Как защитить сайт от взлома обиженным исполнителем

Цитата ("Hungry_Hunter"):

Это вопрос цены и времени

я бы сказал "Это вопрос цены, времени и ума" а вообще, ты прав. я согласен с тобой.

Цитата ("ArtPro"):

какой стандартный логин в джумле?? или WP ??? admin ??

а никто не догадался в базе его просто поменять, допустим на abra-kadabra?
Цитата ("ArtPro"):

а нафига мне хэш??

потому что в кукисах весит именно закодированный мд5 хеш
Цитата ("ArtPro"):

ну дак длина в 4 символа перебирается .. ну пару часов

я писал за пароль в 6 символов.

Вообще, каждый прав, потому что мы приходим к выводу, что джумлу сломать как двиг - можно, но сложно.

Вот наконец то все потеме...благодарю за коменты...учту

Цитата ("bushmaster"):

а никто не догадался в базе его просто поменять, допустим на abra-kadabra?

по статистике почти никто
Цитата ("bushmaster"):

потому что в кукисах весит именно закодированный мд5 хеш

а нафиг мне сначала кукисы красть, а потом еще и пытаться их подобрать... пробе брутом в лоб. паролей меньше, чем вариантов хэша

Цитата ("bushmaster"):

я писал за пароль в 6 символов.

6 символов.. ну русские символы откинем.. остается не так и много вариантов. серван 50 клиентов в секунду держит? отличненько.. в хучшем варианте полтора суток

Если работа не была выполнена в срок и незначительно просрочена - надо снимать проценты. Если значительно, как в вашем случае - надо и аванс просить отдать.

Советую перейти в нападение - наверняка исполнитель оставлял вам контакты или вы знаете его сайты или еще что-то - пообещайте его так ославить на всех биржах, если он исполнит угрозы, что его фрилансерству придет крышка. Я б даже не ждал, а сразу это сделал бы.

Цитата ("ArtPro"):

а нафиг мне сначала кукисы красть, а потом еще и пытаться их подобрать... пробе брутом в лоб. паролей меньше, чем вариантов хэша

почему? потому что кукисы иногда легче найти и стырить.. ту даже пологаясь на человеческий фактор можно попробывать. Ну как стырить куки - другая история. Плюс ко всему НАМНОГО легче и продуктивнее подбирать хеш, нежели брутить сервак. И я немного не понял фразу "ролей меньше, чем вариантов хэша" это как? вроде как хеш - это и есть закодированный пароль, тоесть варианты пароля = варианты хеша.

Цитата ("ArtPro"):

6 символов.. ну русские символы откинем.. остается не так и много вариантов. серван 50 клиентов в секунду держит? отличненько.. в хучшем варианте полтора суток

как я понял ты имешь ввиду что сразу с 50-ти машин брутить ОДНОВРЕМЕННО? ... знаешь, это из области фантастики. Человек который угрожает автору врятли способен на такое... я пожму этому хакеру руку, если он организует хотя бы 8 машин одновременного брута по твоей системе.
Поэтому подбор пароля - до ж%пы этим страдают люди, которые считают себя мегапрофессионалами выбрать словарь на 6 символов и нажать кнопку СТАРТ. умные так давно уже не делают.

Цитата ("Paralysed"):

Советую перейти в нападение - наверняка исполнитель оставлял вам контакты или вы знаете его сайты или еще что-то - пообещайте его так ославить на всех биржах, если он исполнит угрозы, что его фрилансерству придет крышка. Я б даже не ждал, а сразу это сделал бы.

Зачем пустые слова и угрозы. Надо просто сделать и все

Цитата ("bushmaster"):

как я понял ты имешь ввиду что сразу с 50-ти машин брутить ОДНОВРЕМЕННО?

не, зачем 50? просто в 50 потоков подбирать пароль. в конечном итоге скорость перебора будет зависеть от размера канала, мощности сервера на хостинге...
хэш можно тоже локально крякнуть подобрав пароль.. самое интересное, что он будет не факт, что точно как оригинал

А, еще момент... кукисы тырим, но не факт, что там хэш ПАРОЛЯ.. там может быть сессионный ключ + привязка по ip - так правильнее делать в принципе

Цитата ("ArtPro"):

тупо перебором паролей легко достичь желаемого

Не думал что Вы такой навиный
Головой стенку пробить тоже легко и реально. Главное хотеть :P ...Стандартных паролей джумлы хватает чтобы простой перебор превратился в обычный геморой с шансами на успех менее 2%, а если заморочится с регистром и в 12 символов, то задача делается не выполнимой
С выходом джумлы ветки 1.5 все случаи взлома джумлы связаны с пренебрежением стандартных правил безопасности;права на папки,легкие пароли, итд. Других случаев взлома небыло.

з.ы. С точки зрения безопасности джумла - железная стена.
С точки зрения движка - медленное,громоздкое го*но

raznomir, Ага, спасибо.Да, трудно за всем уследить...

Кстати, не совсем по теме - как думаете, насколько люди изобретательны в своих паролях?) Ну вот есть у меня база на миллион юзеров с паролями - намного ли больше вероятность подбора пароля на другом ресурсе, используя эту базу, чем просто от балды перебирая символы?

1) Делайте дамп в течении месяца.
2) Проводите мониторинг, если осуществляется ошибочный запрос более 3-5 раз в минуту - отрубайте айпишник (это можно сделать на сервере).
3) Контролируйте shell

после этого, взлом маловероятен

Даже если это очень талантливый хакер ( в чем я сомневаюсь), вам просто нужно сделать пароли 15 символов на админку - это собьет его усилия в очень нудный процесс)))
А вам восстановить всё - 30 минут работы

Цитата ("ArtPro"):

просто в 50 потоков подбирать пароль

я же говорю что на подбор уйдёт уйма времени.... точнее не уйма времени, а много-много лет.

И в джумле, если мне не изменяет память, кодировка хеша мд5, без наворотов. И легче будет разделить подбор хеша по машинам... допустим 1я машина подбирает весь алфавит, другая - верхний регистр, третья - цыфры... написал немного утрированно, но думаю логика понятна, если уж обидчик окажется такой фанат подбора пароля.

Если есть возможность - нужно избавиться от всех файлов с кодом, которые мог изменять исполнитель. В идеале - выкинуть его работу из проекта вообще - это и с моральной точки зрения красиво, и обезопасит вас. После этого действительно, останется только поставить нормальный пароль и надеяться, что в той версии джумлы, которую он использовал уязвимостей нет.

Цитата ("Kurilshik"):

сделать пароли 15 символов на админку

та почему же все фанаты огромных паролей, которые мало того что запомнить - НЕВЕРОЯТНО сложно, что сопутствует хранению пароля на бумажке или в текстовике, что НАМНОГО увеличивает и одновременно УПРОЩАЕТ шанс завладения пароля??

Цитата ("bushmaster"):

та почему же все фанаты огромных паролей, которые мало того что запомнить - НЕВЕРОЯТНО сложно, что сопутствует хранению пароля на бумажке или в текстовике, что НАМНОГО увеличивает и одновременно УПРОЩАЕТ шанс завладения пароля??

19<tUbGK.ItDsQLt<bKjbL!82 - чем не пароль. я таких множество помню.
ik.irfrjirf - тоже вариант..
zdfcdctэто и с моральной точки зрения красиво,с моральной точки зрения красиво держать череп фрилансера на колу воткнутом перед входом в офис. неэтично и варварски, но что делать.

на своем серванте можно легко блокировать переборы паролей или вспышки активностей

ArtPro, хорошо, я тебя уважаю и кланяясь снимаю шляпу перед тобой, ты наверняка сисадмин, у сисадминов память хорошо развита.

Но вернёмся к теме, заказчик и автор этого топика врятли запомнит такой пароль наизусть и 99% запишет его куда-то. либо задолбается ввобдить и поменяет на более простой.

достаточно просто 123#AbC чтобы превратить процесс подбора в невыполнимую миссию.

19<tUbGK.ItDsQLt<bKjbL!82
19 БеГи ПЛюШеВыЙ ДеБиЛоиД!82

Я тоже так делаю