Mielőtt feltennéd a kérdésed, kérlek használd a Fórum keresőjét! Lehet, hogy a kérdés már szerepel a fórumban és meg is van válaszolva. Hozzászólásodban ne használd a <javascript></javascript> valamint <SCRIPT></SCRIPT> html tag-eket, módosítva használd pl.: <javas*cript>
Elküldve: 2004. November 28. Vasárnap, 3:20 Hozzászólás témája: Biztonságos-e a PHP-Nuke?
Sziasztok!
A kérdésem lényege a címben. Úgy tudom, sok PHP-Nuke motoros oldalt feltörnek mostanság, ezért megfordult a fejemben, hogy más rendszert keresek. De! Valaki azt mondta, a PHP-Nuke jó, csak az adott oldalak gazdáival volt a gond.
Mit kell tennem, hogy biztonságos legyen az oldalam?
Elküldve: 2004. November 28. Vasárnap, 5:08 Hozzászólás témája: Re: Biztonságos-e a PHP-Nuke?
Tkalex írta:
Sziasztok!
A kérdésem lényege a címben. Úgy tudom, sok PHP-Nuke motoros oldalt feltörnek mostanság, ezért megfordult a fejemben, hogy más rendszert keresek. De! Valaki azt mondta, a PHP-Nuke jó, csak az adott oldalak gazdáival volt a gond.
Mit kell tennem, hogy biztonságos legyen az oldalam?
Üdv:
Tkalex
Alapveto dolog peldaul a config.php -ban talalhato sitekey modositasa.
Kód:
$sitekey = "SdFk*fa28367-dm56w69.3a2fDS+e9";
Barmilyen mas kodra valtoztathatod, karekterektol, es hossztol fuggetlenul.
Pl. akar erre is, bar ezt mar ne hasznald :
Kód:
xyB8cR3'Jt7JvL0XbRV(xYiLV7Gc7!n(R)D9R3R%
Szinten a config.php-ben nem art ha a $gfx_chk erteket legalabb 6 -ra irod.
Ez azt eredmenyzi, hogy a felhaszalotol regisztracional keri a biztonsagi kod beirasat, adminban minden esetben. Ez arra jo hogy robotok, botok ne tudjanak regisztralni a portalon.
Kód:
$gfx_chk = 6;
Egyebkent a config.php file tartalmaz egy leirast milyen ertek megadasnal, mit fogsz elerni.
A napokban jelent meg a PHP-Nuke 7.6 verzio , mely lehetove teszi hogy az admin.php -t at nevezzuk. Ezzel gyakorlatilag kivulalonak nem lessz egyszeru dolga ha az admin.php -vel akar manipulalni.
Ha az admin.php nevet modositod akkor a config.php file-ban talalhato egy valtozo ami tarolja az admin.php nevet.
Kód:
$admin_file = "admin";
az "admin" helyere termeszetesen az altalad mas nevre modositott nev kerul.
Ha nem free szerveren futtatod a portalt, a config.php-t webkonyvtaron kivul tudod helyezni, igy mar ahoz sem lehet hozza ferni.
Ezzel kapcsolatban mar irtam egyszer, kattints ide
Chatserv altal kiadott biztonsagi javitasokat tedd fel nuke-ra, minnel hamarabb annal jobb. Altalaban mar a megjelenesekor szamos nuke-al foglalkozo portalrol letoltheto.
Vannak vedelmi rendszerek, melyek figyelik es blokkoljak a portalod elleni tamadasokat. Ilyen pl. NSN NukeSentinel, Protector System stb..
Az alapveto vedel "szerintem" ez.
Ezekket a modszereket alkalmazva, nagy %-ban biztos lehetsz abban, hogy az esetleges tamadasokat sikeresen ki tudod vedeni. Bar mivel nyilt a forras kod, megkonnyiti a tamadonak a portal feltorest.
A leg biztosabb vedelem ha csak te ismered a forras kodot, vagy at irod a nuke-ban a tablaneveket stb...., egyszoval atirod az egeszet
Elkepzelheto hogy valami lenyeges lemaradt, bar probaltam sorba szedni a dolgokat, ha valaki tudna tovabbi biztonsagi megoldasokat ne kimelje a forumot
Elküldve: 2004. November 29. Hétfő, 1:10 Hozzászólás témája: : Biztonságos-e a PHP-Nuke?
Kösz!
Több leírást olvastam a biztonságról, de a sitekey módosítása sehol sem szerepelt.
A gfx_chk nálam (localhost) valamiért nem megy 6-os beállítással, így 7-en üzemel.
Tényleg ott van a config.php-ben a leírás ezekről, soha nem figyeltem.
Nem említetted meg a cookie időtartamát. Elfelejtetted. vagy nem érdekes?
Átnveztem az admin.php-t, de a Sentinel meghülyült tőle. 125 file-t kellett kijavítani, amiben az admin.php-re hivatkozott. Így már valamelyest üzemel, de az admin részleg modulok szekciója Access Denied!
(Jaj! Közben kipróbáltam az oldalt egy ingyenes tárhelyen, de a Biztonsági kód nincs kiírva.)
Tkalex
Elküldve: 2004. November 29. Hétfő, 2:10 Hozzászólás témája: : Biztonságos-e a PHP-Nuke?
A cookie-t már módosítottam, bár 7200-ra.
Eszembe jutott még valami. Szintén okosok írják, hogy nem célszerű az IE böngészővel adminként tevékenykedni az oldalon. Mozillát ajánlanak.
Bosszantó ez a biztonsági kód hiány...
Tkalex
Elküldve: 2004. November 29. Hétfő, 2:47 Hozzászólás témája: IE
Tkalex írta:
A cookie-t már módosítottam, bár 7200-ra.
Eszembe jutott még valami. Szintén okosok írják, hogy nem célszerű az IE böngészővel adminként tevékenykedni az oldalon. Mozillát ajánlanak.
Bosszantó ez a biztonsági kód hiány...
Tkalex
Nagyon kicsi az eselye annak hogy bongeszo miatt fogjak hackelni az oldalt.
Az ugy tortenik hogy kuldenek egy scriptet az oldalon keresztul, amit gyakorlatilag ugy ertelmez az IE hogy kuldje el a cookie-t.
Na most ha Sentinel fut az oldalon akkor mar ez teljesseggel kizarva.
De ha megis akkor cookie idelye 30 perc, szoval eze idon belul kell cselekednie a tamadonak.
Mondjuk arrol nem tudok hogy ez ie 4 vagy ie 6 -nal , de gondolom hogy a ie4 -nel lehet ilyen bug.
Ha hackelnek egy oldalt legjobb tudomasom szerint nem a cookie-kal vacakolnak, egyszeruen egy msql injection -al tamadjak az oldalt.
Sokkal egyszerubb mint cookie-val bajlodni.
A biztonsagi frissitesek az ilyen msql injection tamadasok miatt szuksegesek.
Az Access Denied problemat valamek plussz modulod csinalja, ami nem a nuke resze.
Minden modult blokkot stb.. at kell irni amiben az "admin.php" van irva ha futtatni akarod nuke7.6 -al, persze csak akkor ha elsz azzal a lehetoseggel hogy atirod az admin.php nevet.
Ha ilyen jeleggu kerdesed lenne, csinalj egy uj topicot. THX.
Elküldve: 2004. November 29. Hétfő, 10:23 Hozzászólás témája: Re: IE
black71 írta:
Az Access Denied problemat valamek plussz modulod csinalja, ami nem a nuke resze.
Minden modult blokkot stb.. at kell irni amiben az "admin.php" van irva ha futtatni akarod nuke7.6 -al, persze csak akkor ha elsz azzal a lehetoseggel hogy atirod az admin.php nevet.
Ha ilyen jeleggu kerdesed lenne, csinalj egy uj topicot. THX.
Apró hozzáfűzés: Ezt a problémát én is tapasztaltam 7.5-ös Nuke-tól kezdve. A kulcs abban van, hogy ez a verzió már máshpgy kezeli a modulok admin-ját, minden modulnak a saját könyvtárában van az admin része. Nem minden add-on modullal csinája a hibát, de pl. a Pointsystem és az MS Analysis használatakor jelentkezik a probléma. Ezekből firssebb, adott Nuke verziónak megfelől változatot kell beszerezni.
Elküldve: 2004. November 29. Hétfő, 12:12 Hozzászólás témája: Re: IE
Nuke7.6 -nal nem igazan ez a problema, mint inkabb az amit emlitettem.
Az itt leirtakal megegyezo a problema. De ha letoltessz egy 7.6 -ot es ossze hasonlitod a file-okat tartalomra, egybol szembetuno lessz hogy mi az elteres.
Elküldve: 2004. December 30. Csütörtök, 10:57 Hozzászólás témája: : Biztonságos-e a PHP-Nuke?
Készítem a portálom (ver7.5) és már is betörtek még szerencse ,hogy ismerősöm a következőt üzente.PHP-NUKE HACK !
LÁTOD, ILYEN KÖNNYŰ HOZZÁD BETÖRNI ! adminisztrálni az admin.php -vel lehet, aztán ne felejtsd el a moduloknál az admin modult láthatóvá tenni (nem csak az adminok) hanem a tagok részére is. Ez a Nuke hibája, hogy amikor belépsz, nem veszi észre, hogy admin vagy és nem dobja fel. fasza mi? vagy nem állítod be és mindíg az admin.php vel lépsz be. Na így tovább.... én nem ájultam el,
Mit jelent ez és mit tegyek az ügyben hogy ilyen ne legyen ??
Elküldve: 2004. December 30. Csütörtök, 11:27 Hozzászólás témája: : Biztonságos-e a PHP-Nuke?
privat írta:
Készítem a portálom (ver7.5) és már is betörtek még szerencse ,hogy ismerősöm a következőt üzente.PHP-NUKE HACK !
LÁTOD, ILYEN KÖNNYŰ HOZZÁD BETÖRNI ! adminisztrálni az admin.php -vel lehet, aztán ne felejtsd el a moduloknál az admin modult láthatóvá tenni (nem csak az adminok) hanem a tagok részére is. Ez a Nuke hibája, hogy amikor belépsz, nem veszi észre, hogy admin vagy és nem dobja fel. fasza mi? vagy nem állítod be és mindíg az admin.php vel lépsz be. Na így tovább.... én nem ájultam el,
Mit jelent ez és mit tegyek az ügyben hogy ilyen ne legyen ??
Próbáld meg esetleg telepíteni a NukeSentinel™ 760 2.1.3-at. Letölthető itt: http://www.nuker.hu/letoltesek-176.html Cikk itt: http://www.nuker.hu/cikk-59-nested-0-0.html Én egy hete telepítettem fel, három hack-et fogott. Az oldalamon az admin belépés, kilépés, blockban linkelve van, egy vendég rákattintott a kilépésre, bannolva lett. Így járt. Hogy aztán valójában mennyire biztonságos, majd az idő eldönti. /McDonalds-t is feltörték, pedig ott van zsé dögivel, nem hiszem hogy cms portált használnának/.
Elküldve: 2004. December 30. Csütörtök, 13:52 Hozzászólás témája: hack
privat írta:
Készítem a portálom (ver7.5) és már is betörtek még szerencse ,hogy ismerősöm a következőt üzente.PHP-NUKE HACK !
LÁTOD, ILYEN KÖNNYŰ HOZZÁD BETÖRNI ! adminisztrálni az admin.php -vel lehet, aztán ne felejtsd el a moduloknál az admin modult láthatóvá tenni (nem csak az adminok) hanem a tagok részére is. Ez a Nuke hibája, hogy amikor belépsz, nem veszi észre, hogy admin vagy és nem dobja fel. fasza mi? vagy nem állítod be és mindíg az admin.php vel lépsz be. Na így tovább.... én nem ájultam el,
Mit jelent ez és mit tegyek az ügyben hogy ilyen ne legyen ??
Mondjuk ennyiben jobb a 7.6 hogy az admin.php nem tudja meghivni.
Nyugdtan keresgelheted a nuker-en ha gondolod .
De azert kivancsi lenek hogy legalabb Chatserv patch-et fel tetted-e a portalodra.
Elküldve: 2004. December 30. Csütörtök, 14:13 Hozzászólás témája: : Biztonságos-e a PHP-Nuke?
Még ilyen frissítéseket nem tettem föl.
Tudod nem keveset küzdöttem mire úgy döntöttem ,hogy mégis csak a 7.5 lessz használva a shop miatt. Szerinted mivel frissítsek és miket tegyek még föl a biztonság érdekében ?
Elküldve: 2004. December 30. Csütörtök, 15:34 Hozzászólás témája: : Biztonságos-e a PHP-Nuke?
privat írta:
Még ilyen frissítéseket nem tettem föl.
Tudod nem keveset küzdöttem mire úgy döntöttem ,hogy mégis csak a 7.5 lessz használva a shop miatt. Szerinted mivel frissítsek és miket tegyek még föl a biztonság érdekében ?
Elküldve: 2005. Február 22. Kedd, 15:04 Hozzászólás témája: : Biztonságos-e a PHP-Nuke?
Sziasztok!
Egy fontos kérdésem lenne!
Mit tegyek akkor ha hirtelen több felhasználót is regisztrál a rendszerem és ezek a felhasználók mind egytől egyig külföldi mail címmel rendelkeznek, tehát szerintem nem konkrét látogatók.
A tárhelyszolgáltatóm is jelezte, hogy az oldalam több száz mb hibát generál, gondolom ezek miatt a tagok miatt. Előbb 6.5-öt használtam ezt upgradeltem 7.6-re gondoltam ezzel megoldódik a dolog, de semmi. A config file-t is elbújtattam, a hiba még mindíg fönn áll. A $gfx-et is 7-re állítottam, mégis jönnek a regisztrálások mit tegyek?
Kérlek segítsetek, mert a szolgáltató sem nézi jó szemmel ezeket a hibákat, ő azt tanácsolta, hogy térjek át más tartalomkezelő rendszerre, de én még mindíg bízom a NUKE-ban.
Előre is köszi!
Elküldve: 2005. Február 23. Szerda, 1:06 Hozzászólás témája: : Biztonságos-e a PHP-Nuke?
Kisfatesz írta:
Sziasztok!
Egy fontos kérdésem lenne!
Mit tegyek akkor ha hirtelen több felhasználót is regisztrál a rendszerem és ezek a felhasználók mind egytől egyig külföldi mail címmel rendelkeznek, tehát szerintem nem konkrét látogatók.
A tárhelyszolgáltatóm is jelezte, hogy az oldalam több száz mb hibát generál, gondolom ezek miatt a tagok miatt. Előbb 6.5-öt használtam ezt upgradeltem 7.6-re gondoltam ezzel megoldódik a dolog, de semmi. A config file-t is elbújtattam, a hiba még mindíg fönn áll. A $gfx-et is 7-re állítottam, mégis jönnek a regisztrálások mit tegyek?
Kérlek segítsetek, mert a szolgáltató sem nézi jó szemmel ezeket a hibákat, ő azt tanácsolta, hogy térjek át más tartalomkezelő rendszerre, de én még mindíg bízom a NUKE-ban.
Előre is köszi!
Gondolom egy bizonyos orszagbol kapod ezeket a nem kivant regisztraciokat.
Telepits egy NSN Sentinel-t es az adott orszagban hasznalatos ip-ket bannold, vagy ha egy ip cimrol er a tamadas akkor csak azt az 1 ip cimet. _________________
Nem készíthetsz új témákat ebben a fórumban Nem válaszolhatsz egy témára ebben a fórumban Nem módosíthatod a hozzászólásidat a fórumban Nem törölheted a hozzászólásaidat a fórumban Nem szavazhatsz ebben fórumban
Gy.I.K.
Keresés
Csoportok
Profil
Üzeneteid olvasásához jelentkezz be
Belépés
:
