0  
 Я всё время через тулбар логинился, наверно поэтому меня не взломали. Да и пароль я менял в декабре. А вообще обидно, и очень жаль что нет бекапов ю.блогов. Теперь сколько всего заново делать. |
0
Спасибо, но давайте не будем делать виноватыми нас. Зная "безопасность", будем делать, обязательно. |
0 7
Kurt (24.01.2010 18:32)
 Каждый виноват в своем, ок? Совет это не персональный, а всем. И давайте все же логиниться безопасно, и делать бекапы, раз такая возможность есть. Глядишь и виноватых искать не придется. |
+4
Игра слов... Систему взломать не возможно, но наш сайт взломан. Мне легче от этого, как тебе кажется? |
0
Виноватых найти всегда легче, ага? Причём, как оказалось, Вадим делал бэкап, но его стёрли админы юКоза |
0
"О том что бэкап можно хранить и на компьютере написано в ПУ" Ключевые два слова: "можно" "и". Можно, не обязательно. Всё равно нужно хранить было и на сервере также, как запасной вариант. |
+3
Я не знаю кому от чего легче, и игры слов не вижу. Понятия взлом ты, вероятно, принимать не хочешь. В смысле что под этим понимается. А проблемы в жизни и с сайтами бывают много от чего. Может например диск размагнититься. Причем сразу два в одном зеркале в рейде. Все может быть, вопрос лишь в вероятности. Что конкретно произошло с юблогами, вроде бы, тоже понятно. Имеем на лицо. 1. Был получен доступ к форуму, как и почему описано в посте. 2. Админы блога не использовали безопасных вход 3. У блогов не оказалось бекапов. Вот такое стечение трех обстоятельств. И это неприятно, и это плохо. И первый пункт наша безусловная ответственность. |
-1
Kurt, вероятно, получил откат и слёзные уверения от сестрички бандита, поэтому он так рьяно обеляет преступника. Вместе с тем, вы сами можете подать заявление о преступлении.
|
0 67
___ (24.01.2010 23:30)
да?
а как насчет blog.ucoz.ru и ublogs.net?
|
0
Я вот токо одного не пойму. ну украли пароль от профиля администратора. Но КАК в админку попали и удалили разделы на forum.ucoz.ru?
|
0
У нас они были, но когда очищали бекап-сервера, его удалили.
|
0
Пароль в админку сложный, поэтому, я думал, бекап оттуда никто не мог удалить.
Не знал я, что их еще и очищают.
|
0
к сожалению надежда на пароль не выход из положения
|
0
Цитата из админки: Quote Если вы являетесь опытным пользователем и соблюдаете элементарные методы безопасности (не даете никому пароль от системы, входите в панель только со своего компьютера, получаете почту по POP3 протоколу и т.д.), создавать резервную копию вам совершенно не обязательно. Очень жду нормальной справочной системы от вашего сервиса. В которой будут в одном месте собраны основные функции, правила безопасности, соблюдения которых вы хотите от пользователей. Которая будет регулярно обновляться. |
0
 Они ничего не хотят. Им *****. Но это нужно тебе, и ты сам должен думать — какие правила безопасности надо соблюдать. И, как известно, тех.поддержка не то место, где учат всему. =) Справочная система по безопасности — это, простите, бред. Оберегание своих паролей — это шпионские игры. Можно научиться анализировать, а не научиться действовать по плану. Но этому нигде не учат — просто нужен мозг и понимание ситуации. Элементарные правила безопасности это: 1. Firewall, обеспечивающий техническую защиту. 2. Мозг, обеспечивающий защиту от социальной инженерии. Если вам интересен второй пункт, то просто: никому не доверяйте свой пароль; не вводите свой пароль где попало — на uCoz'е есть альтернативный способ входа на сайты поддерживающие uNet; не используйте одинаковых паролей — на любом аккаунте должен стоять уникальный пароль; если лень заморачиваться — всегда используйте отдельный администраторский аккаунт, вход с которого вы производите лишь на своих сайтах, и отдельный публичный аккаунт, о потере которого жалеть не придется; всегда учитывайте, какой пароль на какой E-mail можно восстановить — бывает, возникают связки из 3-4 E-mail'ов, восстанавливаемых друг на друга, в конце которого сидит тот самый ваш администраторский аккаунт. Другими словами — обеспечьте аккаунту с правами администратора полную автономию от публичного аккаунта, который можно и посеять. Ответ: Просьба воздерживаться от мата. В следующий раз будет бан.
|
0
Как написано на гугле: никогда не говорите свой пароль родственникам, друзьям и попугаям… То есть вообще не говорите.  Даже у стен есть уши. В итоге можно скатиться в паранойю. Но у паранойи есть один плюс — тогда уж вас точно не взломают. =) Ищите золотую середину сами. |
0
Так или иначе, доступ к управлению форумом оказался у достаточно большого числа лиц, что по сути стало причиной того, что злоумышленник воспользовался этим - завладев доступом к форму. Ошибочка, да кстатее, очень жаль то что взломали много моих сайтов взломали |
0 6
Kurt (24.01.2010 18:31)
Спасибо, исправлено. А много - это сколько?
