Загрузка 5 страниц поиска за несколько секунд. Анализ любого товара или магазина
|
::Винницкий:: ::форум :: |
Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
gwBasic Site Admin
Зарегистрирован: 16.10.2003 Сообщения: 202 Откуда: Винница
|
Добавлено: Пт, 24 Июн 2005 20:13 Заголовок сообщения: ФОРУМ ВОССТАНОВЛЕН |
|
|
СЕГОДНЯ 24/06/2005 В 19:00 ИЗ АРХИВА ВОССТАНОВЛЕНА БОЛЬШАЯ ЧАСТЬ СООБЩЕНИЙ ФОРУМА.
Восстановлено:
Всего восстановлено 5883 сообщения в более чем 200 топиках.
К сожалению, для восстановления без потери части данных чата мог быть использован только архив на февраль месяц 2005 года. Таким образом в части форумов потеряно порядка 4-х месяцев общения.
Хроника событий и их причины:
Нарушение произошло 23/06/2005 в 02:34 ночи.
Нарушителей было несколько - "организатор" и "стрелочники" (в ассортименте). Организатор перехватил sid (а не пароль) на промежутке от админа до сервера чата (то есть перехват информации произошел есть вне сервера). Фактически не было нарушения режима безопастности самого сервера. В последствии он "слил" sid стрелочникам, которые решили "побаловаться" и в частности удалили сообщения на форуме штатными средствами панели модерирования.
Уродам:
Еще раз (для тех кто в танке) сообщаю - действия как организатора так и стрелочников попадают под статью уголовного кодекса. Мое предложение стрелочнику (стрелочникам) - пусть свяжуться со мной (личным сообщением на форум), и помогут в расследовании инциндента. Тогда у них есть реальный шанс получить себе на голову значительно меньше проблем, чем в случае если мы найдем их сами (или их найдут "горячие головы" которые жаждут расправы).
Я даю причастным к инциденту сутки (до 20:00 25/06/2005) для того, чтобы они могли связаться со мной (личным сообщением на форум). По истечении этого строка вся информация о нападении которая у нас есть будет сообщена любому из многочисленных желающих "самостоятельно поискать и разобраться с гадами". Сдавайтесь сами или вас найдут.
Оргвыводы:
1).Админам форума запрещено блоками удалять топики вместо этого будет использована другая технология модерирования (см.админ форум).
2).В процедуру архивирования уже внесены необходимые изменения, что позволит избежать таких серьезных последствий в случае сбоев оборудования либо аналогичных ситуаций (хотя в любом случае, часто архивировать порядка 200МБ нереально).
От себя:
Меня достало, что фактически два рабочих дня вместо того, чтобы заниматься серьезными вещами я занимался разбором этого инциндента и восстановлением данных. Буду признателен за любую информацию, которая позволит обнаружить уродов, которые это сделали.
Реквизиты для связи по поводу произошедшего:
Пишите личные сообщения на форуме мне (gwBasic) или MAGDOG-у. _________________ Всего доброго. Гиви Бейсик. |
|
Вернуться к началу |
|
|
Ёric(vin)
Зарегистрирован: 09.10.2004 Сообщения: 394 Откуда: из Heavy Metal`a
|
Добавлено: Пт, 24 Июн 2005 22:19 Заголовок сообщения: |
|
|
1 огласи на форум всю информацию что у тя есть о этих умниках, или в чат
2 на щот того что большая часть инфы востановлена то я с тобой могу поспорить так как орден "Говорящих правду" недощитался 53 страниц из 56 написаных
3 на щот того же ордена, нам уже 2 месяца, мы самый активный орден из всех, но до сих пор не легализованы, непорядок _________________ NOTHING ELSE MATTER |
|
Вернуться к началу |
|
|
IrBis
Зарегистрирован: 16.10.2003 Сообщения: 419 Откуда: Vin.UA
|
Добавлено: Пт, 24 Июн 2005 23:26 Заголовок сообщения: Re: ФОРУМ ВОССТАНОВЛЕН |
|
|
gwBasic писал(а): | Нарушителей было несколько - "организатор" и "стрелочники" (в ассортименте). |
Наверняка общение между ними было через чат и я почти уверен, что в общаке. Стоит посмотреть логи на предмет сида.
