Перейти к публикации

Список неудачных попыток авторизации пользователей в админпанели


Рекомендованные сообщения

Проблема, причем серьезная.

 

В разделе "Список действий в админпанели" в секции "Список неудачных попыток авторизации пользователей в админпанели или пользователей, имеющих доступ к админпанели" пишутся левые IP хакеров (или кто они там?), пытающихся выполнить ДействиеНеудачная попытка авторизации на сайте с использованием неверного пароля.

 

Причем нехорошие "люди" откуда-то знают логин Главного Админа, который на сайте не значится НИГДЕ, у него нет ни постов, ни комментов!

Благо, они не знают его пароль и адрес входа в саму Админку...

 

Крайне неприятно, когда видишь, что кто-то ломится к тебе.

 

Разработчик, объясните пожалуйста, как скрыть логин Главного Админа на 100% от кого бы то ни было?

Ссылка на сообщение
Поделиться на других сайтах

Логин это вообще не секретная информация. Безопасность не решается путем сокрытия логина. Безопасность делается на уровне сложного пароля и ограничением на количество неверных ввода пароля и блоком после того как превышен лимит. И тогда на перебор на сайте уйдет не одна тысяча лет. Настраивается это в настройках скрипта в админпанели, во вкладке безопасность.

 

А логин можно например узнать из обратной связи на сайте.

Ссылка на сообщение
Поделиться на других сайтах
2 часа назад, celsoft сказал:

Логин это вообще не секретная информация. Безопасность не решается путем сокрытия логина. Безопасность делается на уровне сложного пароля и ограничением на количество неверных ввода пароля и блоком после того как превышен лимит. И тогда на перебор на сайте уйдет не одна тысяча лет. Настраивается это в настройках скрипта в админпанели, во вкладке безопасность.

 

А логин можно например узнать из обратной связи на сайте.

Где еще хакеры могут увидеть/найти логин Админа, кроме как в обратной связи?

Объясните пожалуйста как, не нарушая форму Обратной связи (чтобы письма отправлялись нормально), сокрыть там вывод логина Админа, т.е. само поле "Получатель"?

Ссылка на сообщение
Поделиться на других сайтах

engine/modules/feedback.php

$recip = intval( $_POST['recip'] );

заменить на

$recip = 1; // 1 заменить на id пользователя (получателя)

 

И нужно отключить ajax проверку получателя, удалить в feedback.tpl получателя.

_______________________________

 

Или надеяться на неопытность "хакера" и просто скрыть блок (display:none) в feedback.tpl (самый оптимальный вариант, всё равно от знания логина администратора ни холодно ни жарко)

 

Изменено пользователем webair
Ссылка на сообщение
Поделиться на других сайтах
3 часа назад, webair сказал:

engine/modules/feedback.php


$recip = intval( $_POST['recip'] );

заменить на


$recip = 1; // 1 заменить на id пользователя (получателя)

 

И нужно отключить ajax проверку получателя, удалить в feedback.tpl получателя.

_______________________________

 

Или надеяться на неопытность "хакера" и просто скрыть блок (display:none) в feedback.tpl (самый оптимальный вариант, всё равно от знания логина администратора ни холодно ни жарко)

 

Спасибо.

Однако слишком много действий.

Подождем, может разработчик в след. версии внедрит это для доп. безопасности...

Ссылка на сообщение
Поделиться на других сайтах
8 часов назад, holistic сказал:

в след. версии внедрит это для доп. безопасности...

Для какой ещё доп. безопасности? Для доп. безопасности используйте пароли минимум в 16 символов, вида 

kY$aVNP3m~Tbzq5T

Ограничение максимум в 3 попытки авторизации, после трёх неудачных попыток авторизоваться бан на 20-60 минут и всё. Адрес админки и логин админа можно тогда вывешивать на главной страницы сайта, так как подобрать пароль из 18,5 миллионов комбинаций с баном даже на 20 минут, уйдёт не одна тысяча лет.

Ссылка на сообщение
Поделиться на других сайтах
2 часа назад, germanydletest сказал:

Для какой ещё доп. безопасности? Для доп. безопасности используйте пароли минимум в 16 символов, вида 


kY$aVNP3m~Tbzq5T

Ограничение максимум в 3 попытки авторизации, после трёх неудачных попыток авторизоваться бан на 20-60 минут и всё. Адрес админки и логин админа можно тогда вывешивать на главной страницы сайта, так как подобрать пароль из 18,5 миллионов комбинаций с баном даже на 20 минут, уйдёт не одна тысяча лет.

Можно вывешивать, если нет каких то хитрых уязвимостей в admin.php :)

Изменено пользователем webair
Ссылка на сообщение
Поделиться на других сайтах
1 час назад, webair сказал:

Можно вывешивать, если нет каких то хитрых уязвимостей в admin.php :)

Пока ещё ни разу не слышал, что бы сайт на DLE взломали из-за уязвимости в admin.php, по крайней мере начиная с версии 10.0.

Ссылка на сообщение
Поделиться на других сайтах
6 часов назад, germanydletest сказал:

Для какой ещё доп. безопасности? Для доп. безопасности используйте пароли минимум в 16 символов, вида 


kY$aVNP3m~Tbzq5T

Ограничение максимум в 3 попытки авторизации, после трёх неудачных попыток авторизоваться бан на 20-60 минут и всё. Адрес админки и логин админа можно тогда вывешивать на главной страницы сайта, так как подобрать пароль из 18,5 миллионов комбинаций с баном даже на 20 минут, уйдёт не одна тысяча лет.

Вы видимо не представляете уровня современных хакеров.

