#02 Co zrobić gdy ktoś zhakuje forum?

Miejsce na tematy w których od ponad roku nikt się nie udzielał.
ODPOWIEDZ ]

#5016 18 maja 2015, 2:01

  • Jakiś czas temu spotykaliśmy się z pojedynczymi włamaniami na fora. Znikały posty, całe tematy, działy, ograniczano dostęp adminów do forum. Pomysłów "hakerzy" mieli wiele. Fora jednak podnosiły się po tym co je spotkało i wychodziły z tego silniejsze.
    Zjawisko hakowania po jakimś czasie ustąpiło i wydawało się, że nigdy więcej nie będziemy mieć z tym do czynienia. Niestety, jedno z for padło ofiarą wyjątkowo znudzonego życiem osobnika. Jako administracja chcemy pomóc osobom, które włożyły swoje serce w budowę forum i ich użytkownikom. Chcemy także wyczulić pozostałych adminów.
    Pojawia się więc pytania: Co można zrobić gdy forum padnie ofiarą hakera? Spotkaliście się z czymś takim? Jak sobie poradziliście? Jak ustrzec się przed włamaniami na fora?
    Będziemy wdzięczni za pomoc :)
Ostatnio zmieniony 18 maja 2015, 14:34 przez whatever, łącznie zmieniany 1 raz.

Awatar użytkownika
O mnie
na forach od ponad 10 lat, czasami coś dłubię przy grafice lub kodach
Moje RPGi
NY

#5027 18 maja 2015, 9:22

Kilka razy gdy Adminowałem na forach to hakerzy się włamywali na forum i znikały tematy, czasami nawet całe forum było zupełnie inne. Jeśli było ono na domenie wxv/czo to od razu pisałem do głównego Admina tego serwera na tym jego forum. Zazwyczaj odpowiadał mi jeszcze tego samego dnia i jeszcze tego dnia przywracał forum. Oczywiście, trzeba było mu wszystko dokładnie napisać, on jeszcze sprawdzał itp.

Co do forumpolish to wydaje mi się, że jest tam opcja przywrócenia forum do jakiegoś tam dnia w którym zostało ono zapisane. Ale nie wiem w jakich odstępach czasowych się zapisuje.

#5030 18 maja 2015, 9:54

Czo - Jak napisał Keny. Atlantic Blow był dwukrotnie hakowany i zawsze pisaliśmy do Admina z supportu serwera. Raz od razu przywrócił, raz chwilę to potrwało. Nigdy nie mieliśmy jakichś banalnych haseł, a jednak proszę. Warto ograniczyć ilość kont administratorskich, poza użytkownikami, czyli jakieś MG, partner, dodatkowe konta na tworzenie miasta itp. Żeby przypadkiem nie zrobić potem hasła szybkiego dostępu i ups, nie zmieniliśmy, zapomnieliśmy.

#5031 18 maja 2015, 10:24

Jak ustrzec się przed włamaniami na fora?
Tak samo, jak ustrzec się przed włamaniami do domu - nie zostawiać otwartych okien, drzwi, kluczy na widoku :D
Warto ograniczyć ilość kont administratorskich, poza użytkownikami, czyli jakieś MG, partner, dodatkowe konta na tworzenie miasta itp.
To przede wszystkim. Zamiast skupiać się na detalach, często zbędnych, różnych wyglądach, kodach i Bóg wie czym jeszcze, to najpierw należy odpowiednio ustawić uprawnienia. Mało to forów, na których konto Partner jest czymś w rodzaju admina czy moda? Mało to forów, gdzie nowo założone konto może banować adminów? Okazja czyni złodzieja po prostu, pilnować ludzi i ekipy, nie szastać hasłami na lewo i prawo, a będzie dobrze.

No i... jeśli jest taka możliwość, to samemu robić kopię bazy danych. Nie wiem jak na wxv i reszcie, ale forumpolish i cba dają taką możliwość, wtedy wystarczy tylko kliknąć parę razy i wszystko jest po staremu.

