Strona po ataku hakerskim

[duchu0]

Jeśli masz kiepska ochronę komputera (lub wcale jej nie masz) przed wirusami i innym badziewiem to tak masz. Należy stosować podstawowe wymogi bezpieczeństwa a nie będziesz miał żadnych problemów.

 

A Ty musisz każdego uważać za idiotę ? 

Nie opieraj się też na informacjach z sieci.

 

Czyli to co napisałeś też jest g warte. Genialna logika. 

 

Gdybyś nie zauważył to forum miedzy innymi służy do tego by dzielić się swoimi opiniami. Ja mam taką jak napisałem, a jeśli Ci się ona nie podoba to Twój problem.

Nie uważam się za ignoranta jeśli chodzi o zabezpieczenia, więc wiem czego używać a czego nie potrzebuję.

 

Nikogo nie zmuszam do zaprzestania korzystania z FZ, ale też nikt nie zmusi mnie do zmiany opinii o tym programie. Poczekam aż ktoś z PiO napiszą najlepszego na świecie klienta FTP który będzie wzorem dla każdego. Bo przecież tu są najlepsi z najlepszych jak na wykopie ;D 

[MaxPan]

Przystopuj, swoje wycieczki osobiste bo za chwile dostaniesz urlop.

[SzlafRock]

A Ty musisz każdego uważać za idiotę ?

 

Tylko na własne żądanie.

 

 

[duchu0]

Przystopuj, swoje wycieczki osobiste bo za chwile dostaniesz urlop.

 

a w której wypowiedzi kogoś obraziłem ? 

 

Tylko na własne żądanie.

 

no i tyle w temacie, skoro nic więcej nie potrafisz powiedzieć. 

 

 

Kółeczko wzajemnej adoracji 

[M0drzew]

Bo przecież tu są najlepsi z najlepszych jak na wykopie ;D

 

 

Kółeczko wzajemnej adoracji 

 

 

a w której wypowiedzi kogoś obraziłem ? 

 

 

miałem o Tobie wyższe mniemanie, ale niestety jak to ostatnio zdarza mi się często, przeceniam ludzi...

nie musisz nic tu pisać, czytać tez nie musisz... a najlepiej w ogóle nie wchodź na PiO

 

z pozdrowieniami

m0drzew

 

[duchu0]

Nikogo nie miałem zamiaru obrażać i wydaje mi się, że to nie było obraźliwe. Po prostu zastanawiające jest dla mnie to, że jeśli do dyskusji dołączają się osoby na forum z długim stażem to zawsze kończy się tak samo. Czyli nikt nic nie wie, poza tymi wyjadaczami. A do tego często przeczą sami sobie w tych samych tematach. 

 

PiO będę czytał bo są tutaj wartościowe treści i społeczność, ale niestety tak jak w każdym stadzie znajdzie się ktoś kto wie wszystko najlepiej. 

No ale jeśli ktoś z wyżej wspomnianych poczuł się urażony to w takim razie bardzo do przepraszam i przesyłam wirtualne   i 

[SzlafRock]

Nikogo nie miałem zamiaru obrażać i wydaje mi się, że to nie było obraźliwe.

 

Nie obraziłeś.

 

Pisałeś , że nie korzystałeś długo z FileZilli dlatego Twoja ocena może być i jest bledną.  Korzystam z tego softu od zawsze i nie miałem żadnych problemów.

Na forach jest dużo info na temat bezpieczeństwa klientów ftp ale należy zapytać się użytkowników skąd ściągają softy. Założę się, że znaczna część z miejsc tzw. ryzykownych.

Tak jak w posługiwaniu się komputerem, tak i każdym softem należy zastosować pewne środki bezpieczeństwa. Tyle z mojej strony.

[duchu0]

Pisałeś , że nie korzystałeś długo z FileZilli dlatego Twoja ocena może być i jest bledną.  Korzystam z tego softu od zawsze i nie miałem żadnych problemów. Na forach jest dużo info na temat bezpieczeństwa klientów ftp ale należy zapytać się użytkowników skąd ściągają softy. Założę się, że znaczna część z miejsc tzw. ryzykownych. Tak jak w posługiwaniu się komputerem, tak i każdym softem należy zastosować pewne środki bezpieczeństwa. Tyle z mojej strony.

 

No właśnie tylko jak wcześniej wspomniałeś Ty wiesz jak się zabezpieczyć (bez domysłów) ale domyślam się, że znakomita większość użytkowników FZ nie jest aż tak świadoma. Od tego właśnie zaczynają się problemy o których często czytamy. 

 

 

[MaxPan]

Kółeczko wzajemnej adoracji 

 

Widzisz, ale ja wyżej wspomnianego użytkownika ot dawno ignoruje, więc nawet nie czytam co pisze oprócz tego co inni zacytują lub zgłaszają przez panel admina. Więc pudło.

Napisałem, żebyś nie przychodził na płaszczyznę wycieczek osobistych bo to ni do niczego nie prowadzi. 

Co do fezilla to nie masz zupełnie racji, jest to dość dobry soft ale i tak zapisywać w nim haseł nie polecam. Jak polecam robić napisałem na poprzedniej stronie. Mam dość dużo kont hostingowych ale do żadnego nie mam zapisanych  danych na komputerach. Ustaliłem sobie taką zasadę i nie uważam, że jakoś to utrudnia mi pracę. Potrzebuje zalogować się otwieram segregator ( lub notesik) i mam potrzebne loginy, hasła, hosty.

Możesz dodatkowo zrobić sobie swój klucz szyfrujący, na przykład zawsze w hasłach lub loginach jeden znak zamieniać innym. Jeśli hasło %67hskg7366k

To realne hasło to X67hskgR366k. To na przypadek, jeśli zgubisz notes.