gwBasic писал(а): | Организатор перехватил sid (а не пароль) на промежутке от админа до сервера чата (то есть перехват информации произошел есть вне сервера). |
Готов поспорить, т.к. sid был получен стандартной дырой в форуме, которую даже я столько времени упорно не хотел замечать.
gwBasic писал(а): | Сдавайтесь сами или вас найдут. |
PM выдержал волну сообщений ? ;)
gwBasic писал(а): | 1).Админам форума запрещено блоками удалять топики вместо этого будет использована другая технология модерирования (см.админ форум). |
Разумно.
gwBasic писал(а): | 2).В процедуру архивирования уже внесены необходимые изменения, что позволит избежать таких серьезных последствий в случае сбоев оборудования либо аналогичных ситуаций (хотя в любом случае, часто архивировать порядка 200МБ нереально). |
Хмм.. У меня без проблем ежедневно крон сливает 1Гб базы.. Нормально, даже не заметно со стороны.. Правда, чат не запущен... Оптимальный вариант - выделенный sql сервак, хоть и не думаю что оно того стоит.
А вообще, еженедельные бэкапы - наиболее оптимальный вариант.
gwBasic писал(а): | Меня достало, что фактически два рабочих дня вместо того, чтобы заниматься серьезными вещами я занимался разбором этого инциндента и восстановлением данных. Буду признателен за любую информацию, которая позволит обнаружить уродов, которые это сделали. |
Мой номер телефона в PM и на админфоруме. Думаю, что это поможет. _________________ :: If you wanna be rich, you've got to be a bitch. |
|
Вернуться к началу |
|
|
MAGDOG
Зарегистрирован: 16.10.2003 Сообщения: 1755
|
Добавлено: Сб, 25 Июн 2005 10:02 Заголовок сообщения: |
|
|
ЁRIC(VIN) писал(а): | 1 огласи на форум всю информацию что у тя есть о этих умниках, или в чат
2 на щот того что большая часть инфы востановлена то я с тобой могу поспорить так как орден "Говорящих правду" недощитался 53 страниц из 56 написаных
3 на щот того же ордена, нам уже 2 месяца, мы самый активный орден из всех, но до сих пор не легализованы, непорядок |
для тех кто на броне и с флагом ..яж всем сказал что проверять буду клані в конце месяца и присваивать легал .... танкисты ... _________________ не забывайте 90% ошибок компьютера сидят в полуметре от монитора ©
С уважением Оптимизатор Юфан |
|
Вернуться к началу |
|
|
IrBis
Зарегистрирован: 16.10.2003 Сообщения: 419 Откуда: Vin.UA
|
Добавлено: Сб, 25 Июн 2005 14:40 Заголовок сообщения: |
|
|
К сожалению я не модератор и не могу создать новую тему в FAQ, посему счёл этот топ самым подходящим местом.
Со вчерашнего дня я провёл некоторые тесты своего сид-улавливателя и выяснил, что защитить себя от перехвата сида можно только следующими путями:
1. Отключить в браузере всю графику (самый простой вариант).
2. Поставить у себя Agnitum Outpost Firewall (самый оптимальный вариант).
3. Выходить сразу же после написания сообщения кнопкой "Выход" дабы не дать злоумышленникам воспользоваться сидом. (самый геморный вариант).
4. Не ходить на форум вообще и ждать, когда всё это пофиксят. _________________ :: If you wanna be rich, you've got to be a bitch. |
|
Вернуться к началу |
|
|
Дмитрий НаҐиев
Зарегистрирован: 19.10.2003 Сообщения: 2068 Откуда: vkontakte.ru/NaGLuY
|
|
Вернуться к началу |
|
|
gwBasic Site Admin
Зарегистрирован: 16.10.2003 Сообщения: 202 Откуда: Винница
|
Добавлено: Сб, 25 Июн 2005 18:22 Заголовок сообщения: Защита пользователей от угона sid |
|
|
25/06/2005 18:00 ФОРУМ ДОПОЛНИТЕЛЬНО ЗАЩИЩЕН
Как показало расследование, наиболее вероятный способ, которым "угнали" sid у админа - это использование злоумышленниками уязвимости броузера InternetExplorer и Mozilla. Т.е sid отдал не форум, а сам броузер пользователя (добровольно и с песней).
