holistic 24 Опубликовано: 17 августа 2016 Рассказать Опубликовано: 17 августа 2016 Проблема, причем серьезная. В разделе "Список действий в админпанели" в секции "Список неудачных попыток авторизации пользователей в админпанели или пользователей, имеющих доступ к админпанели" пишутся левые IP хакеров (или кто они там?), пытающихся выполнить Действие: Неудачная попытка авторизации на сайте с использованием неверного пароля. Причем нехорошие "люди" откуда-то знают логин Главного Админа, который на сайте не значится НИГДЕ, у него нет ни постов, ни комментов! Благо, они не знают его пароль и адрес входа в саму Админку... Крайне неприятно, когда видишь, что кто-то ломится к тебе. Разработчик, объясните пожалуйста, как скрыть логин Главного Админа на 100% от кого бы то ни было? Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 081 Опубликовано: 18 августа 2016 Рассказать Опубликовано: 18 августа 2016 Логин это вообще не секретная информация. Безопасность не решается путем сокрытия логина. Безопасность делается на уровне сложного пароля и ограничением на количество неверных ввода пароля и блоком после того как превышен лимит. И тогда на перебор на сайте уйдет не одна тысяча лет. Настраивается это в настройках скрипта в админпанели, во вкладке безопасность. А логин можно например узнать из обратной связи на сайте. Цитата Ссылка на сообщение Поделиться на других сайтах
holistic 24 Опубликовано: 18 августа 2016 Рассказать Опубликовано: 18 августа 2016 Автор 2 часа назад, celsoft сказал: Логин это вообще не секретная информация. Безопасность не решается путем сокрытия логина. Безопасность делается на уровне сложного пароля и ограничением на количество неверных ввода пароля и блоком после того как превышен лимит. И тогда на перебор на сайте уйдет не одна тысяча лет. Настраивается это в настройках скрипта в админпанели, во вкладке безопасность. А логин можно например узнать из обратной связи на сайте. Где еще хакеры могут увидеть/найти логин Админа, кроме как в обратной связи? Объясните пожалуйста как, не нарушая форму Обратной связи (чтобы письма отправлялись нормально), сокрыть там вывод логина Админа, т.е. само поле "Получатель"? Цитата Ссылка на сообщение Поделиться на других сайтах
webair 178 Опубликовано: 18 августа 2016 Рассказать Опубликовано: 18 августа 2016 (изменено) engine/modules/feedback.php $recip = intval( $_POST['recip'] ); заменить на $recip = 1; // 1 заменить на id пользователя (получателя) И нужно отключить ajax проверку получателя, удалить в feedback.tpl получателя. _______________________________ Или надеяться на неопытность "хакера" и просто скрыть блок (display:none) в feedback.tpl (самый оптимальный вариант, всё равно от знания логина администратора ни холодно ни жарко) Изменено 18 августа 2016 пользователем webair Цитата Ссылка на сообщение Поделиться на других сайтах
holistic 24 Опубликовано: 18 августа 2016 Рассказать Опубликовано: 18 августа 2016 Автор 3 часа назад, webair сказал: engine/modules/feedback.php $recip = intval( $_POST['recip'] ); заменить на $recip = 1; // 1 заменить на id пользователя (получателя) И нужно отключить ajax проверку получателя, удалить в feedback.tpl получателя. _______________________________ Или надеяться на неопытность "хакера" и просто скрыть блок (display:none) в feedback.tpl (самый оптимальный вариант, всё равно от знания логина администратора ни холодно ни жарко) Спасибо. Однако слишком много действий. Подождем, может разработчик в след. версии внедрит это для доп. безопасности... Цитата Ссылка на сообщение Поделиться на других сайтах
germanydletest 455 Опубликовано: 19 августа 2016 Рассказать Опубликовано: 19 августа 2016 8 часов назад, holistic сказал: в след. версии внедрит это для доп. безопасности... Для какой ещё доп. безопасности? Для доп. безопасности используйте пароли минимум в 16 символов, вида kY$aVNP3m~Tbzq5T Ограничение максимум в 3 попытки авторизации, после трёх неудачных попыток авторизоваться бан на 20-60 минут и всё. Адрес админки и логин админа можно тогда вывешивать на главной страницы сайта, так как подобрать пароль из 18,5 миллионов комбинаций с баном даже на 20 минут, уйдёт не одна тысяча лет. Цитата Ссылка на сообщение Поделиться на других сайтах
