Strona 4 z 4 PierwszyPierwszy 1 2 3 4
Pokaż wyniki od 31 do 39 z 39

Wątek: Nieuprawniony dostęp do panelu administracyjnego forum

  1. #31
    Bieszczadnik Awatar Michał
    Na forum od
    09.2002
    Rodem z
    Opole
    Postów
    1,018

    Domyślnie Odp: Nieuprawniony dostęp do panelu administracyjnego forum

    Wiatm

    Cytat Zamieszczone przez bartolomeo Zobacz posta
    Niestety wygląda na to, że tej koparki nie damy rady usunąć własnymi siłami.
    Chyba masz rację. Ostrzeżenie pojawiło się ponownie.

    Pozdrawiam

  2. #32
    Fotografik Roku 2010
    Fotografik Roku 2009
    Fotografik Roku 2008

    Awatar bartolomeo
    Na forum od
    07.2005
    Postów
    4,243

    Domyślnie Odp: Nieuprawniony dostęp do panelu administracyjnego forum

    Po zamknięciu przeglądarki i wyczyszczeniu cache powinno być dobrze. Do czasu aż ponownie będzie źle
    Czterech panów B.

  3. #33

    Domyślnie Włamanie na forum i wyciek danych!

    Kochani,
    Dostałem z aplikacji LastPass notyfikację, że loginy, hasła, adresy IP i adresy e-mail zostały przejęte i są dostępne w necie.
    Więc proponowałbym aby administratorzy wysłali info do wszystkich o tym fakcie.
    Miniumum to zmiana haseł oczywiście.

    serdeczności
    &

  4. #34
    Fotografik Roku 2010
    Fotografik Roku 2009
    Fotografik Roku 2008

    Awatar bartolomeo
    Na forum od
    07.2005
    Postów
    4,243

    Domyślnie Odp: Włamanie na forum i wyciek danych!

    Pisałem już, że pracujemy na przestarzałym silniku - niestety bez możliwości uaktualnienia czy nawet wgrania poprawek (osoby opisane jako administratorzy są jedynie moderatorami z rozszerzonymi uprawnieniami, żaden z nas nie ma uprawnień do zmiany konfiguracji forum czy też danych dostępowych do serwera). Jak znajdę stary wątek to podlinkuję, na wszelki wypadek przypomnę kluczowe zasady bezpieczeństwa, które należy stosować zawsze (nie tylko na naszym forum):
    • hasło do forum powinno być unikalne, pod żadnym pozorem nie należy go stosować w żadnym innym systemie, warto je od czasu do czasu zmieniać,
    • jeżeli tylko jest taka możliwość to unikalny powinien być także e-mail (nie jest to obecnie trudne do zrobienia),
    • można rozważyć stosowanie VPN do ukrywania prawdziwego adresu IP.
    Co do sugerowanego przez Sholay'a włamu/wycieku: nie neguję, że coś takiego miało miejsce, ale nie jestem w stanie tego potwierdzić lub temu zaprzeczyć. Ani ja ani pozostali "administratorzy". Jedyne co mogę zrobić to weryfikacja czy mój adres mailowy (używany na tym forum) nie pojawił się w dostępnych w sieci bazach pochodzących z włamów - sprawdziłem, nie ma go w takich bazach (;--have i been pwned? - jeżeli znasz lepszą bazę to proszę o podpowiedź).

    I na koniec: sugestia zmiany hasła jest zawsze dobra.

    EDIT:
    Odnalazłem stary wątek, przeniosłem do niego nowe posty.
    Ostatnio edytowane przez bartolomeo ; 31-03-2021 o 15:09
    Czterech panów B.

  5. #35

    Exclamation Https?

    Dlaczego forum nie ma dostępu przez HTTPS? Przecież certyfikaty SSL można wygenerować za darmo, to jest kilka minut roboty. Przypominam, że wszelkie dane lecące przez "goły" http mogą być z łatwością "przejrzane" - również hasła, wiadomości prywatne itd.