Они долбят сайт, не заходя на него, понимаете, нет?

Я вижу, что долбежь идет каждые 3 минуты и чаще.

Причем хоть ставь бан на 60 минут - это не влияет никак...

Ссылка на сообщение
Поделиться на других сайтах
12 минуты назад, holistic сказал:

Они долбят сайт, не заходя на него, понимаете, нет?

понимаю и даже знаю как это работает, но если ip попадёт в бан на час, то они запарятся менять ip

Ссылка на сообщение
Поделиться на других сайтах
30 минут назад, germanydletest сказал:

понимаю и даже знаю как это работает, но если ip попадёт в бан на час, то они запарятся менять ip

Снова не так.

Кстати, был немного не прав - всё же заходит тварь на сайт, подбирает пароль, получает бан на час, а потом продолжает через час, причем с того же IP!

Обнаглели.

Баню на уровне сервера - меняет падла IP и продолжает.

Теперь остается на сутки поставить бан за подбор.

Пробую

ЗЫ. разработчик ДЛЕ, помогите (((

Ссылка на сообщение
Поделиться на других сайтах
35 минут назад, holistic сказал:

подбирает пароль, получает бан на час, а потом продолжает через час, причем с того же IP!

Советую заменить данную фразу на что-то своё

'login_err_2'		=>	"Внимание! Вы достигли максимального количества неудачных попыток авторизации на сайте. Доступ к аккаунту заблокирован на {time} минут. Повторите попытку авторизации на сайте через вышеуказанное время. Если Вы забыли пароль, попытайтесь восстановить Ваш пароль на сайте. Вы можете сделать это также только по окончании срока блокировки.",

что бы люди не видели на сколько получили бан и выставить бан часа на 3, будет вполне достаточно.

Ссылка на сообщение
Поделиться на других сайтах

А что, админпанель открывается по стандартному адресу site.ry/admin.php ? Для начала надо адрес админки сменить, его то взломщики не будут знать, в отличии от логина админа, который при желании можно найти. Это вообще в первую очередь надо делать. А в файл admin.php в корне сайта вместо всего  вставить



<?php
header("Location: http://natribu.org/");
?>

пусть наслаждаются. Или я еще для всякой школоты из файла admin.php удаляю форму, оставляю только дизайн, что бы внешне было как стандартный вход в админку и оставляю на сервере. нехай тешутся, взламывают.

 

Изменено пользователем alex32
Ссылка на сообщение
Поделиться на других сайтах
1 час назад, holistic сказал:

ЗЫ. разработчик ДЛЕ, помогите (((

В чем именно вам помочь? Никаких проблем с безопасностью я не вижу из ваших сообщений. Кроме вашей необоснованной паники я проблем не вижу. Логин не секретная информация, при достаточной сложности пароля, подобрать его у злоумышленника не хватит жизни. По видите вы попытку перебора в админпанели и что? В чем проблема в безопасности? 

 

Можете для собственной спокойности добавить ограничение по IP на свой аккаунт. Тогда даже с правильным паролем в него не войти с другого IP.

 

1 час назад, holistic сказал:

Я вижу, что долбежь идет каждые 3 минуты и чаще.

Для того чтобы подобрать например пароль kY$aVNP3m~Tbzq5T в приемлимое время. Нужно перебирать с интервалом несколько сот миллионов обращений в секунду к сайту. У вас сайт ляжет быстрей чем перебрать получится или прокси напастись. Пароли переборами на сайте давно уже не воруются, т.к. быстрее и эффективнее его украсть напрямую у вас, например подсунув троян по почте. А не на сайте перебирать. Обычное баловство у вас на сайте, кто то решил почуствовать себя хакером. А не какие то проблемы с безопасностью.

Ссылка на сообщение
Поделиться на других сайтах
4 часа назад, alex32 сказал:

Или я еще для всякой школоты из файла admin.php удаляю форму, оставляю только дизайн, что бы внешне было как стандартный вход в админку и оставляю на сервере. нехай тешутся, взламывают.

во-во, это самое оно :)

на, взламывай... http://www.menville.net/admin.php

Ссылка на сообщение
Поделиться на других сайтах
5 часов назад, alex32 сказал:

А что, админпанель открывается по стандартному адресу site.ry/admin.php ? Для начала надо адрес админки сменить, его то взломщики не будут знать, в отличии от логина админа, который при желании можно найти. Это вообще в первую очередь надо делать. А в файл admin.php в корне сайта вместо всего  вставить


<?php
header("Location: http://natribu.org/");
?>

пусть наслаждаются. Или я еще для всякой школоты из файла admin.php удаляю форму, оставляю только дизайн, что бы внешне было как стандартный вход в админку и оставляю на сервере. нехай тешутся, взламывают.

 

Чтобы проникнуть в Админку, вообще можно не знать ее адреса.

С сайта пробить, а потом по ссылке в Админку перейти (многие адрес не прячут на сайте для админа)...

Ссылка на сообщение
Поделиться на других сайтах
1 час назад, holistic сказал:

С сайта пробить, а потом по ссылке в Админку перейти (многие адрес не прячут на сайте для админа)...

НА сайте адрес админки нигде не светится, его никак не пробить
 

Ссылка на сообщение
Поделиться на других сайтах
5 минут назад, alex32 сказал:

НА сайте адрес админки нигде не светится, его никак не пробить
 

ТС имеет в виду, что пароль могут подбирать через сайт, а потом просто через профиль (login.tpl), зайти в админку, так как в 99% случаев люди в нём ставят тег

{admin-link}

 

Ссылка на сообщение
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...