webair 178 Опубликовано: 19 августа 2016 Рассказать Опубликовано: 19 августа 2016 (изменено) 2 часа назад, germanydletest сказал: Для какой ещё доп. безопасности? Для доп. безопасности используйте пароли минимум в 16 символов, вида kY$aVNP3m~Tbzq5T Ограничение максимум в 3 попытки авторизации, после трёх неудачных попыток авторизоваться бан на 20-60 минут и всё. Адрес админки и логин админа можно тогда вывешивать на главной страницы сайта, так как подобрать пароль из 18,5 миллионов комбинаций с баном даже на 20 минут, уйдёт не одна тысяча лет. Можно вывешивать, если нет каких то хитрых уязвимостей в admin.php Изменено 19 августа 2016 пользователем webair Цитата Ссылка на сообщение Поделиться на других сайтах
germanydletest 455 Опубликовано: 19 августа 2016 Рассказать Опубликовано: 19 августа 2016 1 час назад, webair сказал: Можно вывешивать, если нет каких то хитрых уязвимостей в admin.php Пока ещё ни разу не слышал, что бы сайт на DLE взломали из-за уязвимости в admin.php, по крайней мере начиная с версии 10.0. Цитата Ссылка на сообщение Поделиться на других сайтах
holistic 24 Опубликовано: 19 августа 2016 Рассказать Опубликовано: 19 августа 2016 Автор 6 часов назад, germanydletest сказал: Для какой ещё доп. безопасности? Для доп. безопасности используйте пароли минимум в 16 символов, вида kY$aVNP3m~Tbzq5T Ограничение максимум в 3 попытки авторизации, после трёх неудачных попыток авторизоваться бан на 20-60 минут и всё. Адрес админки и логин админа можно тогда вывешивать на главной страницы сайта, так как подобрать пароль из 18,5 миллионов комбинаций с баном даже на 20 минут, уйдёт не одна тысяча лет. Вы видимо не представляете уровня современных хакеров. Они долбят сайт, не заходя на него, понимаете, нет? Я вижу, что долбежь идет каждые 3 минуты и чаще. Причем хоть ставь бан на 60 минут - это не влияет никак... Цитата Ссылка на сообщение Поделиться на других сайтах
germanydletest 455 Опубликовано: 19 августа 2016 Рассказать Опубликовано: 19 августа 2016 12 минуты назад, holistic сказал: Они долбят сайт, не заходя на него, понимаете, нет? понимаю и даже знаю как это работает, но если ip попадёт в бан на час, то они запарятся менять ip Цитата Ссылка на сообщение Поделиться на других сайтах
holistic 24 Опубликовано: 19 августа 2016 Рассказать Опубликовано: 19 августа 2016 Автор 30 минут назад, germanydletest сказал: понимаю и даже знаю как это работает, но если ip попадёт в бан на час, то они запарятся менять ip Снова не так. Кстати, был немного не прав - всё же заходит тварь на сайт, подбирает пароль, получает бан на час, а потом продолжает через час, причем с того же IP! Обнаглели. Баню на уровне сервера - меняет падла IP и продолжает. Теперь остается на сутки поставить бан за подбор. Пробую ЗЫ. разработчик ДЛЕ, помогите ((( Цитата Ссылка на сообщение Поделиться на других сайтах
germanydletest 455 Опубликовано: 19 августа 2016 Рассказать Опубликовано: 19 августа 2016 35 минут назад, holistic сказал: подбирает пароль, получает бан на час, а потом продолжает через час, причем с того же IP! Советую заменить данную фразу на что-то своё 'login_err_2' => "Внимание! Вы достигли максимального количества неудачных попыток авторизации на сайте. Доступ к аккаунту заблокирован на {time} минут. Повторите попытку авторизации на сайте через вышеуказанное время. Если Вы забыли пароль, попытайтесь восстановить Ваш пароль на сайте. Вы можете сделать это также только по окончании срока блокировки.", что бы люди не видели на сколько получили бан и выставить бан часа на 3, будет вполне достаточно. Цитата Ссылка на сообщение Поделиться на других сайтах
alex32 942 Опубликовано: 19 августа 2016 Рассказать Опубликовано: 19 августа 2016 (изменено) А что, админпанель открывается по стандартному адресу site.ry/admin.php ? Для начала надо адрес админки сменить, его то взломщики не будут знать, в отличии от логина админа, который при желании можно найти. Это вообще в первую очередь надо делать. А в файл admin.php в корне сайта вместо всего вставить <?php header("Location: http://natribu.org/"); ?> пусть наслаждаются. Или я еще для всякой школоты из файла admin.php удаляю форму, оставляю только дизайн, что бы внешне было как стандартный вход в админку и оставляю на сервере. нехай тешутся, взламывают. Изменено 19 августа 2016 пользователем alex32 Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 081 Опубликовано: 19 августа 2016 Рассказать Опубликовано: 19 августа 2016 1 час назад, holistic сказал: ЗЫ. разработчик ДЛЕ, помогите ((( В чем именно вам помочь? Никаких проблем с безопасностью я не вижу из ваших сообщений. Кроме вашей необоснованной паники я проблем не вижу. Логин не секретная информация, при достаточной сложности пароля, подобрать его у злоумышленника не хватит жизни. По видите вы попытку перебора в админпанели и что? В чем проблема в безопасности? Можете для собственной спокойности добавить ограничение по IP на свой аккаунт. Тогда даже с правильным паролем в него не войти с другого IP. 1 час назад, holistic сказал: Я вижу, что долбежь идет каждые 3 минуты и чаще. Для того чтобы подобрать например пароль kY$aVNP3m~Tbzq5T в приемлимое время. Нужно перебирать с интервалом несколько сот миллионов обращений в секунду к сайту. У вас сайт ляжет быстрей чем перебрать получится или прокси напастись. Пароли переборами на сайте давно уже не воруются, т.к. быстрее и эффективнее его украсть напрямую у вас, например подсунув троян по почте. А не на сайте перебирать. Обычное баловство у вас на сайте, кто то решил почуствовать себя хакером. А не какие то проблемы с безопасностью. Цитата Ссылка на сообщение Поделиться на других сайтах
odys 384 Опубликовано: 19 августа 2016 Рассказать Опубликовано: 19 августа 2016 4 часа назад, alex32 сказал: Или я еще для всякой школоты из файла admin.php удаляю форму, оставляю только дизайн, что бы внешне было как стандартный вход в админку и оставляю на сервере. нехай тешутся, взламывают. во-во, это самое оно на, взламывай... http://www.menville.net/admin.php Цитата Ссылка на сообщение Поделиться на других сайтах
holistic 24 Опубликовано: 19 августа 2016 Рассказать Опубликовано: 19 августа 2016 Автор 5 часов назад, alex32 сказал: А что, админпанель открывается по стандартному адресу site.ry/admin.php ? Для начала надо адрес админки сменить, его то взломщики не будут знать, в отличии от логина админа, который при желании можно найти. Это вообще в первую очередь надо делать. А в файл admin.php в корне сайта вместо всего вставить <?php header("Location: http://natribu.org/"); ?> пусть наслаждаются. Или я еще для всякой школоты из файла admin.php удаляю форму, оставляю только дизайн, что бы внешне было как стандартный вход в админку и оставляю на сервере. нехай тешутся, взламывают. Чтобы проникнуть в Админку, вообще можно не знать ее адреса. С сайта пробить, а потом по ссылке в Админку перейти (многие адрес не прячут на сайте для админа)... Цитата Ссылка на сообщение Поделиться на других сайтах
alex32 942 Опубликовано: 19 августа 2016 Рассказать Опубликовано: 19 августа 2016 1 час назад, holistic сказал: С сайта пробить, а потом по ссылке в Админку перейти (многие адрес не прячут на сайте для админа)... НА сайте адрес админки нигде не светится, его никак не пробить Цитата Ссылка на сообщение Поделиться на других сайтах
germanydletest 455 Опубликовано: 19 августа 2016 Рассказать Опубликовано: 19 августа 2016 5 минут назад, alex32 сказал: НА сайте адрес админки нигде не светится, его никак не пробить ТС имеет в виду, что пароль могут подбирать через сайт, а потом просто через профиль (login.tpl), зайти в админку, так как в 99% случаев люди в нём ставят тег {admin-link} Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.