δεν επηρεάζεται μετά.

Δίνεται λοιπόν η δυνατότητα, αν δεν ξέρεις τι να κάνεις, να τα βάλεις όλα εγγράψιμα, να κάνεις την εγκατάσταση και μετά να τα βάλεις στα ελάχιστα δυνατά για να έχεις μια υποτιθέμενη προστασία.
  For Greek aeromodellers and our friends around the world  - Greek Button sets for SMF - Greeklish to Greek mod
Δeν αφιερώνω χρόνο για μηνύματα σε greeklish.

leftezi

Α! μάλιστα τώρα κατάλαβα γιατί δεν σε... καταλάβαινα. :D
Κι εγώ δεν εννοούσα το περιεχόμενο. Το "αναστρέψιμο" αναφερόταν στα δικαιώματα δηλ. αν επαναφέρει τα δικαιώματα στην πρότερη κατάστασή τους.

πχ. διαλέγω τα ελάχιστα δυνατά να είναι εγγράψιμα.
Εγώ δεν ξέρω ποια είναι αυτά τα ελάχιστα.

Το smf λοιπόν (μπορώ να υποθέσω) είναι πιθανόν να εξετάζει μόνο τα δικά του αρχεία που πρέπει να είναι εγγράψιμα και τους δίνει τα ανάλογα δικαιώματα. Τα υπόλοιπα που είναι ξένα προς αυτό μπορεί να τα κάνει όλα μη εγγράψιμα (δεν ξέρω).

Αν όμως σ' αυτά τα "υπόλοιπα" ανήκει και ένα αρχείο του TP που θα έπρεπε να είναι εγγράψιμο, θα δημιουργηθεί πρόβλημα.

Επειδή λοιπόν δεν θα ξέρω σε ποιο αρχείο του TP έκανε την αλλαγή δικαιωμάτων, τι κάνω*;

Εκτελώ πάλι το "Μόνο συγκεκριμένα αρχεία είναι εγγράψιμα" ελπίζοντας να επαναφέρει τα δικαιώματα του αρχείου αυτού στην προηγούμενη κατάσταση δικαιωμάτων (όποια κι αν ήταν αυτή)

Και εδώ γεννάται το ερώτημα: Θα το κάνει;
Εδώ κολλάει το "αναστρέψιμη κατάσταση".


* Βέβαια μπορεί να φαίνεται από το μήνυμα λάθους ποιο είναι το αρχείο αλλά μερικές φορές μπορεί και όχι.

Το ερώτημα βασικά είναι αν η εντολή περί των "ελαχίστων εγγράψιμων" επηρεάζει και αρχεία των mod όπως το TP. Αν δεν τα επηρεάζει τότε άκυρα όλα τα παραπάνω. Η ερώτηση περί αντοστρεψιμότητας τίθεται μόνο εφόσον τα επηρεάζει.

agridoc

Μόλις γίνει η εγκατάσταση ενός mod ή μια αναβάθμιση, δεν γίνεται εγγραφή σε αρχεία, εκτός από κάποιες ρυθμίσεις, οι εγγραφές γίνονται στην βάση δεδομένων.

Δεν θα έχεις πρόβλημα λοιπόν με το TP.
  For Greek aeromodellers and our friends around the world  - Greek Button sets for SMF - Greeklish to Greek mod
Δeν αφιερώνω χρόνο για μηνύματα σε greeklish.

leftezi


Nefeli

Επειδή είχα και εγώ το ίδιο πρόβλημα και την ίδια πάνω κάτω εμπειρία, έκανα το εξής:
Μέσα από το cpanel του σερβερ, άνοιξα το files manager και πήγα στο φάκελο που έχω καταχωρήσει όλα τα δικά μου αρχεία, έιτε αφορούν το φορουμ είτε το τινυ είτε άλλες σελίδες (πχ chat) Και εσύ πρέπει να έχεις λογικά πράξει το αντίστοιχο.
Στην αρχή, ξανακατέβασα και αποσυμπίεσα όλα τα πακέτα που είχα εγκαταστήσει για να δω τα permissions κάθε αρχείου..... τα έφτυσα, τα παράτησα και σκέφτηκα απλά το εξής:
Άλλαξα ΟΛΑ ανεξαιρέτως τα περμίσιονς των αρχείων.
Συννενοήθηκα και με τον host για αυτά που αντιλαμβανόμουν ως αρχεία συστήματος (όλα όσα είναι εκτός του φακέλου που σου περιγράφω παραπάνω), του έστειλα για να τον διευκολύνω τα περμίσιονς που ήταν περασμένα (στη προσπάθεια μου για εγκατάσταση είχα ανοίξει και γω δεν ξέρω πόσα....και που και ποια), μου τα επιβεβαίωσε και όλα μελι γάλα.
Στη περίπτωση τώρα που θα χρειαστώ στο μέλλον εγκατάσταση πακέτου, ο μανατζερ μεσα από το πανελ του διαχειριστή του φόρουμ θα με ενημερώσει, ποια αρχεία θέλει ανοιχτά. Υπάρχουν εξ αλλου τα ονόματα τους και στο  σιτε του smf. ¨Οτι χρειαστώ μπορώ πάλι να το ανοίξω για την εγκατάσταση, οπότε ούτε γάτα ούτε ζημιά.

Nefeli

Quote from: mforum on August 25, 2006, 05:38:44 PM
Πιο πολύ να ανησυχεις για την ασφάλεια του λογαριασμού σου στον σέρβερ παρά για το φορουμ  :)

Να μην αφήνεις αρχεία install , upgrade , update php klp
Πήγαινε Διαχείρηση-Κεντρο διαχείρησης-Πακέτα-Επιλογές-Καθορισμός δικαιωμάτων και βάλε Μόνο συγκεκριμένα αρχεία είναι εγγράψιμα ή τα ελάχιστα δυνατά αρχεία είναι εγγράψιμα.

Αν το setup του σέρβερ είναι φτιαγμένο απο κάποιους που ξερουν τι τους γίνετε και είσαι σε linux  μην ανησυχείς, είναι αρκετά ασφαλές.
Παλιά οι Τούρκοι είχαν την τάση να κάνουν ζημιές σε phpbb Ελληνικά φόρουμ.To SMF όμως δεν είναι phpbb  ;)

το έκανα .... μόλις πατήσω όμως "αλλαγή δικαιωμάτων αρχείων" δείχνει να παίρνει τις ρυθμίσεις και άμέσως μετά με ξαναβγάζει στην ίδια οθόνη που΄όμως έχει και πάλι τσεκαρισμενο το "Μόνο συγκεκριμένα αρχεία είναι εγγράψιμα" έτσι πρέπει να γίνεται? ή δεν παίρνει τη ρύθμιση γιατί έχω κλείσει παραπάνω από όσα έπρεπε???? ::)

Μπερδεύτηκα...

mforum

Μάλλον παίρνει την ρύθμιση αλλά σε ξαναγυρίζει στο default  ???

agridoc

Δες τις αλλαγές από FTP. Πολύ ασχολείστε με ένα θέμα αμφίβολης προστασίας.
  For Greek aeromodellers and our friends around the world  - Greek Button sets for SMF - Greeklish to Greek mod
Δeν αφιερώνω χρόνο για μηνύματα σε greeklish.

Nefeli

#19
Quote from: agridoc on August 28, 2006, 01:53:20 PM
Δες τις αλλαγές από FTP. Πολύ ασχολείστε με ένα θέμα αμφίβολης προστασίας.
Τι εννοείς agridoc? Πως ότι κι αν κλείσουμε ο κακόβουλος θα βρει τρόπο διείσδυσης, ή πως δεν υπάρχει περίπτωση να διαρρήξει κάποιος το σύστημα?
Τέλος: τα πάντα κρίνονται από το πασσ στο cpanel του server...κατάλαβα σωστά?

Εγώ όμως είμαι στη τσίτα τις τελευταίες ημέρες.
Ένας τύπος που "γνωρίζω" κατά 99,99%, διαχειριστής σε άλλο φόρουμ που ήμουν μέλος πριν μήνες, έχει προσπαθήσει να διαρρήξει το πασσ μου.
Τον είδα από τους συνδεδεμένους και από τη καταγραφή των σφαλμάτων.
Είχε και το θράσος να αφήσει μην στο τσατ του παλιού μου φόρουμ με την ίδια διεύθυνση.
Απέκλεισα την IP του.
Σήμερα όμως, ξανά ο ίδιος με IP που διαφέρει από την αρχική μόνο στα δύο τελευταία ψηφία και που κατά τα άλλα όλα τα στοιχεία ταιριάζουν (πόλη, provider, σύστημα υπολογιστή κλπ) κάθησε για 6 ολόκληρες ώρες χωρίς να κάνει, ευτυχώς γι αυτόν τίποτα, μόνο για να μου σπάσει προφανώς τα νεύρα.
Απέκλεισα και τη δεύτερη αυτή IP.
Στις 8 μμ όμως είδα πάλι μια IP με ίδια τα τρία πρώτα νούμερα, να "Βλέπει μια τροφοδοσία XML"
Αυτό εμένα μου μυρίζει σύστημα και κακόβουλη πρόθεση μια που τα στατιστικά δεν εντόπιζαν αυτην την IP.
Αόρατος δηλαδή κατά τα άλλα!
Την απέκλεισα και αυτήν.

Η ερώτησή μου είναι:

Τι σημαίνει "Βλέπει μια τροφοδοσία XML" αφενός,

Γιατι κάποιους επισκέπτες τους δείχνει να "διαβάζουν" θέματα χωρίς καταγραφή σφάλματος αφού έχω κλειστήτην ανάγνωση, πράγμα που κάνει σε όλους τους άλλους, και

Μπορώ εγώ άραγε να ρυθμίσω έτσι τον αποκλεισμό έτσι ώστε ο εν λόγω κύριος να μη μπορεί να δει τίποτα όσες IP και να αλλάξει?

Εϊναι κουραστικό αν όχι παρανοικό να κάθομαι με το ένα μάτι ανοιχτό για πιθανή επίθεση!

Σημ. Τις αλλαγές τις παίρνει τελικά. Έκανα τεστ και το διαπίστωσα μέσα από το cpanel. Μόνο που δεν φαίνεται στη σελίδα! Η επιλογή μου ήταν στο "ελάχιστα δυνατά"  ;)

Advertisement: