Нападение на форум Old-Web

[eriko]

Цитата:

Сообщение от maninabox

Ты когда-нибудь форумы уровня вбулетина писал?
Это не сайт, там многое нужно учитывать и по безопасности требования тоже другие.
В написании упрощенного форума сейчас нет смысла, да и если уже писать, то делать комплексный ресурс, чтобы форум был его частью, а не отдельным скриптом, как сейчас.

А зачем сразу такую большую цель ставить. Представь что мы сейчас с вами на ранних стадиях развития веба. Зачем делать супер сложные системы, где найдутся куча дыр. Лучше сосредоточиться на простоте и контенте. Ну это чисто мое мнение, что лучше проще делать.

[eriko]

На самом деле школяр duck сейчас получает качественный экспириенс старого веба. Мы тоже так развлекались, пока не начали ценить свое время. Лучше использовать найденные слабости системы без шума, но школяр ведь не знает как получить бенефиты от взлома, кроме как повеселиться.

Добавлено через 5 минут
Кстати 25 лет уже бесят капчи, я даже создавал тему на одном форуме в 2004 году и возмущался, почему везде ставят эти ебучие капчи. Теперь вот ебанашка duck и его клоны привели к тому, что old-web обставлен капчей по самые помидоры.

[maninabox]

Цитата:

Сообщение от eriko

Зачем делать супер сложные системы, где найдутся куча дыр.

Никто и не просит делать сложные вещи. Но даже в старом вебе весьма большую часть разработки уделяли безопасности.

[nsfrolov]

Цитата:

Сообщение от eriko

Я тоже думал об этом. Может за основу возьмем базу данных от vBulletin, уберем лишнее и напишем свой скрипт. Что-то более олдовое и максимальное простое как кирпич. Чтобы нечему было ломаться.

Написать свой форум будет очень непросто, а вот на безопасностью воблы можно и поработать.
Простая капча это хорошо, но тест из 5-10 вопросов лучше.
Для этого хака можно загрузить базу хоть из 100 заданий, но для пользователя выводить только несколько заданий
Хак называется: Register Test (Тестирование перед регистрацией)

[ququnta]

nsfrolov, zCarot - женского пола? Он ох**ет, когда узнает об этом.

[nsfrolov]

Цитата:

Сообщение от ququnta

nsfrolov, zCarot - женского пола? Он ох**ет, когда узнает об этом.

Все вопросы к админам http://www.bormotuhi.net

Добавлено через 7 минут
Может потому что в последнее время переводы делала Luvila, а копирайт оставался zМоркови

[Mik Foxi]

Цитата:

Сообщение от nsfrolov

Написать свой форум будет очень непросто

просто. я по фану, без какого либо профита 2 раза писал, занимало неделю с нуля чтоб реализовать весь базовый функционал. Еще в доИИшные времена. когда пишешь себе - не нужно делать много всего того что делается в вобле и т.п. паблик cms на продажу, где надо предусматривать возможное бесконечное расширение функционала, модульность и плагинность, обратную совместимость со старыми версиями, документацию... себе просто фигачишь монолитный скрипт, сразу под функционал который тебе надо.

[eriko]

Я все таки поборол лень и посмотрел что творится с сервером и почему он падает. Это гаденыши пытаются положить сервер. Атака не останавливалась ни на секунду. Только безуспешно. Пытаются подобрать пароль через SSH к серверу, брутфорсят и дергают скрипты.

Как же у пидарков конкурентов по ретро комюнити бомбит от меня. Знают что еще чуть-чуть и никогда больше не догонят. Это не ютуб канал, чтобы дизлайки накручивать и жалобы кидать. Люблю веб и зону .com, тут хозяин барин ))

Добавлено через 11 минут
Отбил гадам их атаки, хотя даже с ними сайт работал, как хакеры эти пидарки несостоялись, как вебмастера... они даже такого слова не знают.

[tretdm]

Рекомендую порт для SSH поменять, потому что хакеры очень любят стандартный 22-й порт, и оборачивать его под конкретный AS, если возможно.

А если это невозможно, то можно выставить LoginGraceTime, MaxAuthTries и MaxSessions в конфигах sshd. Только прошу эти изменения не афишировать, это для них приманка.

[Mik Foxi]

SSH надо менять порт + отключать авторизацию по паролю, оставить только ключи. Все, можно забыть о том кто туда долбиться пытается.