[bugs] Помогите
|
|
backone | Дата: Суббота, 25.06.2011, 11:02 | Сообщение # 1 |
Рядовой
Группа: Пользователи
Сообщений: 5
Статус: Оффлайн
| Сегодня ночью парень как-то взломал в игре акк админа , после чего мне надо было зайти в xxx.xxx.xxx.xxx/admin.php зашел вписал акк пасс секюрити и выдало такое . Помогите пожалуйста.Добавлено (25.06.2011, 11:02) --------------------------------------------- Тему можете удалить , сайт переинсталил и всё хорошо )
Реклама
|
|
| |
kRiak | Дата: Суббота, 25.06.2011, 12:20 | Сообщение # 2 |
Генерал-лейтенант
Группа: Проверенные
Сообщений: 615
Статус: Оффлайн
| старый, добрый совет... удаляйте админку.... admin папку и admin.php удалять надо если руки из задницы. в крайнем случае нужно ставить все фиксы и security код надо таким ставить чтобы не догадался никто.
Бес.
|
|
| |
Yura | Дата: Суббота, 25.06.2011, 17:57 | Сообщение # 3 |
Генерал-майор
Группа: Проверенные
Сообщений: 176
Статус: Оффлайн
| kRiak, security code может узнать любой пользователь сайта <_< Зайди на ?op=user&u=gm ( как-то так)
////
|
|
| |
Yura | Дата: Суббота, 25.06.2011, 18:58 | Сообщение # 4 |
Генерал-майор
Группа: Проверенные
Сообщений: 176
Статус: Оффлайн
| Интересная проблема с доступом в админку. Неплохо бы исключить возможность угона доступа в админку при угоне пароля администратора от сервера.
Хорошо бы сделать доступ в админпанель независимой от аккаунта сервера, а допустим, через другую страницу-пул, после которой можно зайти в админку. И нельзя исключать возможность захода с разных компьютеров(случай динамического ипа админа) и нахождения не на локальном хосте.
////
|
|
| |
kRiak | Дата: Суббота, 25.06.2011, 20:55 | Сообщение # 5 |
Генерал-лейтенант
Группа: Проверенные
Сообщений: 615
Статус: Оффлайн
| Quote (Yura) Интересная проблема с доступом в админку. Неплохо бы исключить возможность угона доступа в админку при угоне пароля администратора от сервера. Хорошо бы сделать доступ в админпанель независимой от аккаунта сервера, а допустим, через другую страницу-пул, после которой можно зайти в админку. И нельзя исключать возможность захода с разных компьютеров(случай динамического ипа админа) и нахождения не на локальном хосте. Просто тем кому не надо удаленно управлять чем либо.. Сделать возможность захода в админку только через 127.0.0.1.. Yura, Это возможно как нибудь сделать?
Бес.
|
|
| |
Yura | Дата: Суббота, 25.06.2011, 21:31 | Сообщение # 6 |
Генерал-майор
Группа: Проверенные
Сообщений: 176
Статус: Оффлайн
| Сделать доступ только по локалхосту - это конечно можно. Но есть случаи, когда сайт для админа не локален. Те же ГМы вообще пользователи. Делать доступ по ипу тоже затруднительно -- большая часть не имеет постоянного ипа.
Как идея, это исключить вообще получение пароля от админки, если даже угонят всю БД акков. Допустим, работать по такой схеме: пользователь заходит на admin.php, вводит даные спец ака, admin.php обращается на специальный сайт-БД, где сервер отвечает - можно ли впустить этот акк или нет, admin.php создает сессию для пользователя или же шлет в лес.
Из минусов: - падает сервер -- доступ в админ панель пропадает, надо будет делать специальный режим с ухудшением безопасности - при получении доступа к hosts файлу, можно будет подделать оффициальный сервер для проверки акков, а значит подделать и ответ сервера(впускать всегда в админку)
Плюсы: - пароль можно узнать только на офф сервере, который будет хорошо защищен
Вообще же, если кто-то получил доступ к hosts, то там даже подделывать офф. сервер смысла нет - они имеют запись на файлы, они смогут и тупо удалить проверку всего этого сервера.
Оффициальный сервер -- это будет один сайт, который поднимет создатель аддона. Админы будут регать там свой сайт и акки. При подключении к серверу со стороны админ панели, она будет отправлять акк и пароль, сервер возвращать ответ. Значит все пароли храняться только на этом сайте, угнать их можно будет только оттуда.
Защита этого сайта уже должна быть серьезной, достигнуть ее наверно можно будет простотой реализации этого принципа аунтефикации. Никаких дополнительных опций и другого.
По сути не особо много задач поставлено, это вполне реализуемо. На первых этапах регистрация сайтов может проходить вручную, управление тоже.
Доверие своих акков от админки другому сайту? Это уже на ваше усмотрение. Храните пароли у себя и боитесь взлома, или же храните пароли на другом сервере.
Ясен пень, что БД на сервере будет не в откртую, а с MD5.
////
Сообщение отредактировал Yura - Суббота, 25.06.2011, 21:37 |
|
| |
kRiak | Дата: Воскресенье, 26.06.2011, 02:49 | Сообщение # 7 |
Генерал-лейтенант
Группа: Проверенные
Сообщений: 615
Статус: Оффлайн
| Quote (Yura) kRiak, security code может узнать любой пользователь сайта Зайди на ?op=user&u=gm ( как-то так) - Так, к слову.. gm.php нафик нужен? я лично его тоже удалил
Бес.
|
|
| |
SanneA | Дата: Вторник, 28.06.2011, 12:54 | Сообщение # 8 |
Генерал-майор
Группа: Модераторы
Сообщений: 358
Статус: Оффлайн
| Зачем? а если гм хочет кого забанить а ты не хочешь пускать его в админку... Нужно просто удалить Code <?echo $mmw[admin_securitycode];?> из gm.php и поставить что то вроде
|
|
| |
Vaflan | Дата: Вторник, 28.06.2011, 17:56 | Сообщение # 9 |
Генералиссимус
Группа: Администратор
Сообщений: 477
Статус: Оффлайн
| kRiak, а чего ты себя не удалишь? нафик нужен, с таким успехом и сайт нафик не нужен.
|
|
| |
Yura | Дата: Вторник, 28.06.2011, 18:09 | Сообщение # 10 |
Генерал-майор
Группа: Проверенные
Сообщений: 176
Статус: Оффлайн
| Vaflan, не все пользуются этим модулем, так что не обобщай.
////
|
|
| |
vr-frost | Дата: Вторник, 28.06.2011, 20:29 | Сообщение # 11 |
Лейтенант
Группа: Пользователи
Сообщений: 26
Статус: Оффлайн
| Да блин всего не предусмотришь... А вот доступ к админке только с определенного ИП, который задается в настройках - было бы полезно
Реклама
XD
|
|
| |
kRiak | Дата: Среда, 29.06.2011, 01:26 | Сообщение # 12 |
Генерал-лейтенант
Группа: Проверенные
Сообщений: 615
Статус: Оффлайн
| Quote (Vaflan) kRiak, а чего ты себя не удалишь? нафик нужен, с таким успехом и сайт нафик не нужен. Не ругайся. Понятно для некоторых это полезно. Просто мне нет. Т.к. я никому не хочу давать подобный доступ к сайту. Мне хватает меня на все и мумекера. + когда была проблема с такой темой: "При заходе с любого акк в меню был доступ к gm.php... и могли делать все что хотят..." Поэтому пришлось удалить...
Бес.
|
|
| |