Как не остаться без сайта: Хакинг
Надеюсь, что прочитав предыдущую статью цикла, вы уже не попадетесь фишерам и сразу распознаете их подлые уловки. Поэтому сегодня рассмотрим другую опасность.
Будем понимать под хакингом порчу (удаление, искажение информации, получение доступа к администрированию и т.д.) вашего сайта злоумышленником путем использования технических уязвимостей в системе. (Уязвимость, сидящая на стуле по эту сторону экрана, была рассмотрена нами в предыдущей части. :))
Против лома – нет приема, если нет другого лома. Так вот, товарищи, против кода системы uCoz – лома нет! На данный момент не было зафиксировано ни одного случая взлома системы путем, в котором хотя бы косвенно не был виноват сам владелец сайта. И на это есть целый ряд причин.
uCoz порой осуждают за закрытость кода. Но именно эта закрытость позволяет системе быть такой безопасной. Именно поэтому не зафиксировано еще ни одного взлома за счет уязвимостей в системе.
Быть может в коде системы и есть изъяны – идеальных систем не бывает, но, не имея доступа к коду, их практически невозможно обнаружить.
Плюс за безопасностью системы следят разработчики и не расслабляются.

В это же время хакерские форумы полны заявлениями «Я сломал юкоз!» и рассказы о мифических уязвимостях системы скоро начнут соперничать с мифами Древней Греции по объему.
Итак, парочку предлагаю развеять прямо сейчас!

Миф-1 – брутфорс.
Кулхацкер садится и запускает программку, которая «долбится» по адресу ваш-сайт.ru/admin подставляя все возможные варианты пароля. То есть идет метод прямого перебора. Когда может сработать? Когда вы пренебрегли простейшими правилами и пароль у вас типа «mama, 123qwe, mypass». Тут и без программы можно было бы справиться! Почему не сработает в остальных случаях? Потому что после 10 неправильных паролей система заблокирует ip переборщика и отправит программу отдыхать на 5 минут, а весь её смысл как раз в непрерывной работе с бешенной скоростью. Хакер успеет покрыться метровым слоем пыли, пока получит шанс добраться до вашей панели при таком раскладе.

Насчет количества символов в пароле. Есть такие любопытные цифры:
Полное время раскрытия криптофайла для частного случая (100000 паролей в секунду; 36 символов в алфавите (латинские буквы + цифры)).
Знаков Кол-во вариантов Время перебора
1 36 менее секунды
2 1296 менее секунды
3 46656 менее секунды
4 1679616 17 секунд
5 60466176 10 минут, 5 секунд
6 2176782336 6 часов, 2 минуты
7 78364164096 9 дней, 2 часа, 16 минут, 26 секунд
8 2.8211099x1012 10 месяцев, 23 дня, 52 минуты, 37 секунд
9 1.0155995x1014 32 года, 3 месяца, 7 дней, 12 часов, 11 минут
10 3.6561584x1015 1161 год, 8 месяцев, 26 дней, 18 часов, 33 минуты, 40 секунд
11 1.3162170x1017 41822 года, 7 месяцев, 20 дней, 6 часов, 44 минуты, 22 секунды
12 4.7383813x1018 1505614 лет, 11 месяцев, 30 дней, 1 час, 11 минут, 45 секунд
По материалам Wikipedia
Так что, если в вашем пароле более 8 символов, подбор превращается в невыполнимую задачу.

ПРИДУМЫВАЙТЕ СЛОЖНЫЕ ПАРОЛИ

Миф-2 – куки*.
Так же особо талантливые пытаются красть пароли из cookies. Господа, не утруждайтесь, мы не храним пароли в cookies, а только на сервере в зашифрованном виде.
И если хакеры будут хвастаться, что сперли их у вас, (пусть и без каких-то полезных сведений, но зато факт кражи на лицо!) то это уже отдает фетишизмом. :)

Миф-3 – XSS
Приведу цитату с одного хакерского форума: «Всё что вам нужно, иметь права на добавление HTML кода в сообщении на форуме. В uCoz администратор сам настраивает права для пользователей.Во многих случаях даже рядовой пользователь может написать сообщение с встроеным HTML кодом.»
О чем тут пишут?
Вы можете настроить на своем сайте права доступа так, что разрешите определенным группам пользователей теоретически писать всякие вредоносные коды на сайте.
В этом случае вам могут, например, запостить код, выводящий окошко авторизации на сайт. И тогда у всех, кто смотрит страничку, появляется фальшивое окно браузера для ввода логина/пароля. Некоторые несознательные личности туда вводят свои пароли.
На такой прием по невнимательности попадаются очень часто, поэтому не давайте прав на добавление HTML всем подряд.

БУДЬТЕ ВНИМАТЕЛЬНЫ ПРИ УСТАНОВКЕ ПРАВ ПОЛЬЗОВАТЕЛЕЙ

Трояны
Взломать сайт могут так же хакнув непосредственно ваш компьютер. Мы вроде как следим за безопасностью наших компьютеров, но случается, злобные вирусы прорывают оборону. И тырят наши пароли, в том числе от наших сайтов, от наших любимых сайтов на uCoz. А после этого начинается невозможность попасть в админку, исчезновение аккаунта и т.д.
Что делать? Предохраняться – обязательно антивирус со свежей базой или Firewall. А лучше и то, и другое. И сайт целее – и прочие данные на компьютере.

Кто ломает?
Я мстю и мстя моя страшна: ломают ваши сайты в основном ваши же друзья (быть может, в шутку, а быть может, это друзья перешедшие в разряд врагов и решившие так насолить). Вряд ли кто-то из них раскошелится на DDOS-атаку, а вот утащить пароль записанный на клочке бумаги и спрятанный под клавиатурой – это всегда пожалуйста. Увы, нередки межклановые распри – когда люди ходят по хакерским форумам и просят там взломать соперника. Не спортивно это, товарищи!
А ведь как еще бывает? Завели вы один сайт на двоих, а потом поссорились и давай соревноваться – один пишет, другой стирает. Думаете, шучу? Знали бы вы, сколько подобных историй приходит в саппорт. Вот пример такого письма:
-----------------------
Здравствуйте! Мы с Васей были друзья 4 года и сделали сайт у вас, а потом этот **** взял и поменял все пароли, помогите, пожалуйста!
Петя.
-----------------------
Вам смешно? А вот Пете**, думаю, не очень… :)

У САЙТА ДОЛЖЕН БЫТЬ ОДИН ВЛАДЕЛЕЦ. НЕ НАЗНАЧАЙТЕ АДМИНИСТРАТОРАМИ НЕПРОВЕРЕННЫХ ЛЮДЕЙ.

*Ку́ки (от англ. cookie — печенье) — небольшой фрагмент данных, созданный веб-сервером и хранимый на компьютере пользователя в виде файла, который веб-клиент (обычно веб-браузер) каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего сайта.
** Все имена изменены :)

119 комментариев
1 2 3 4 5 6 »
1 Написал best-portal 17 Февраля 2009, 21:45
Наконецто вторая часть
Ответ: Держим ритм wink
Евгений Курт.
2 Написал Inspector 17 Февраля 2009, 22:20
Нет таких систем в природе, в которых нет абсолютно никакой уязвимости - это дело времени.
Ответ: А вы точно читали материал? Где в нем говорилось об этом. Или о том что в системе нет уязвимостей в теории?
Евгений Курт
3 Написал Nik-19 17 Февраля 2009, 22:24
Хороший пост, Ирина, так держать wink

P.S Один нюанс:

Quote
Кулхацкер садится и запускает программку, которая «долбится» по адресу ваш-сайт.ru/admin подставляя все возможные варианты пароля.
.ru логично исправить на .ваш-домен или .домен
avatar
4 Написал bmrnetru 17 Февраля 2009, 23:17
Вот вы говорите что не было случаев взлома сайта путем, в котором хотя бы косвенно не был виноват сам владелец сайта, а если бы такой случай был, то вы бы об этом сообщили? Просто на специализированных форумах пишут иное да и сомневаться в их словах нет резона.
Ответ: А стоило бы усомниться...

Андрей.

Да, сообщили бы. Была такая-то уязвимость была тогда-то устранена и сейчас ее нет. Это было бы намного правильней чем давать ловить себя на прямой лжи.
Вам же стоит привести пример реальной уязвимости, с ваших форумов, что бы опровергнуть слова. А не пустые заявления. Я нашел, я могу и т.п.
Евгений Курт

avatar
5 Написал Arhistratig 17 Февраля 2009, 23:42
Плюс за безопасностью системы следят разработчики и не расслабляются.

А если расслабятся, тогда что ? Статья бесспорно очень полезная, но я бы так категорично не утверждал, что совсем уж невозможно взломать. Васю с Петей оставим в покое это на мой взгляд к основной теме статьи не относится, ну разве, что косвенно. А в целом всё изложено доходчиво и врезается в память того, кто сидит на стуле, а это значит, что у кого-то будет меньше проблем. Я бы даже предложил создать на эту тему видеоролик /обязательно в виде мультика с популярными героями\ это было-бы нагляднее. Поддерживаю Angell на многие вопросы ответа нет. Спасибо ! Ждём новых статей.

avatar
6 Написал bmrnetru 17 Февраля 2009, 23:48
Все зависит от сайта, захотят сломают, идеальных cms НЕТ!
Ответ: Давайте не будем голословными и будем понимать разницу между openSource системами и системами с закрытым кодом... Прежде чем пытаться тут что-то утверждать, у вас должен быть опыт... А раскидываться словами типа "Главное захотеть...", "Все можно поломать..." и т.д. не стоит...

То, что ничто не вечно и что везде есть ошибки и уязвимости все прекрасно знают... Но эта статья о том, что из-за глупости, нерасторопности, доверчивости и лени людей, злоумышленнику не приходится сильно напрягаться с технологическими аспектами ПО...

Андрей.

7 Написал Inspector 18 Февраля 2009, 00:43
Читал, Курт, читал... я имел ввиду то, что даже если сейчас об уязвимостях неизвестно, то, возможно станет известно в будущем. Однако, в связи с тем, что система с закрытым кодом, это значительно усложняет работу злоумышленникам, с этим я абсолютно согласен.
Ответ: А мы, по-моему, так и пишем. На сегодня. Сложнее и пр. Нигде не было сказано что невозможно, исключено.
Но есть теория, а есть практика.
Евгений Курт
avatar
8 Написал bmrnetru 18 Февраля 2009, 01:09
Quote
Вам же стоит привести пример реальной уязвимости, с ваших форумов, что бы опровергнуть слова. А не пустые заявления. Я нашел, я могу и т.п.
Евгений Курт

А оно вам надо? мне кажется вы прекрасно знаете о таких статьях если так бурно реагируете на это.

Quote
Прежде чем пытаться тут что-то утверждать, у вас должен быть опыт... А раскидываться словами типа "Главное захотеть...", "Все можно поломать..." и т.д. не стоит...Но эта статья о том, что из-за глупости, нерасторопности, доверчивости и лени людей, злоумышленнику не приходится сильно напрягаться с технологическими аспектами ПО..

Согласен, мне еще есть чему поучиться, но я не про себя говорил, а как раз про тех людей которые уже всему научились. Брут админки тоже относится к глупости админов сайтов на юКоз?

Ответ: А в чем проблемы с брутом? Мне казалось, я достаточно полно раскрыла вопрос брута админки (см. Миф-1). Пароль а-ля 1234 лично мне кажется относящимся именно к глупости.
Ирина
avatar
9 Написал zvirus 18 Февраля 2009, 01:26
Несомненно хорошая статья, админка под защитой. Но если помните, комментарии и форум до преобразований каптчи были не столь защищены. Помню читал где то (ну например сдесь, или проделки юного хацкера) о программах которые записывают отправленный компьютером запрос по нажиманию кнопки submit и потом многократно его воспроизводит (благо есть админ-бар с удалением записей пользователей(!) интересно, а с гостями что делать, ведь есть программы автоматически заполняющие формы) и соответственно разделы форума или комментарии гостевой заполонялись спамом мгновенно, но странно то, что заполнялись и на сайтах совершенно не посещаемых, что вводило в ступор.
Ответ: А причем тут вопрос взлома сайта, и вопрос спама? Вопрос спама самого разного рода, вопрос пробивания капч - совершенно самостоятельный. И отношения к хакерству никакого не имеет. Это вопрос спама.
Евгений Курт
10 Написал Kurt 18 Февраля 2009, 01:31
to Александр (bmrnetru)
Quote
А оно вам надо? мне кажется вы прекрасно знаете о таких статьях если так бурно реагируете на это.

Я бурно, если это считать бурным, реагирую на глупость.
Отвечая на вопрос. Да надо. Нет не знаем.

avatar
11 Написал bmrnetru 18 Февраля 2009, 02:19
2 Evgeny (Kurt)
Quote
Отвечая на вопрос. Да надо. Нет не знаем.

Вот поэтому слепо считаете что юКоз невозможно взломать. Счастье в неведеньи?

Ответ: Для тех кто способен к чтению все написано выше. Именно так как написано, все есть обстоит и именно так мы считаем. Вам вчитаться явно не удается. Равно как не удается, что называется, ответить за свои слова и привести обещанные ссылки.
Евгений Курт
avatar
12 Написал Meddy 18 Февраля 2009, 02:43
to Александр (bmrnetru)
Если не сложно, процитируйте меня, где написанно, что "невозможно."
Мне казалось, что слово "не зафиксированно" имеет несколько иной смысл...
avatar
13 Написал SnowBall 18 Февраля 2009, 02:59
Вы тут, уважаемые админы, так активно просите людей указать, где вы сказали, что uCoz взломать невозможно, что я не удержался, чтобы не помочь вам в поиске:

Quote
Так вот, товарищи, против кода системы uCoz – лома нет!
Ответ: А выдергивать фразы из контекста нехорошо.
Несложно заметить, что данная фраза является поэтической перепевкой всем известного выражения (кстати приведенного выше всего на одно предложение, но повтарюсь на всякий случай, так как читают, видимо cry , через букву "против лома нет приема, если нет другого лома". И в следующем же предложении приводится расшифровка того, что же имелось в виду под данной перепевкой.
Ирина smile
14 Написал HIGHLANDER 18 Февраля 2009, 06:37
Интересная статья, думаю многим новичкам пригодиться. Помню давно, мой сайт на юкозе пропил, а потом писал в суппорт "верните мой сайт". Так что никогда в жизни не давайте свои пароли, а то не раз пожалеете.
avatar
15 Написал SnowBall 18 Февраля 2009, 09:44
Да я что? Я ничего. smile Вон мой любимый Эппл то же самое про вирусы пишет. Я просто говорю, что тут совсем не сложно неверно понять и вырвать из контекста. Что люди и делают, а затем возмущаются. Но раз уже написали так, то не стоит просить показать "где это такое мы сказали?"
16 Написал websalat 18 Февраля 2009, 10:07
...и на душе стало спокойнее. Благодарю за статью, ждал.
p.s. можете файрволл посоветовать? happy
avatar
17 Написал bmrnetru 18 Февраля 2009, 11:39
Quote
Равно как не удается, что называется, ответить за свои слова и привести обещанные ссылки.

Ссылки остаются в закладках smile а вы можете и дальше считать что юКоз невозможно взломать.

Ответ: Браво! Очень показательно. Собственно, чего и ожидалось.
Спасибо, думаю многим стало понятней.
Евгений Курт
avatar
18 Написал alenkarhangel 18 Февраля 2009, 12:08
Какие наивные люди тут пишут. Я видела очень много способов взлома ЮКОЗ. Полазьте по интернету и сами увидете, только глаза разуйте когда смотреть будете.
Ответ: Алена, у нас уже половина комментариев с такими заверениями. И пока ни одного примера. Пожалуйста, приводим конкретный реальный пример. Заканчиваем с мифами. Или пишем "Я соврал(а)".
Евгений Курт
avatar
19 Написал alenkarhangel 18 Февраля 2009, 12:11
да кстати и для взлома юкоза не обязательно знать пароли, помойму пароли это вообще уже устаревшие взомы, сидеть с книжкой и перебирать их. А умный человек никогда никому и так не скажет пароль. biggrin
avatar
20 Написал †MK† 18 Февраля 2009, 12:11
Quote (bmrnetru)
Ссылки остаются в закладках а вы можете и дальше считать что юКоз невозможно взломать.

Уважаемы вам неоднократно повторили, что администрация не считает, что систему невозможно сломать в ПРИНЦИПЕ. Ибо абсолютных систем никогда не существует. Ваще же поведение под статью детского сада попадает. Научитесь читать.
1-20 21-40 41-60 61-80 81-100 101-112
Ваш комментарий