И, конечно, пострадали некоторые активные участники сообщества. |
-3
Всегда использую логин через тулбар... Единственно не понимаю зачем было сначало обманывать про ДДОС на 4-й сервер? Почему сразу нельзя было это написать? Почему вы не указали того, кто собственно это сделал? Не все видели что это УПЯЧКА. И кстати днейсвия были направленны не против системы, а для развевания мифа о том что юКоз нельзя взломать. (я не против юКоза, не поумайте, я всеми руками за!). Изначально был против юНета, помоему вещь неудобная, безполезная, и как оказалось КРАЙНЕ НЕ БЕЗОПАСНАЯ. Ибо чистый юКоз взломать действительно было невозможно.
|
+3
1. Где говорили про ддос на четвертый сервер? Если кто-то об этом, в своем, например, твитре, даже не из числа сотрудников сервиса написал, вы уверены что кто-то что обманывать пытался? ddos это вообще совершенно о другом и про другое, только для многих стало слишком многим вот к месту и не к месту лепят. 2. Еще раз подчеркну, взлома системы не происходило. Но в данном случае да, вы правы, перехватить пароль юнет пользователя вероятнее, чем локального. Но никто не мешает использовать безопасных вход. Или, например, использовать 2 аккаунта, только один из которых для администрирования. |
0
Еще одно доказательство того, что системы управления сайтов и социальные сети - разные вещи ( Социальная сеть теряет в смысле с каждым нарушением требования "один человек - один аккаунт", но в целях безопасности его необходимо нарушать...
|
0
 Моя запись в твиттере, которую потом все дружно заскриншотили и опубликовали через час после её написания, была только предположением, потому, что симптомы при ддос атаках такие же (отсутствие доступа к сайтам), как и ситуация на тот момент. А считать её официальной информацией - глупо я в uCoz не работаю, я координатор форума, а официальная информация публикуется либо тут, либо на форуме, либо в твиттере, аккаунтом ucoz_ru, это на будущее. |
0
просьба огласить IP и логин/логины хаЦкера ...  ... у меня вроде всё нормально по сайтам, пользуюсь авторизацией через ю-тулбар, но паролик таки пришлось сменить... |
0
Закон о защите информации, равно как и понятие конфиденциальных данных пока, в общем-то, никто не отменял. Да и не нужно тут это никому на самом-то деле. |
0
IP — прокси, динамический… Логин — какой логин? Логинились от админа — а кого именно ломанули… ИМХО, это внутреннее дело uCoz'а~ =) |
0
ЗЫ. как участник проекта ELCR: наш сайт теперь жутко тормозит, HTTP 500 постоянно вылезает.
|
0
Спасибо. Насчет ddos, да это было на стороннем ресурсе, но якобы "это админы сказали". Если это не так, извиняюсь за комментарий.
|
0
Насколько я знаю, у нас 2-й сервер (s2)...
|
+2
Раз уж я тут начал советы раздавать. Пожалуйста, относитесь внимательней и ответственней к чужим js кодам (в т.ч. счетчикам, баннерам) которые ставите себе на сайты. Это часто источники проблем. В данном же случае, конечно, понятно, к сожалению, ю.блоги были одними из пострадавших. |
+1
 Жалко Ю.Блогов... Огромный удар на себя приняли(( а нащет js-кодов ты прав) вот проблема со счетчиком Ю.Б яркий пример того, что можно сделать через обычный javascript |
+2
 Вот только не говорите уже про js коды. Вот свой невалидный (все еще под впечатлением) js проверки копирайта уберите, а потом кидайтесь обвинениями. |
-1
Эммм. Скрипт? О_О
|
0
 Не знаю ка лучше вырозиься... скажу на прямую - Все что случилось это - польный безпридел, по всем понятием! Допустим, кому то, кто то из админов, чем то помешал - а причем тут остальные пользователи!? Допустм обратное - кое кто из пользователей, чем то, кому то помешал - тогда, причем тут вся система?! А дело вот в чем: "когда, в место того, что бы петь в квартиру хором, он (они) займутся чистками сораев (прямым своим делом), тогда разруха исчезнит само собой!" P.S. наверника многие вкурсе, но хочу сказать, что идет спам и по blog.ucoz.ru/rss (я использую для подписки Thunderbird). Есть видеозапись. |
+1
 Форму входа для юнета нельзя как либо обезопасить иным путём, не через тулбары и без дополнительной фигни к браузеру? Поскольку сделать обычный фейк на форму входа хоть в аяксе, хоть без, очень просто, имея хоть какие либо знания HTML. И даже не нужно никаких сторонних серверов. Активировав любой из модулей, будь тому /news или /blog. И приложив немного ума. Получиться фейк, который обычному юзеру просто не различить с оригинальным. ИМХО... хотелось бы другого варианта входа, более безопасного. |
+1
При логине через тулбар или вебтоп, если на сайте будет фейковая форма, пароль не будет украден. Можете проверить, попробовать украсть сами у себя. Фейковая форма позволит украсть пароль при прямом вводе в нее только. |
+2
 "Упячка" наверное считают, что сделали что-то поистине полезное и крутое. На самом деле все их действия – это вандализм. Легко что-то испортить, сломать, а сделать что-то по-настоящему стоящее, полезное может не каждый. Меня удивили возгласы тех, у кого есть блоги, сайты на юкозе и которые в то же время говорят и пишут, что ребята [те, которые испортили ФТП] сделали всё правильно и что давно так надо было. Как говорится "Не нравится — не ешь". Зачем жаловаться? Не нравится — удалите свой сайт и идите на другой сервис. Ненавижу "упячку". |
+1
Ты ничего нового не рассказал, а лишь повторил слова за администратором.+ дописал "Ненавижу упячку" Бред ИМХО. |
-2
Меня удивили возгласы тех, у кого есть блоги, сайты на юкозе и которые в то же время говорят и пишут, что ребята [те, которые испортили ФТП] сделали всё правильно и что давно так надо было. Как говорится "Не нравится — не ешь". Зачем жаловаться? Не нравится — удалите свой сайт и идите на другой сервис. - а это что? |
+6
 Надеюсь, что виновные как внутри администрации ФТП, так и кулхацкеры понесут должное наказание. Если дойдет до суда - проинформируйте. P.S. Одно пожелание - сделайте возможность модифицировать тулбар. Я имею ввиду как яндекс.бар - любой его элемент я могу перетащить на другую панель. Хотелось бы иметь возможность перенести кнопку безопасного входа к строке адреса, например... |
0
Перенос элементов не самая тривиальная задача, хотя, думаю рано или поздно сделаем. А вот поставить кнопку авторизации рядом с адресной строкой - это дадим в самые ближайшие дни. |
0
 Kurt, большое Вам спасибо за подробные разъяснения! Все волнения как рукой сняло! Хоть мои сайты и не пострадали (всегда логинюсь через тулбар), но волнение и переживание за других пользователей не давали покоя! Спасибо ещё раз! |
-1
 Ну если верить данному посту, то я наверно верну свои слова, что вообще уйду с uCoz. Так как судя ещё и по другим постам в блогах, что всё таки был взлом и находится на uCoz не было бы смысла если он так уязвим. Но уже хоть какой то плюс, что не взлом системы, а человеческий фактор. Но очень жаль, что с юблогами такая проблема. Столько потеряно.... |
+4
 Хотелось бы знать что будет прийнято, чтобы больше такого не повторилось, может стоит взять форум под контроль? Старая команда (2008 год) была самая лучшая, а потом всё поменялось, появились "левые" люди со статусами модератора и выше, думаю было понятно что рано или поздно такое может случится. |
+1
 Евгений, спасибо большое за оперативное и полное объяснение ситуации и вашего отношения к такого рода вандализму. К сожалению не все разделяют. Удачи вам в плане работы и безопасности. |
0
 У меня сложилось такое впечатление, что когда uCoz вышел на новый уровень, Андрей и другие основатели "отцы" проекта уходят в большой офис из тех мест, где они сидели за компьютерами и писали коды, продумывали планы развития и т.д. Теперь есть штат сотрудников, который вместо них так же пишет коды. Это новые люди, новые ошибки. Это переходной возраст uCoz. Эго нужно пережить. Мда.....долго я наблюдаю за этой уже не маленькой команией ) |
0
 Не знаю я как угодно заходил у меня пароль не сперли!))) ладно сейчас не об этом в чем вся суть 1.не надо логинится через сайт а лучше через uTollbar 2.Делаем бекапы и сохраняем на компе!) 3.не светим свой юнет на котором ваш сайт а именно эмайл!)) и тогда все будет нормально^_^ P.S насчет мыла написал потому как у большинства пароли и ответы на секретные вопросы как на почте так и на юнете одинаковые поэтому поберегите свои нервы и чужие |
0
Есть информация как сменить пароль, если не принимают ответ на секретный вопрос? Засада второй день.