Уязвимость заключается в том порядке, в каким броузер обрабатывает графические данные (картинки).
На форуме выполнены изменения, чтобы сделать невозможными использование подобной узязвимости в пользовательских компьютерах. К сожалению, пока защита выполнена нами по весьма упрощенной схеме - если в сообщении есть картинка, она не выводится а вместо нее показывается ссылка [img] позволяющая оную картинку загрузить в отдельном окне броузера.
Такая защита от уязвимостей броузера не является законченой если картинка будет "с секретом" и вы нажмете на ссылку чтобы ее посмотреть - ваш sid все равно может быть перехвачен. Но теперь по крайней мере у вас есть выбор. Единсвенно надежной защитой является хороший Firewall (например outpost).
Пока не будет сообщено дополнительно, не отрывайте картинки с форума задаваемые тегом [img] полученные от незнакомых людей (либо установите Output Firewall)!
PS:
Спасибо IrBis-у и Random-у за поиск способов атаки.
PPS:
Разрабатывается обновленный вариант защиты, о его вводе в эксплуатацию будет сообщено дополнительно. _________________ Всего доброго. Гиви Бейсик.
Последний раз редактировалось: gwBasic (Сб, 25 Июн 2005 19:50), всего редактировалось 2 раз(а) |
|
Вернуться к началу |
|
|
gwBasic Site Admin
Зарегистрирован: 16.10.2003 Сообщения: 202 Откуда: Винница
|
Добавлено: Сб, 25 Июн 2005 18:42 Заголовок сообщения: Re: *** |
|
|
ДмитриN НаҐиев? писал(а): | А Где гарантийя 4т0 так0й 60льше не п0вт0риТся |
В данном случае вопрос не по адресу:
Обратись лучше в Микрософт или еще лучше в Internet HTTP консорциум.
В общефилософском смысле:
Современный урочень развития IT технологий не позволяет гарантировать абсолютную стойкость любого приложения инженерными методами. Аналитические методы гарантирования стойскости к современному програмному обеспечению также не применимы из-за експонетциально возрастающей сложности задачи анализа (это тоже доказано).
В практическом смысле:
(выписка из лицензионного соглашения микрософт)
