duc-sai képe

Beküldte duc-sai - 2011. augusztus 26. 00.38

Kedves vajdasági, a kérdésedre azt tudom válaszolni, hogy a kollégium kapott tárhelyet az EKF szerverén (valószínűsítem, hogy linux, de ez számomra nem sokat jelent). Még phpmyadmin belépésem sincs (ez majd valószínűleg azért szükséges lesz). Én vagyok a honlap létrehozója, adminisztrátora. Elvégzem a biztonsági mentéseket, frissítéseket, igazából még tanulom a rendszert, de kifogástalanul működik. Kb ennyi :)

0
0
Balu Ertl képe

Beküldte Balu Ertl - 2011. augusztus 26. 00.41

Nagyon örülök, hogy létrejött ez a szál, mert én is épp akartam kérdezni ugyanerről a jelenségről: 1-2 perc alatt kb. ~100 sor (dblog default 50/oldallal két oldalnyi) fiktív URL módszeres végigpróbálgatása különböző logika mentén (pl. PHPmyAdmin verziószámain sorba, majd setup.php-k más-más útvonalon) ==> szerintem tuti, hogy ártó szándékú bot látókörébe került az oldal.

@duc-sai said: „nyilván nem tudták, hogy milyen motorról van szó”
Szerintem pofonegyszerűen meg lehet állapítani egy átlagos site-ról, hogy Drupal hajtja-e? A /user/login, a /node és /filter/tips oldalakat ritkán szoktuk áttenni másik webcímre, így ha ezek működnek, esélyes a Drupal. A verzió már más kérdés, de szakértőbb mesterek itt a közösségben biztosan még sok tippet-trükköt tudnak rá. (WordPress esetén hasonlóan árulkodó jel a /wp-content/ könyvtár megjelenése.)

0
0
Balu Ertl képe

Beküldte Balu Ertl - 2011. augusztus 26. 00.53

„Pakold az ip címeket feketelistára”
Én is ezt teszem, de vajon megéri manapság a DHCP-vel dinamikusan kiosztott IP-címek korában? Nem hinném, hogy következetesen mindig ugyanarról az ukrán címről történnének a behatolási kísérletek, főleg ha egy komplett botnet van ráállítva...

0
0
duc-sai képe

Beküldte duc-sai - 2011. augusztus 26. 01.00

Tökéletesen igazad van! Én arra gondoltam, hogy nem vizsgálják ilyen részleteiben az egyes weboldalakat, hanem tartalomkezelőnek látszó oldalakat végigpróbálnak olyan url-ekkel, amik adott esetben (x tartalomkezelő esetében fennálló) biztonsági réseket vesznek célba. Szóval vaktában próbálkozás, de azért nyilván nem árt figyelni ezeket a dolgokat :)

0
0
Balu Ertl képe

Beküldte Balu Ertl - 2011. augusztus 26. 01.46

Ha esetleg valakinek a jövőben hasznos lesz egy átvezetés egy kapcsolódó topikra, akkor itt a link: Brute-Force támadás? - MuieBlackCat

2
0
vajdasági képe

Beküldte vajdasági - 2011. augusztus 26. 02.16

Szoval tarhely-rol van szo, igy akkor picit mas a kep. A servert gondolom van aki adminisztralja. Igy szerintem neked akkor eleg ha csak a Drupallal foglalkozol. A tobbi biztonsaga nem a te gondod. Ha azokat az ip cimeket tiltani akarod akkor vagy beszlesz a rendszergazdaval vagy mint ahogy mar itt szo volt rola te magad tiltod oket.

Esetleg lehet hogy van valami kesz drupal modul is ami automatikusan tudja tiltani azokat az IP cimeket amit adott idointervalumban egy adott hatarertek feletti hibas, nemletezo stb oldallekerest generalnak....

0
0
vajdasági képe

Beküldte vajdasági - 2011. augusztus 26. 02.32

Teljesen jogos hogy DHCP-vel kiosztott cimeknel ha tiltodik az ip akkor utanna esetleg ertekes latogato sem tud feljutni arrol a cimrol. Vagy netan a tiltott IP valami proxy cime.

Szerintem ideiglenessen erdemes csak tiltani. En ugy erzem hogy HA minden rendben van a szerverrel akkor egyreszt hagy probalkozzanak ugysem tudnak kart tenni. De automatikussan mongyuk par ilyen hibas probalkozas utan azt az IP-t tiltjuk egy fel orara igy nem tudja az egeszet vegigprobalgatni.

Ezek a tamadasok nem kimondottan a Drupalt celozzak, van egy lista az "erdekes" oldalakbol es azokat probalgatjak automatikussan sorba ip cimeken es domain neveken.

0
0
eager képe

Beküldte eager - 2011. augusztus 26. 06.51

Szerintem baromi óvatosan kell erre a miaumacskára (és általában hasonlókra) keresni!!!

IMO:

  1. A Google serp-en mielőtt rákattintasz valamelyik találatra, győződj meg róla, hogy jóhiszemű felhasználók által létrehozott fórum beszélgetésről van szó (amely ezt a témát taglalja) → ez eszköze lehet a tájékozódásodnak az ügyben.
  2. De ha a Google-val "nagy ügyesen" megtalálsz "meghekkelt" helyeket, (a miaumacska támadással ugyanilyen nevű könyvtárak és page titlek jönnek létre ("muieblackcat")) akkor kifejezetten kiteszed a gépedet fölösleges kockázatnak. Szóval jobb okosan élni.
  3. Ezt írja egy olyan ember, aki sajnos nekilátott felderíteni a helyzetet, és a végén mindenféle nagyon érdekes események hatása alatt a "poorman's firewall" alkalmazásánál kötött ki (hálózati kábel kiránt a desktopból (konnektor kapcsolójával áramtalanítottam a gépet), de izibe)

Persze, nem értek hozzá, valószínűleg ez nem ilyen módon terjed, mit szövegelek már megint, de akkor is, nem kell a baj (a hálózati tápot akkor szakítottam meg, amikor egy ilyen fertőzött webhely (macskás) megnyitásakor valamilyen antivírus szolgáltatás (az-e valóban?) tájékoztatott, hogy akkor egy biztonsági scanra lesz szükségem a gépen egy meginduló státusjelző társaságában, erre a Chrome dobott valami figyelmeztetést hogy ártó szándékú valami is lehet valahol, konnektor áramtalanít!)

For your information.

-------

Annyit tudtam meg, hogy azért keres a robot a meuimacskára, mert előtte már elvileg járt ott (a haverja?) aki létrehozott egy ilyen könyvtárat. Ha találni ilyet, az annak az indikátora, hogy az adott webhelynek megvan a sebezhető pontja, lehet, hogy ehhez van kötve egy második lépcső a támadásban...

Persze, csak ha helyesen értelmezem (amire nincs garancia) :)

Olyan fórumot még nem találtam, ahol nekünk Drupalosoknak megfelelő megközelítést taglaltak volna.

Részemről engem megnyugtatna egy olyan megoldás kísérlet - mondjuk akár Drupal modul - ami vizsgálná az azonos ip-címek számára egyhuzamban visszaadott 404-eket (időintervallumon belül?), és kb. a 10.-nél aszondaná, hogy akkor barátom ez CAPTCHA lesz, és ha háromból az se jön össze, akkor ip block automatában...

(CAPTCHA azért kéne, mert hátha mégis én vagyok, csak részeg, és akkor utána mehetnék az internetkaféba, hogy egy másik ip címről belépve reszetelhessem ezt a modult (hogy otthonról is megint beengedjen), szóval a saját hozzáférésem védelmében kéne azért a CAPTCHA)

Ezután már csak arra kéne kitalálni valamit, hogy a Google meg Yahoo robotjai azért továbbra is próbálkozhassanak potyára is :)

(bár nekem - kicsi webhellyel - a Google biztos nem tud 10db 404-est egyhuzamban előcsalni, mert közben biztos talál olyan URL-t is ami 200 OK; de "tartalmasabb" webhelyek esetén, ha sok tartalom egyszerre vissza van vonva, akkor nem tudom mi történne)

0
-2
SztyopuS képe

Beküldte SztyopuS - 2011. augusztus 26. 07.06

Tényleg hálás vagyok a jó tanácsok ért!
Minimális CSS tudással rendelkezem, ismerem a firebgot - ez alatt azt értem tudom, hogy kell használni-, általában megtalálom vele, amit keresek. Ha TUDOM mit keresek. :D
De ígérem legközelebb a firebuggal kezdem!

Am sikerült, feltelepítenem a DD-t, a dokumentáció alapján. Váltja is a képeket rendesen, viszont még nem jöttem rá, hogyan tudnám a linken látható formára hozni. Egyenlőre csak a képeket tudom cserélni vele.
Ebben tud segíteni valaki?

0
0

-----------------------------------------------------
Kezdő vagyok, de tanulni akarok!!!

ui: Köszönöm mindenkinek a segítségét és a türelmét :)

leonidasz képe

Beküldte leonidasz - 2011. augusztus 26. 08.05

Én a sajátomat! :)

0
0