  6. #36
    Fotografik Roku 2010
    Fotografik Roku 2009
    Fotografik Roku 2008

    Awatar bartolomeo
    Na forum od
    07.2005
    Postów
    4,243

    Domyślnie Odp: Nieuprawniony dostęp do panelu administracyjnego forum

    Przeczytaj ten wątek a będziesz wiedział. W skrócie: nie mamy uprawnień aby to zrobić.
    Czterech panów B.

  7. #37
    Fotografik Roku 2010
    Fotografik Roku 2009
    Fotografik Roku 2008

    Awatar bartolomeo
    Na forum od
    07.2005
    Postów
    4,243

    Domyślnie Odp: Nieuprawniony dostęp do panelu administracyjnego forum

    Nadszedł chyba czas aby przypomnieć kilka zasadniczych spraw. Powtarzam wiec, z delikatnymi uaktualnieniami, to co już było w tym wątku napisane. Od razu uspokajam, że nie mamy żadnych informacji o włamaniu na forum - podane poniżej wskazówki to działania prewencyjne

    ------------------------------------------------------------------------------------------------------------------------------

    Forum nie doczeka się aktualizacji silnika ani nawet protokołu HTTPS. W związku z tym podjęto pewne działania mające na celu minimalizację strat w przypadku kolejnych ataków:
    • wyłączono wszystkie wtyczki (m.in. Shoutbox),
    • usunięto martwe dusze (użytkownicy z zerową liczbą postów, bez logowania się na forum w ciągu ostatnich 12 miesięcy), działanie to będzie regularnie powtarzane.

    Przy zachowaniu podstawowych środków bezpieczeństwa konsekwencje kolejnych ataków można zdecydowanie ograniczyć. Jedyną rzeczą, której zapewnić nie jesteśmy w stanie, jest nieprzerwane działanie forum. Wspomniane środki bezpieczeństwa, które bezwzględnie powinien zrealizować każdy forumowicz, są następujące:
    • ustawienie do logowania na forum unikalnego hasła, w żadnym przypadku nie może to być hasło ani identyczne ani nawet podobne do jakiegokolwiek hasła stosowanego w jakimkolwiek innym miejscu,
    • sugerowana jest zmiana hasła WE WSZYSTKICH SERWISACH, GDZIE USTAWIONE BYŁO TAKIE SAMO HASŁO JAK NA FORUM. Poważnie, to jest kluczowa czynność,
    • zmiana adresu pocztowego wskazanego w konfiguracji użytkownika na inny niż główny adres e-mail forumowicza (nie należy na forum podawać adresu, który jest wykorzystywany do jakiejkolwiek komunikacji poza forum). Najlepiej w tym celu utworzyć sobie unikalne konto pocztowe (wyłącznie do obsługi forum) zabezpieczone hasłem innym niż dostęp do forum,
    • wszystkie informacje podawane na forum, zarówno w części otwartej jak i w korespondencji prywatnej (PW) czy w komentarzach w profilach, należy traktować jak dostępne dla każdego internauty mającego jakikolwiek dostęp do sieci,
    • jeżeli w jakimkolwiek miejscu forum (wliczając w to prywatne wiadomości) znajdują się dane lub informacje, których nie chcielibyście wypuszczać "na wolność", należy je jak najszybciej usunąć.

    Jeżeli forum wyświetla niecodzienne komunikaty, okienka czy prośby o doinstalowanie czegokolwiek (np. nowych czcionek czy oprogramowania) to należy je bezwzględnie odrzucać i zgłaszać je w tym wątku.
    Czterech panów B.

  8. #38
    Forumowicz Roku 2016
    Kronikarz Roku 2016
    Forumowicz Roku 2014
    Forumowicz Roku 2013
    Ekspert Roku 2012
    Awatar Wojtek Pysz
    Na forum od
    02.2008
    Rodem z
    Jarosław
    Postów
    2,440

    Domyślnie Odp: Nieuprawniony dostęp do panelu administracyjnego forum

    Cytat Zamieszczone przez bartolomeo Zobacz posta
    .... W skrócie: nie mamy uprawnień aby to zrobić.
    A czy nie dałoby się zrobić, żebyśmy mieli? Wystarczy odrobina życzliwości ze strony dysponenta serwera i domeny. Najlepszym rozwiązaniem byłoby delegowanie subdomeny forum.bieszczady.info.pl na adres IP naszego serwera. Konieczne byłoby też przekazanie nam backupu dotychczasowej zawartości forum. I z zewnątrz wyglądałoby to tak samo a odciążylibyśmy serwer dobroczyńcy, biorąc odpowiedzialność za całość funkcjonowania forum. To by nas oczywiście trochę kosztowało, ale w końcu na biednych nie trafiło
    Powie ktoś, że nie mamy "naszego serwera". Dzisiaj nie mamy ale jeśli trzeba będziemy mieć jutro.

  9. #39
    Fotografik Roku 2010
    Fotografik Roku 2009
    Fotografik Roku 2008

    Awatar bartolomeo
    Na forum od
    07.2005
    Postów
    4,243

    Domyślnie Odp: Nieuprawniony dostęp do panelu administracyjnego forum

    Cytat Zamieszczone przez Wojtek Pysz Zobacz posta
    To by nas oczywiście trochę kosztowało
    No właśnie...

    Jak mamy mieć lepiej niż teraz to trzeba kupić licencję na najnowszy vBulletin (zdaje się ok. 800 zł) i wynająć serwer z odpowiednią przestrzenią dyskową i transferem. Wybrałem losową firmę i sprawdziłem ile kosztuje 300 GB - to jest 900 zł rocznie (a wątpię aby 300 GB wystarczyło, trochę obrazków jednak na forum jest). W pierwszym roku co prawda promocja i tylko 1 zł, byłoby akurat na licencję vBulletin. A potem min. 800-900 zł rok w rok. Tylko proszę nie przerzucać mnie niższymi cenami w firmie A czy B - rząd wielkości będzie taki jak napisałem.

    Nawet jak uda nam się z sukcesem uzbierać te 800 czy 1000 zł na start to za chwilę będą to ciągnąć finansowo 2-3 osoby a jak i im się znudzi to za dwa, trzy lata będzie po forum.

    Oczywiście nie wiemy, czy ktoś będzie chciał zaglądać na forum aż tak długo, ale bądźmy optymistami w tym rozważaniach

    Nie Wojtku, to nie wypali. Moim zdaniem jedyna droga to rozmowa z właścicielem forum, że warto to czy tamto poprawić.
    Czterech panów B.

Informacje o wątku

Użytkownicy przeglądający ten wątek

Aktualnie 1 użytkownik(ów) przegląda ten wątek. (0 zarejestrowany(ch) oraz 1 gości)

Podobne wątki

  1. Nowy dział z ograniczonym dostępem
    Przez bartolomeo w dziale Techniczne
    Odpowiedzi: 43
    Ostatni post / autor: 07-09-2015, 18:17
  2. Odpowiedzi: 6
    Ostatni post / autor: 16-04-2013, 09:12
  3. Zalew Soliński - dostępne z wody miejsca biwakowe
    Przez gelorad w dziale Bieszczady praktycznie
    Odpowiedzi: 1
    Ostatni post / autor: 26-04-2011, 19:46
  4. Dostęp do szał-boksu - w pewnym stopniu sonda
    Przez dziabka1 w dziale Techniczne
    Odpowiedzi: 14
    Ostatni post / autor: 27-02-2010, 21:49
  5. Forum nie forum ..... kupa
    Przez Michał w dziale Bieszczady praktycznie
    Odpowiedzi: 11
    Ostatni post / autor: 16-05-2003, 23:14

Zakładki

Zakładki

Uprawnienia umieszczania postów

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •