Мой форум, базирующийся на технологии PHPBB2 подвергся неоднократной атаке хакера, вырубающиего форум и требующего денег для того, чтобы он от нас отстал. Все способы защитить форум не дали толку. Гад глумится, да еще шлет на мыло админа свои поздравления и сочувствия.
Два вопроса, плиз:

1. Знаете ли вы какой-нибудь другой вид форумов, кторый на ваш взгляд защищен лучше или иначе, чем PHPBB2?

2. Имеете ли вы какие-нибудь идеи о том как вычислить личность и местонахождение гада? Ведь вылавливает же каким-то образом полиция этих плохих ребят....

вы забыли поставить линк рекламирующий ваш форум :evillaugh

вы забыли поставить линк рекламирующий ваш форум :evillaugh

:(

Почему когда есть выбор - подумать так или иначе - некоторые предпочитают думать негативно а не позитивно?
Вот Вам линк "рекламирующий", правда рекламирует он никому не известного хулигана или хулиганку... (http://bhairava.valuehost.ru/phpBB2/index.php)

:(

Почему когда есть выбор - подумать так или иначе - некоторые предпочитают думать негативно а не позитивно?
Вот Вам линк "рекламирующий", правда рекламирует он никому не известного хулигана или хулиганку... (http://bhairava.valuehost.ru/phpBB2/index.php)
почему собственного домена нет?

почему собственного домена нет?

Не знаю... Я не админ и не техник. Пойду позвоню админу и узнаю....

Не знаю... Я не админ и не техник. Пойду позвоню админу и узнаю....
и что нельзя форум перенести на американскую землю?

и что нельзя форум перенести на американскую землю?

Вот что админ сказал мне:
Наверное можно перенести. Просто пока никто не исследовал какой из американских сервисов адекватен для этого.

Свой хост есть, просто в программе ошибка, которая переадресует дело на waluehost.ru Oшибку надо исправить.

Мой форум, базирующийся на технологии PHPBB2 подвергся неоднократной атаке хакера, вырубающиего форум и требующего денег для того, чтобы он от нас отстал. Все способы защитить форум не дали толку. Гад глумится, да еще шлет на мыло админа свои поздравления и сочувствия.
Два вопроса, плиз:

1. Знаете ли вы какой-нибудь другой вид форумов, кторый на ваш взгляд защищен лучше или иначе, чем PHPBB2?

2. Имеете ли вы какие-нибудь идеи о том как вычислить личность и местонахождение гада? Ведь вылавливает же каким-то образом полиция этих плохих ребят....
поставь phpbb 3:bis: :D :D :D
выловить не получится.:34:
и ваще че вам денег жалко ? поделитесь с кулхацкером он заслужил.:cool:

и что нельзя форум перенести на американскую землю?
интересно а толку ?

интересно а толку ?
чуть ответственности от хоста.

Мой форум, базирующийся на технологии PHPBB2 подвергся неоднократной атаке хакера, вырубающиего форум и требующего денег для того, чтобы он от нас отстал. Все способы защитить форум не дали толку. Гад глумится, да еще шлет на мыло админа свои поздравления и сочувствия.
Два вопроса, плиз:

1. Знаете ли вы какой-нибудь другой вид форумов, кторый на ваш взгляд защищен лучше или иначе, чем PHPBB2?

2. Имеете ли вы какие-нибудь идеи о том как вычислить личность и местонахождение гада? Ведь вылавливает же каким-то образом полиция этих плохих ребят....
ты чо обиделса?

ты чо обиделса?
У меня диаспора разделена океаном. Часть родичей в Каталонии, часть - в США. Форум был средством координировать действия обоих общин. Хотя-бы быть вместе на одном поле в сети.

Мой форум, базирующийся на технологии ПХПББ2 подвергся неоднократной атаке хакера, вырубающиего форум и требующего денег для того, чтобы он от нас отстал. Все способы защитить форум не дали толку. Гад глумится, да еще шлет на мыло админа свои поздравления и сочувствия.
Два вопроса, плиз:

1. Знаете ли вы какой-нибудь другой вид форумов, кторый на ваш взгляд защищен лучше или иначе, чем ПХПББ2?

2. Имеете ли вы какие-нибудь идеи о том как вычислить личность и местонахождение гада? Ведь вылавливает же каким-то образом полиция этих плохих ребят....
Вырубает как?
[DoS, DDoS, LAND, SQL injection, Cross-site scripting?]
Check user rights, autenication, security logs ect

Вырубает как?
[DoS, DDoS, LAND, SQL injection, Cross-site scripting?]
Check user rights, autenication, security logs ect

Щас я (чайник) админа позвал. Он хотя-бы может связно обьяснить ситуацию. Спасибо огромное за внимание.

Я там разбираюсь с этим вопросом. Сам, хоть по специальности и работаю с компьютерами, однако всех этих видов атак не знаю.

Ясно одно, что хакер добирается до базы и может менять административные настройки.

Менял я пароль админа и кроме админа ни у кого прав админа нет. Все равно хакер добрался до администрации форума и поменял по своему базу.

Т.е. вроде как сам код форума хакер не менял ни разу - т.е. до файл-сервера не долез, а до базы долез. Наверное это SQL injection.

Какую другую технологию кроме PHPBB можно использовать?

Этот форум вроде на ВБюлютене сделан.
ВБюлютень - бесплатный?
Лучше ли он чем ПанББ?

Ни с тем, ни с другим не работал - жду советов.

А также, если есть инфо про следующие технологии форума - тоже был бы рад узнать.

punbb
SMF bbs.zuwharrie.com
www.vbulletin.com
www.simplemachines.org
Invision
http://www.xmbforum.com

Хорошо бы, чтобы форум был бесплатный и чтобы у форума были прайвит меседжи.
Говорят у панбб их нет.

Можно не только php.
Можно рассмотреть и asp (типа SnitZ) и даже asp.net (не знаю какие).

Друг мой я преимушественно инфосек по виндовским апликациям
Но из тех симптомов что были названы - скорее всего был произведен перехват [administrative credentials] затем был создан дополнительный [account] или даже несколько этим [accounts] были преданы админстративные права
Для начала - закройте на сайте возможность [execute script] оставьте только [put/get]
Кроме того не знаю сколько у вас юзеров но я бы проверил всех на предмет наличия административных привелегий. Далее я бы посоветовал всем юзерам с админ доступом поменять [passwords]. И ввести на какое то время процедуру верификации образования нового [accounta]
Как по мне то у вас был [men-in-the-middle] тип аттаки

>>> закройте на сайте возможность [execute script] оставьте только [put/get]

Как - в файл-сервере (web based) или в скорлупу надо лезть?

И все же какие другие форумы более надежны, чем PHPBB?

Не, похоже, посерьезней,
сейчас вот что обнаружил:

http://bhairava.valuehost.ru/dengi!!!!/index.php

кто-то там где-то такой линк зашил. Может и до файл-сервера добрались. Значит надо хостинг менять.

Подскажите хороший американский хостинг. Может быть дело именно в этом, а не в форуме.

А потом на него последнюю версию PHPBB поставим и посмторим как пойдет.
Если хакнут, то будем форум менять.

воблу легальную и айпиборд ставить не пробывали*?

чуть ответственности от хоста.
не будут они брать ответственность за дырки форума , тем более бесплатного.

не будут они брать ответственность за дырки форума , тем более бесплатного.
;) Попробуйте посмотреть на логи виртуального хоста (с какого IP-адреса делалась попытка атаки). Вообще-то самый простой способ "уложить apache" с http-аутентификацией - это просто делать очень много разных соединений. Есть директивы для ограничения числа соединений с одного IP-адреса к примеру...;) Конечно - всё зависит от "особенностей хостинга". В крайнем случае можно попробовать запретить соединения от определённых подсетей (хотя такие "атаки" обычно должны бы "организовываться" через proxy-серверы).
Можно делать попробовать "разнести форум" - всю аутентификацию и вход делать с вспомагательных хостов - а для тех , кто "прошёл аутентификацию" - делать редирект на форум...Там очень много возможностей. Обычно "значимые ресурсы" стараются прятать за "серверами доступа" именно для "защиты от хакерских атак". :grum:

Имеете ли вы какие-нибудь идеи о том как вычислить личность и местонахождение
Может кто-то недоволен вашей тоталитарной сектой?

Майк у них погоже не [DoS/DDoS] а проблема в том что кто-то заполучил доступ к [administrative account] и хулиганит
Поэтому деваться некуда придеётся лезть в [user base]

Майк у них погоже не [DoS/DDoS] а проблема в том что кто-то заполучил доступ к [administrative account] и хулиганит
Поэтому деваться некуда придеётся лезть в [user base]
:evillaugh Но ведь к administrative account доступ разве нельзя давать только с определённых адресов??????????????????? ;) (или только через определённый "сервер доступа")

[:evillaugh Но ведь к administrative account доступ разве нельзя давать только с определённых адресов??????????????????? ;) (или только через определённый "сервер доступа")]
[Impersonation ... men-in-the-middle attack]
intercept session with known credetial, use same session to do what ever you please
can be cured by using Citrix and time tokens

[Impersonation ... men-in-the-middle attack]
intercept session with known credetial, use same session to do what ever you please
И насколько реальны такие атаки против SSL?

И насколько реальны такие атаки против [SSL]?
Как 2 пальца ...
проблема не в том что бы круто зашивровать кредентиалс а в том что бы использовать (в идеале конечно) больше чем [1 factor authenication]
С РСА доступ на форум устраивать конечно оверкил и половое изврашение но [Citrix] с [time tokens] .. в принципе....
А вообше по уму надо просто один раз хорошо почистить юзеровскую базу данных, чётко прописать роли и озаботится тем что административный экаунт был хорошо зашишён на будушее

А вообше по уму надо просто один раз хорошо почистить юзеровскую базу данных, чётко прописать роли и озаботится тем что административный экаунт был хорошо зашишён на будушее
:34:
Правда можно ещё нахальнее попробовать сделать - чтобы админ-аккаунт менялся раз в несколько дней...;)
А чем больше "наворотов с аутентификацией" - тем больше шансов "уложить систему DOS-атакой"...

:34:
Правда можно ещё нахальнее попробовать сделать - чтобы админ-аккаунт менялся раз в несколько дней...;)
А чем больше "наворотов с аутентификацией" - тем больше шансов "уложить систему ДОС-атакой"...
Не обязательно ...
Если напрямую сервер выставить в интернет то да а если да же сделать простейший [NAT tanslation] на какой нибудь простельной [ASA] или [Netscreen] то все [DoS/DDoS] будут осыпаться как озимые на переднем интерфэйсе

:34:
...
А чем больше "наворотов с аутентификацией" - тем больше шансов "уложить систему DOS-атакой"...
Майки, а с этого места поподробнее. А то нас клиенты за..за.. заимали уже своими попытками все засекретить - запрятать с глаз чужих...
Идиёты !!!:28:

поставь phpbb 3:bis: :D :D :D
выловить не получится.:34:
и ваще че вам денег жалко ? поделитесь с кулхацкером он заслужил.:cool:

он наверное и хакнул вас

Друг мой я преимушественно инфосек по виндовским апликациям
Но из тех симптомов что были названы - скорее всего был произведен перехват [administrative credentials] затем был создан дополнительный [account] или даже несколько этим [accounts] были преданы админстративные права
Для начала - закройте на сайте возможность [execute script] оставьте только [put/get]
Кроме того не знаю сколько у вас юзеров но я бы проверил всех на предмет наличия административных привелегий. Далее я бы посоветовал всем юзерам с админ доступом поменять [passwords]. И ввести на какое то время процедуру верификации образования нового [accounta]
Как по мне то у вас был [men-in-the-middle] тип аттаки
оставь, подобные рода проблемы, тем кто с этим работает

тока самый последний идиот будет делать man in the middle в этом случае. и то если он идиот, как он его сделает?

Не обязательно ...
Если напрямую сервер выставить в интернет то да а если да же сделать простейший [NAT tanslation] на какой нибудь простельной [ASA] или [Netscreen] то все [DoS/DDoS] будут осыпаться как озимые на переднем интерфэйсе
На бесплатных хостингах - их практически "напрямую" выставляют в Интернет. ;)
NAT (biNAT) вообще-то мало что даёт - потому что всё равно создаётся по одному соединению на каждый http-запрос и на обслуживание этого соединения сервер "размножается" по fork() или pthread_create(). Можно ограничивать число соединений с отдельным IP-адресом (это обычно в конфиге вебсервера можно делать). Но обычно DoS-атаки пытаются отсекать на промежуточных маршрутизаторах (и с функциями NAT в том числе).