[SzlafRock]

No właśnie tylko jak wcześniej wspomniałeś Ty wiesz jak się zabezpieczyć

 

znakomita większość użytkowników FZ nie jest aż tak świadoma.

 

To nie jest jakaś tajemna wiedza, każdy korzystający z internetu powinien ją stosować. Na nie wiedzy właśnie żerują osoby, które tworzą złośliwe oprogramowanie.

FZ ma duży plus, że jest często aktualizowana.

[cyber]

Nie opieraj się też na informacjach z sieci.

 

Heh zabawny jesteś 

 

Jeśli masz kiepska ochronę komputera (lub wcale jej nie masz) przed wirusami i innym badziewiem to tak masz.

 

Daj mi swój komputer a znajdę co najmniej trzy zagrożenia, nawet nie masz pojęcia jak twoja niewiedza może być głęboka no ale to nie twoja wina tylko "informacji z sieci" lol.

 

Problemem z włamaniami na strony zrobione w oparciu o popularne CMSy nie jest klient ftp a dziurawe modyfikacje i szablony pobierane z różnych źródeł.

 

Już kiedyś zapodałem na forum kod w PHP który był doklejany do każdego pliku w PHP 

 

Jedna zasada jeśli nie jesteś w temacie to się nie wypowiadaj jak fachowiec -  bo to po prostu jest żałosne.

[mghost.pl]

Faktem jest, że trochę offtopu poleciało.

Ale wracając do meritum.

W zależności od środowiska, można zapobiegać, a nie leczyć.

 

Na pliki szablonu, którego nie będziemy modyfikować/aktualizować można pozakładać flagi immutable. Takich plików nie można zmodyfikować bez zdjęcia tej flagi.

Dodatkowo inotify, który poinformuje o nowych lub zmodyfikowanych plikach.

Odpowiednie uprawnienia (zamiast wszędzie 777, bo tak "w internetach napisali").

Odpowiednio złożone hasła, o czym koledzy już wcześniej wspomnieli.

Po ataku natomiast dobrze byłoby wylistować wszystkie pliki, zwłaszcza core'owe wordpressa i zrobić diffa porównując do plików z repozytorium. Pozostałe pliki można porównać z tymi z backupu (bo wszyscy o nim pamiętają we własnym zakresie, prawda? ).

 

Do sprawdzenia pozostaje również baza - czy nie pojawili się nowi użytkownicy z uprawnieniami administracyjnymi.

 

Często również zostaje podgrany phpshell (umożliwia dowolne penetrowanie całego konta danego użytkownia, podglądanie plików, tworzenie nowych, itd.). Warto sprawdzić, poza tym, o czym wcześniej napisałem, czy nie pojawiły się dodatkowe katalogi,w których często wrzucone są śmieciowe (chińskie) strony z podróbkami torebek, ciuchów, perfum, kosmetyków + sitemapa, która potrafi mieć po kilka megabajtów. Takie strony często "schowane" są w katalogach o podobnej nazwie do katalogów WP lub nazwy szablonu.

 

Edit:

Zapomniałem napisać o kilku równie istotnych sprawach.

Po pierwsze - myśleć. Serio. Dlaczego ktoś daje mi szablon, który normalnie kosztuje 49 dolców za darmo?

Po drugie - dbać. Aktualizować. Wtyczki, WP, szablony.

Po trzecie - nie instalować ogromnej ilości wtyczek, które albo nie będą używane, albo wręcz po testach zostaną w systemie.

Po czwarte - hasła są jak majtki - należy je zmieniać, używać niesłownikowych haseł i przede wszystkim używać różnych, w różnych miejscach.

Dla zapominalskich jest KeePass, LastPass.

 

[duchu0]

Po pierwsze - myśleć. Serio. Dlaczego ktoś daje mi szablon, który normalnie kosztuje 49 dolców za darmo?

 

Niestety ale tego nie wyplewisz

 

Po drugie - dbać. Aktualizować. Wtyczki, WP, szablony.

 

Tutaj często jest założenie, że jak już zapłaciłem to musi działać. Nie będę płacić za administrację. Oczywiście można włączyć automatycznie aktualizowanie wszystkiego, ale chyba nikt rozsądny tego nie robi. Bo przynajmniej mnie uczyli by przed jakąkolwiek aktualizacją testować. 

 

Po trzecie - nie instalować ogromnej ilości wtyczek, które albo nie będą używane, albo wręcz po testach zostaną w systemie.

 

Ja bym powiedział, by nie instalować wtyczek od autorów którzy ciągle mają problemy z jej zabezpieczeniem. Ale fakt im mniej tym lepiej. 

 

Po czwarte - hasła są jak majtki - należy je zmieniać, używać niesłownikowych haseł i przede wszystkim używać różnych, w różnych miejscach. Dla zapominalskich jest KeePass, LastPass.

 

LastPass to chyba sam ma problemy z przetrzymywaniem i wyciekami haseł, wiec z niego bym też zrezygnował. Chyba najlepszą opcją jest KeePass. 

 

Podsumowując nie ma uniwersalnych rozwiązań i tak jak napisał swits.pl trzeba po prostu myśleć co się robić. No i mieć i robić kopie zapasowe niezależnie od tego co daje hosting. 

 

 

[SzlafRock]

tak jak napisał swits.pl

 

To jest właśnie ta tajemna, podstawowa wiedza, o której każdy prowadzący działalność internetową wiedzieć powinien.

[jimmi]

no ale bardzo często zapomina się o podstawach

@swits.pl,

by trzeba było gdzieś twój post przykleić.