12. ИСКЛЮЧЕНИЕ СЛУЧАЙНОГО, КОСВЕННОГО И ИНЫХ ОПРЕДЕЛЕННЫХ ВИДОВ УЩЕРБА. В НАИБОЛЬШЕЙ СТЕПЕНИ, ДОПУСКАЕМОЙ ПРИМЕНИМЫМ ЗАКОНОДАТЕЛЬСТВОМ, НИ ПРИ КАКИХ ОБСТОЯТЕЛЬСТВАХ КОРПОРАЦИЯ МАЙКРОСОФТ И ЕЕ ПОСТАВЩИКИ НЕ НЕСУТ ОТВЕТСТВЕННОСТЬ ЗА КАКОЙ-ЛИБО ОСОБЫЙ, СЛУЧАЙНЫЙ, КОСВЕННЫЙ ИЛИ ОПОСРЕДОВАННЫЙ УЩЕРБ ИЛИ УБЫТКИ (ВКЛЮЧАЯ, НО НЕ ОГРАНИЧИВАЯСЬ ТОЛЬКО ПЕРЕЧИСЛЕННЫМ, УПУЩЕННУЮ ВЫГОДУ, УТРАТУ КОНФИДЕНЦИАЛЬНОЙ ИЛИ ИНОЙ ИНФОРМАЦИИ, УБЫТКИ, ВЫЗВАННЫЕ ПЕРЕРЫВАМИ В КОММЕРЧЕСКОЙ ИЛИ ПРОИЗВОДСТВЕННОЙ ДЕЯТЕЛЬНОСТИ, НАНЕСЕНИЕ УЩЕРБА ЗДОРОВЬЮ, НАРУШЕНИЕ НЕПРИКОСНОВЕННОСТИ ЧАСТНОЙ ЖИЗНИ, НЕИСПОЛНЕНИЕ ЛЮБОГО ОБЯЗАТЕЛЬСТВА ВКЛЮЧАЯ ОБЯЗАТЕЛЬСТВО ДЕЙСТВОВАТЬ ДОБРОСОВЕСТНО И С РАЗУМНОЙ ОСМОТРИТЕЛЬНОСТЬЮ, УБЫТКИ, ВЫЗВАННЫЕ НЕБРЕЖНОСТЬЮ, ЛЮБОЙ ИНОЙ УЩЕРБ И ПРОЧИЕ УБЫТКИ ИМУЩЕСТВЕННОГО ИЛИ ИНОГО ХАРАКТЕРА), ВОЗНИКАЮЩИЕ В СВЯЗИ С ИСПОЛЬЗОВАНИЕМ ИЛИ НЕВОЗМОЖНОСТЬЮ ИСПОЛЬЗОВАНИЯ ПРОДУКТА, ИЛИ ПРЕДОСТАВЛЕНИЕМ ИЛИ НЕПРЕДОСТАВЛЕНИЕМ УСЛУГ ПО ПОДДЕРЖКЕ, ИЛИ В ИНЫХ СЛУЧАЯХ, ПРЕДУСМОТРЕННЫХ ИЛИ СВЯЗАННЫХ С ПОЛОЖЕНИЯМИ ДАННОГО ЛИЦЕНЗИОННОГО СОГЛАШЕНИЯ, ДАЖЕ В СЛУЧАЕ НАРУШЕНИЯ ОБЯЗАТЕЛЬСТВА,ВОЗНИКНОВЕНИЯ ГРАЖДАНСКОГО ПРАВОНАРУШЕНИЯ (ВКЛЮЧАЯ НЕБРЕЖНОСТЬ), ОБЪЕКТИВНОЙ (НЕЗАВИСЯЩЕЙ ОТ ВИНЫ) ОТВЕТСТВЕННОСТИ ЗА КАКОЙ-ЛИБО УЩЕРБ, НАРУШЕНИЯ КОРПОРАЦИЕЙ МАЙКРОСОФТ ИЛИ ЕЕ
ПОСТАВЩИКАМИ ДОГОВОРНЫХ ИЛИ ГАРАНТИЙНЫХ ОБЯЗАТЕЛЬСТВ, ДАЖЕ ЕСЛИ КОРПОРАЦИЯ МАЙКРОСОФТ ИЛИ ЕЕ ПОСТАВЩИКИ БЫЛИ ЗАРАНЕЕ ИЗВЕЩЕНЫ О ВОЗМОЖНОСТИ ТАКОГО УЩЕРБА.
Если ты сомневаешся что это правда - поиши у себя в каталоге с виндой файл eula.txt (Microsoft End-User-Licence).
От себя замечу что подобное написано в лицензионном соглашении практически на любой софт (сомневаешся - проверь).
Таковы реалии жизни -- ЛЮБЫМ програмным обеспечением пользователь пользуется на свой страх и риск.
Впрочем, и на автомобиле ездить опасно..... _________________ Всего доброго. Гиви Бейсик.
Последний раз редактировалось: gwBasic (Сб, 25 Июн 2005 19:50), всего редактировалось 1 раз |
|
Вернуться к началу |
|
|
gwBasic Site Admin
Зарегистрирован: 16.10.2003 Сообщения: 202 Откуда: Винница
|
Добавлено: Сб, 25 Июн 2005 19:06 Заголовок сообщения: Re: ФОРУМ ВОССТАНОВЛЕН |
|
|
IrBis писал(а): | gwBasic писал(а): | Нарушителей было несколько - "организатор" и "стрелочники" (в ассортименте). |
Наверняка общение между ними было через чат и я почти уверен, что в общаке. Стоит посмотреть логи на предмет сида.
|
Логи чата (в том числе общака) не пишутся по причине большого объема трафика сообщений.