Майки, а с этого места поподробнее. А то нас клиенты за..за.. заимали уже своими попытками все засекретить - запрятать с глаз чужих...
Идиёты !!!:28:
http-аутентификация для веб-сервера apache2 порождает "подпроцесс" ncsa_auth (или что-то похожее). По одному дополнительному процессу на каждое "соединение". "Таблица процессов" в этом случае имеет возможность "переполниться" намного быстрее. Есть очень грубый способ "избавляться" от "флуда запросов" - просто рестартовать веб-сервер время от времени (через crontab - к примеру). Технологии виртуализации позволяют делать "рестарт виртуальных машин" для таких случаев. ;)

оставь, подобные рода проблемы, тем кто с этим работает

тока самый последний идиот будет делать ман ин тхе миддле в этом случае. и то если он идиот, как он его сделает?
Денис ... наиболее верояный вариант - у людей произошла компрометация административного экаунта ... как это уже второе дело ...
Вопрос стоит в том как им фиксануть проблему ...
П.С. [Men-in-the-middle] всё таки наиболее вероятный вариант

Химик, ВОР над вами долго смеялся, а потом сказал, что вы дурак. Впрочем, не принимайте близко к сердцу, он сказал, что кроме Дениса в этой теме пока все не в теме.

Химик, ВОР над вами долго смеялся, а потом сказал, что вы дурак. Впрочем, не принимайте близко к сердцу, он сказал, что кроме Дениса в этой теме пока все не в теме.
Да я не обижаюсь просто не внимательно почитать на чём у этих умников форум ... а оказывается на [PHP2] ... а (чисто для шибко образованных) ... информация о сессии хранится вообше просто открытым текстовым файлом на сервере ... со всеми вытекаюшими
Собственно говоря [PHP2] тот же самый бэйсик заточенный чуть-чуть под веб а посему взмолать его может любой чайник
Так Вор может продолжать смеятся :rofl: блин умник тоже нашёлся

Собственно говоря [PHP2] тот же самый бэйсик заточенный чуть-чуть под веб а посему взмолать его может любой чайник

safe_mode , disabled_functions , disabled_classes и ещё куча разных настроек с restricted environment - и скорее любой чайник себе носик сломает...:grum:
Там вся "безопасность" как раз и зависит от способа организации "restricted environment"...Особенно смешная ситуация получается - когда "на сайт" пытаются загружать файлы по ftp с наследуемыми атрибутами из "винды". :grum: Текстовый файл с ограниченными правами доступа на просмотр - не так уж и легко "прочитать" (если всё правильно настроено)...

Как 2 пальца ...
проблема не в том что бы круто зашивровать кредентиалс а в том что бы использовать (в идеале конечно) больше чем [1 factor authenication]
А тогда это уже не "men-in-the-middle" тип атак.

сафе_моде , дисаблед_фунцтионс , дисаблед_цлассес и ещё куча разных настроек с рестрицтед енвиронмент - и скорее любой чайник себе носик сломает...:грум:
Там вся "безопасность" как раз и зависит от способа организации "рестрицтед енвиронмент"...Особенно смешная ситуация получается - когда "на сайт" пытаются загружать файлы по фтп с наследуемыми атрибутами из "винды". :грум: Текстовый файл с ограниченными правами доступа на просмотр - не так уж и легко "прочитать" (если всё правильно настроено)...
Майк :) только не в [PHP2] ...
Алекс :1: - я не спец по [computer forenstic] я но в круг моей експертизы входит такая вешь как [remote access] и веши относяшиеся к нему ... а посему из того что уважаемый автор рассказал в первом посте можно было сделать только очень ограниченный ряд заключений
а) админстративный экаунт был скомпрометирован ... неоднократно
б) форум работает на старом энжине
А наиболее логичный способ достичь этого [men-in-middle] если мне сильно не изменяет память то к этой же категории отностися [session hijack] .. но инфо по сессии можно было получить из отркыртого текстового файла который лежит на сервере и для этого конечно [men-in-the-middle] не является обязательным условием :1: годится просто [social engineering]
А что касается умничся Козы в качестве пономочного (не будем углублятся в энтимологию этого слова :1:) представителя Вора так вместо того что бы пальцы гнуть дал бы людям совет ...
По моим каналам народ советует отмигрировать как минимум в [PHP4] .. с естественно чистой юзерской базы ..