|
0
А зачем вам секретный ответ для этих целей? Вам нужен пароль от вебтопа. Если вы забыли и его, и секретный ответ. Или он не назначен, обращайтесь в службу поддержки. |
+1
Служба поддержки молчит как рыба. Не могу второй день попасть на собственный сайт. Как получить пароль - загадка. Как подтвердить, что сайт мой?
|
+1
Очень жаль, что так получилось  Как сказал Евгений, действительно лучше использовать два юнет аккаунта, один для управления своими сайтами, второй - для "залогивания" на остальных сайтах. Или на собственном сайте использовать локальный профиль, что снизит возможность перехватить пароль. Сейчас это более реально сделать через подставную форму входа. -------------------------------------- И вот ещё хотел сказать на счёт тулбара… Всё таки было бы очень хорошо если бы сделали возможность скрывать ненужные инструменты (как сделано в других тулбарах, например, поисковых систем). Мне, например, не удобно использовать тулбар uCoz и тулбар гугла одновременно, хотя-бы потому-что они занимают место. А вот было бы очень удобно если встроить небольшую кнопочку для входа, скажем, около меню навигации (кнопки назад, вперёд, обновить страницу), да и многим, думаю, тоже бы так было удобно. Тем самым уже многие пользователи стали бы входить через тулбар, что значительно бы снизило возможность украсть пароль. |
0
У вас установлен обычный тулбар?
|
0
Сейчас только кнопка uID авторизации.
|
+1
Укажите пожалуйста версию фокса и ОС, список установленых дополнений и тем в фоксе. Если можно - в личку
|
0
В ICQ напишу.
|
0
|
0
…скрывать ненужные инструменты, а также перемещать элементы тулбара.
--------------------------
Можно оставить тулбар таким, какой он сейчас, просто дополнительно ещё выпустить кнопочку uID авторизации с возможностью её перемещения.
|
-4
Халатность явная, готовлю письмо в следственный комитет при прокуратуре.
|
+1
Ололо, школота негодуэ! Это было хамство. Теперь сабж. На кого? Компания uCoz Web Services официально не имеет прямого отношения к утрате вашего пароля — с тем же успехом, это могло произойти на любом ином популярном ресурсе, кроме ФТП. =) Любой блог с высоким рейтингом, какой-либо тематический портал… Цепная реакция — большинство посетителей uCoz'овских сайтов зачастую имеют свои сайты — соответственно ломают их по цепочке. )
|
0
Ну брешь в безопасности бывает у всех и причины могут быть разные, человеческий фактор наиболее вероятен что тут и произошло. А вообще по поводу форума, уважаемые овнеры Юкоза. Уберите пожалуйста школьников модераторов и координаторов. У большинства их них явно звездная болезнь, да и отвлекаете их от уроков. Пусть лучше уроки учат чем модерируют форум. А вообще то что произошло могло произойти где угодно. И то что пытались поломать Юкоз это уже говорит про рост самой компании. Разработчикам респект.
|
0
>И то что пытались поломать Юкоз это уже говорит про рост самой компании. Ни о чем это не говорит. ) Любой сервис мало-мальски засранный школотой младшего возраста подвергается атаке школоты старшего возраста, дабы показать свою крутость.  Если есть люди 15-16-летнего возраста, то 18-19-летние «хакеры» вполне естественно пытаются унизить их. Даже если хакер старше — атаковал он uCoz не чтобы показать дыры в СУКе… Ну вы знаете «Хватит постить УГ!» и все такое. Это социальная проблема, а не техническая. |
0
ну почему то же народ.ру никто не ломает)))) большие компании привлекают больше внимания... лет 10 назад сайт микрософта поломали, именно потому что компания большая. Если бы это была мелкая компания то она бы никому не нужна была.
|
0
Хм. ) Извините, но видимо вы просто плохо в этом разбираетесь… uCoz тоже никто сейчас не взламывал. Надо видить разницу, — громадную разницу, — между угоном множества паролей по халатности администрации форума, человека не имеющего непосредственного отношения к компании, и взломом системы, нахождения в ней уязвимостей, которые просто не зависят от действия конкретных пользователей. Массовые угоны E-mail'ов яндекса (а это собственно те самые народ.ру) имел место лет 5 назад — и это было куда более масштабно и не чинилось. Я не говорю, что uCoz мал. Я просто говорю, что никакого внимания к нему, как к крупной компании — нет. Точнее, мы не видим этого. Может кто-то и пытается именно взломать uCoz… Но какой смысл об этом говорить? Заявлено, что система не имеет уязвимостей (что сомнительно, но оставим это при себе), кричать об этом каждый день «Нас пытались ломануть но у них не вышло, ву-ху!» — бессмысленно. =) Такие дела. Приводите более объективные доводы в пользу uCoz'а, иначе станете посмешищем и мишенью троллей, ненавидящих uCoz. |
0
Хм.... а вы видимо из тех людей которые верят в то что им говорят... может дело не в угоне паролей а действительно в взломе. Но правду мы никогда не узнаем... А насчет тролей, Юкоз ненавидят у которых завышенное самомнение. Свой первый сайт с делал лет 15 назад. Выкладывал его еще через диал-ап (другого инета небыло) и сайт был статичный. Сайты делаю на юкозе только потому что это удобно и благодаря закрытой архитектуре стабильно. Хотя могу и тот же вордпрес развернуть, но зачем?
|
0
Ну, я тоже делал статичный сайт, тоже в 15 лет, тоже с диал-апа. Поясните, в чем ваша фишка? Вордпресс? А чего в нем хорошего? Есть куда более удобные вещи. А по поводу «верит что ему говорят». Здесь вы крупно ошибаетесь. Я просто сужу с официальной точки зрения и все. ) Вы сказали «Взлом!» Основания? Теория «угнали пароль» пока подтверждается. Я не выступаю за нее, я вообще все подобные действия считаю песочницей. Хакер — Касперский (я не про антивирус-плагиатчик), а это — дети играющие в песочнице. ) Играются зачем-то. Может быть они умны, хитры. Но это не прибавляет их действиям обоснованности. Я не сужу, я просто смотрю со стороны. =)
Ах да, мой сайт на uCoz'е. Меня еще никогда не ломали, несмотря на ламерское поведение: свои 20-значные пароли не меняю раз в месяц, у меня антивирус всего лишь один… И прочее. Может потому что я… Не захожу на фтп? Это все не принципиально. Просто не надо говорить про взлом, не имея на то основания. И когда хвалите кого-то — хвалите так, чтобы у оппонента не осталось и шанса привести довод против.  |
0
Ну это для ликбеза. Взлом – инструментальный доступ в хранилище ценностей. Возможно, информационных, если в качестве инструмента служит голова. А по поводу того как хвалить - "Как хочу так и хвалю)))". И большая просьба учите своих одноклассников и друзей, а посторонних людей учить не стоит. За собой со стороны следите, а не за другими. Но это у вас от молодости, не огорчайтесь. |
0
Я не огорчаюсь, мне за собой сейчас следить не надо. Вы необоснованно обижаетесь. =) И молодостью я никогда, к сожалению, не отличался. Вы неправильно меня воспринимаете, просто. ) Это ваша проблема, не моя. Я не учу вас — я даю советы. Как человек со стороны. Если бы я был против юкоза — ваш довод бы насмешил меня, не более. Неприятно, что взрослый человек ходит и смешит школьников. Никто не против, что «Как хочу, так и хвалю!» — это наиболее правильно. Перечитайте мои посты, может быть поймете правильно. >Взлом – инструментальный доступ в хранилище ценностей. Возможно, информационных, если в качестве инструмента служит голова. Ммм… Инструментальный — то есть взлом, в котором идет воздействие лишь с одной стороны, вторая участвует пассивно. И про голову тут сказано не в том смысле, что социальная инженерия относится к взлому, а в том, что голова выступает как инструмент — наши мысли способствуют достижению целей. Но не мысли наших глупых противников (в случае удачи, естественно). Если не желаете продолжать далее разговор — не будем. Несмотря на несколько ошибочных суждений, с вами приятно беседовать. Пойду поору где-нибудь «Ололо!!11» и потроллю, что ли.  Причина моих столь длинных постов: «Я просто хочу, чтобы вы поняли.» Пусть не правду, если я ошибаюсь — так просто мою точку зрения. =) |
0
П.С. Юкоз в России на данный момент как Микрософт в мире. Все ругают и хают, но каждый день все больше и больше им пользуются. Пройдет еще лет 10 и системы типа Юкоза (а возможно и сам Юкоз) будут стандартами дефакто.
|
|
Считаю должным прояснить ситуацию по поводу недавних событий: с дискредитацией паролей ряда uNet-аккаунтов и с "взломом” некоторых сайтов. По сути информация в разрозненном виде уже сообщалась, но хочется собрать все воедино.