#5040 18 maja 2015, 12:23

Przede wszystkim ograniczyć ilość kont, które mają uprawnienia do Panelu. Sama znam i pamiętam wiele przypadków, gdzie z 2-3 Adminów nagle robiło się 6 kont z uprawnieniami, bo ludziom nie chciało się przelogować i dawali sobie Panel na multi, wliczając w to MG i inne podrzędne konta. Dla mnie konto Partnera już dawno straciło sens i głównie służy jako furtka do zamkniętego przed gośćmi forum. :D

No i jeszcze co ważne - poprosić o logi albo samemu ich pilnować. Zazwyczaj niestety nic nie pokazują ale może kiedyś...

#5048 18 maja 2015, 13:48

Nie podawać hasła do swojego konta nikomu. Jako wkurzona złośliwa bestia dostałem w swoje łapki kiedyś takie hasło bo genialna adminka podała je publicznie na shoutboxie. Po trzech minutach miała zablokowany dostęp do forum i pozdrowienia na twitterze dla mojej skromnej osoby. Później chyba oddałem, ale nie pamiętam. Pozdrawiam ją serdecznie z tego miejsca.

I starać się by hasła się nie pokrywały z innymi, chociażby dodawać w środku jakiś skrót kojarzący się z forum. Jeśli ktoś włamie wam się na inne konto to na 99% sprawdzi wszystkie inne czy hasła pasują.

Przy rejestracji nie podawać fałszywego maila bo co jeśli on w rzeczywistości istnieje, a pomocny bocik wyśle na nie wasze passy?

PS. Nie ufajcie pomocy kodowej. Niech mają swoje konto z ograniczonymi uprawnieniami, nie wpuszczajcie ich na główne konta. W 99% będzie to serio pomoc, ale w tym 1% może znaleźć się jakiś śmieszek.

#5057 18 maja 2015, 14:34

Przeniosłam temat do Oka Edenu, ponieważ wydaje mi się istotny.

#5066 18 maja 2015, 16:48

Prawda jest taka, że na hackera nie ma haka. I tu nawet nie chodzi o hasła, by przemo jest tak dziurawe, że idzie prosto wszystko obejść i zniszczyć forum nawet nie mając dostępu do konta administratora. Ostatnio jednak, wraz z ostatnim patchem (który był chyba już dwa lata temu), wprowadzili jakieś blokowania dla wpisywania adresów z paska adresów i teraz nie jest już tak łatwo ale nadal uważam, że to jeden z gorzej zabezpieczonych skryptów forów.

Co do fr to też nie jest wcale takie super jak np. gadają VLowcy. Równie łatwo może paść ofiarą średnio zaawansowanego hackera.

Dlatego właśnie profesjonalne fora często korzystają z autorskich skryptów albo płatnych. phpBB to ogólnie taka trochę amatorszczyzna ale na PBF styknie. Najlepiej mieć po prostu kopie zapasowe forum i sobie wgrać jak ktoś hacknie, znudzi mu się po jakimś czasie.

#5083 18 maja 2015, 19:03

Nigdy mi się to nie zdarzyło, ale lepiej odpukać w niemalowane? :) Po prostu jak wspominają moi poprzednicy - ograniczone zaufanie to podstawa. Lepiej mieć grono sprawdzonych osób z uprawnieniami niż masę osób, które zaczną usuwać tematy, wątki i potem wbiją się na hasło i zniszczą wszystko nad czym userzy pracowali.

Dobrym wyjściem jest również zmienianie hasła co jakiś czas, ja wiem z jednej strony to męczące ale z drugiej ułatwia pracę i nie ma potem, myślałam, ze nic się nie stanie. Lepiej dmuchać i chuchać na zimne.

Awatar użytkownika

#41539 22 cze 2018, 15:41

Jeśli ma się taką opcję, to zawsze warto od czasu do czasu ściągnąć sobie kopię zapasową forum na dysk lub ustawić automatyczne wysyłanie kopii na maila. Nie tylko pomoże to w przypadku włamania, ale też jeśli hosting nagle by upadł, mamy pewność że nie stracimy wszystkiego, a jedynie posty od ostatniego backupu.

ODPOWIEDZ ]