IrBis писал(а): |
gwBasic писал(а): | Организатор перехватил sid (а не пароль) на промежутке от админа до сервера чата (то есть перехват информации произошел есть вне сервера). |
Готов поспорить, т.к. sid был получен стандартной дырой в форуме, которую даже я столько времени упорно не хотел замечать.
|
Дыра не в форуме, а в пользовательсом броузере. Впрочем, форум уже модифицирован для того чтобы минимизировать проявления оной дыры.
IrBis писал(а): |
gwBasic писал(а): | Сдавайтесь сами или вас найдут. |
PM выдержал волну сообщений ?
|
Есть кое-что на мыле, но товарищей уже практически вычилили
IrBis писал(а): |
gwBasic писал(а): | 2).В процедуру архивирования уже внесены необходимые изменения, что позволит избежать таких серьезных последствий в случае сбоев оборудования либо аналогичных ситуаций (хотя в любом случае, часто архивировать порядка 200МБ нереально). |
Хмм.. У меня без проблем ежедневно крон сливает 1Гб базы.. Нормально, даже не заметно со стороны.. Правда, чат не запущен... Оптимальный вариант - выделенный sql сервак, хоть и не думаю что оно того стоит. А вообще, еженедельные бэкапы - наиболее оптимальный вариант.
|
Отдельный sql сервак это ты хорошо придумал. Особенно для бесплатного чата Что касается архивирования - есть тонкости, так как трафик обращений к БД - порядка сотни в секунду.Стопать е неохота (да и может быстро не стопануться) а копировать на горячую - можно связи в таблицах порвать. Впрочем, компромисное решение уже нашли. _________________ Всего доброго. Гиви Бейсик.
Последний раз редактировалось: gwBasic (Сб, 25 Июн 2005 19:12), всего редактировалось 1 раз |
|
Вернуться к началу |
|
|
gwBasic Site Admin
Зарегистрирован: 16.10.2003 Сообщения: 202 Откуда: Винница
|
Добавлено: Сб, 25 Июн 2005 19:10 Заголовок сообщения: |
|
|
IrBis писал(а): | К сожалению я не модератор и не могу создать новую тему в FAQ, посему счёл этот топ самым подходящим местом.
Со вчерашнего дня я провёл некоторые тесты своего сид-улавливателя и выяснил, что защитить себя от перехвата сида можно только следующими путями:
1. Отключить в браузере всю графику (самый простой вариант).
2. Поставить у себя Agnitum Outpost Firewall (самый оптимальный вариант).
3. Выходить сразу же после написания сообщения кнопкой "Выход" дабы не дать злоумышленникам воспользоваться сидом. (самый геморный вариант).
4. Не ходить на форум вообще и ждать, когда всё это пофиксят. |
Частично пофиксили уже:
Вариант 1 - Уже не обязателен - картинки открываются только принудительно. Если у вас не установлен Agnitum Outpost Firewall - просто не открывайте картинки заданные тегом [img] на форуме
Вариант 2 - Единственно безопасный, если вы хотите смотреть картинки размещенные в виде ссылок [img]на форуме
Вариант 3 - Если вы не открываете [img] картинок - необязателен, если открываете [img] картинки с файрволом - тоже необязателен, если открываете [img] картинки без файрвола - вы рисковый человек, но если вы так делаете - то уж лучше жмите "выход" когда уходите :-)
Вариант 4 - Ходить можно. Картинки открывать - с оговорками см. выше _________________ Всего доброго. Гиви Бейсик. |
|
Вернуться к началу |
|
|
gwBasic Site Admin
Зарегистрирован: 16.10.2003 Сообщения: 202 Откуда: Винница
|
Добавлено: Сб, 25 Июн 2005 20:36 Заголовок сообщения: |
|
|
КОПИЯ СТАТЬИ ИЗ РАЗДЕЛА "Вопросы и ответы"
ПРАВИЛА БЕЗОПАСТНОГО ПРОСМОТРА [img] ИЗОБРАЖЕНИЙ (и ссылок)
Одним из способов несанкционированного доступа к форуму является похищение номеров сеансов (sid) легальных пользователей. Мы уже обращали внимание на эту проблему (см. статью "Как прапвильно постить ссылки на форуме (проблема sid)").
Как показало исследование, еще одним из методов воровства sid у законных пользователей - это использование злоумышленниками уязвимости броузеров InternetExplorer и Mozilla.
Уязвимость заключается в том порядке, в каким броузер обрабатывает графические данные (картинки). Зломышленник может, вставив в сообщение специально подготовленное изображение расположенное на подконтрольном ему сервере получить sid идентификатор законного пользователя.
На форуме выполнены изменения, чтобы сделать невозможными "невидимое" использование подобной узязвимости в пользовательских компьютерах. Для этого если в сообщении есть картинка, она не выводится сразу, а вместо нее показывается ссылка [img] позволяющая открыть оную картинку загрузить в отдельном окне броузера.
Такая защита от уязвимостей броузера не является законченой. Если картинка будет "с секретом" и вы нажмете на ссылку чтобы ее посмотреть - ваш sid все равно может быть перехвачен. Но теперь по крайней мере у вас есть выбор. Единсвенно надежной защитой является хороший файрвол (мы рекомендуем Agnitum Outpost Firewall).
Аналогичная проблема наблюдается в некоторых броузерах при открытии простых ссылок из сообщений, если адрес на который ссылается ссылка расположен на подконтрольном злоумышленнику сервере.
Пока не будет сообщено дополнительно, не отрывайте картинки с форума задаваемые тегом [img] (и ссылки) полученные от незнакомых людей (либо установите Output Firewall)!
Общие рекомендации:
1.Если у вас не установлен файрвол (мы рекомендуем Agnitum Outpost Firewall) - просто не открывайте картинки заданные тегом [img] (и ссылки) в сообщениях на форуме путем шелкания на них мышкой. Если вы все-таки хотите открыть картинку или ссылку из сообщения (а файрвола нет):
- откройте новое окно броузера
- скорируйте ссылку (в том числе ссылку на картинку) в буфер обмена
--- Правый щелчок мыши на ссылке для вызова контекстного меню
--- Пункт меню "Свойства"
--- В появившемся диалоговом окне выделите мышью значение поля "Адрес" и скопируйте его в буфер обмена (например, нажав Ctrl+Insert).
- в адресную строку нового окна броузера скопируйте ссылку и переходите.
Если вы все же открываете [img] картинки (и ссылки) без файрвола путем простого нажатия мышкой - вы рисковый человек, но если вы все-таки так делаете - то уж лучше жмите "Выход" когда уходите с форума. Это не решит проблему, но у вас есть шанс уто ваш sid еще не успеют использовать :-)
PS:
Подобная проблема существует на большом количестве других форумов, но мы вас честно предупреждаем об опастности, ибо предупрежден - значит вооружен.
PPS:
В работе находится следующая версия механизмов защиты пользователей от подобных атак, о ее вводе в строй будет сообщено дополнительно. _________________ Всего доброго. Гиви Бейсик. |
|
Вернуться к началу |
|
|
_~m@liy7~_
Зарегистрирован: 23.10.2004 Сообщения: 2001 Откуда: Sending...
|
Добавлено: Сб, 23 Июл 2005 06:12 Заголовок сообщения: |
|
|
fixed |
|
Вернуться к началу |
|
|
Night DeViL
Зарегистрирован: 20.01.2004 Сообщения: 1441 Откуда: а вы догадайтесь
|
Добавлено: Вт, 26 Июл 2005 09:50 Заголовок сообщения: |
|
|
млин ...Сергей...так когда же всё-таки восстановят имейджи? |
|
Вернуться к началу |
|
|
/random/+
Зарегистрирован: 16.10.2003 Сообщения: 729 Откуда: Винница.УА
|
Добавлено: Вт, 19 Авг 2008 05:52 Заголовок сообщения: |
|
|
нихерасе _________________ router:~# rm -rf /
|
|
Вернуться к началу |
|
|
|
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете голосовать в опросах
|
Forum protected by PHP Firewall.© by Vianet 2003.Process time Firewall:0sec / Core:0.05sec
Powered by phpBB 2.0.6 © 2001, 2002 phpBB Group
|